weixin_46301214的博客

v1随便丢点字符塞满，v2放入浮点数 11.28125，下面逻辑就能跑通，就能打印flag了。这里拿到数据存入的方向是从上到下，也就是先存满v1变量：总共 48个字节 - 44个字节。对于新手来说是最难理解的部分了，左边的30是特么的16进制，也就是十进制的48个字节。第一种方法就是利用栈溢出漏洞把存满v1的地址继续存到v2那里，这题原来有两种解法，可是只研究透了第一种，第二种是实在看不懂。前两个函数都没看懂，但func函数看懂了，有栈溢出函数。再来到v2变量的空间，这时候把浮点数放进去就可以了。

天命：第二题pwn，这次知道了目标就是瞄准system函数，如果里面是 /bin/sh 之类的就是直接getshell，如果是普通命令的话，应该就是getflag了。点进去变量，然后这里开始我就不懂了，别人wp就说这里是40空间+8空间（8空间就是覆盖64位下rbp的长度）sub_40060D这个函数就是重点，点进去一看就是我们的目标system("cat flag.txt")那就要拿到两个东西：sub_40060D函数的入口地址 和 v5变量的缓冲区大小。条件一：获取sub_40060D函数入口地址。

nc命令是一个用于网络通信的命令行工具，全称为netcat。以上是nc命令的一些常用用法和参数，需要注意的是，nc命令在不同的操作系统上可能会有一些差异。还记得我以前第一次做pwn题目的时候，是真的懵逼，连接上之后没反应。这题直接连接就可以了，windows装了nc工具，直接耍。这里光标去了下一行，是已经连接上，在等你输入命令呢。下面给一点nc命令的解释，文心一言得出来的。天命：时隔两年，又杀回了pwn这里。然后正常查看 flag 文件就行了。拿到题目的提示，测试你的nc工具。

可能是因为fun函数里有system这种终端控制函数，所以能getshell吧。那么来看一下main，发现很简单，只有一个gets获取输入，存到s数组变量里。打开IDA，发现函数里有一个fun函数，能直接调用系统函数。然后又可以建立连接，很屌，解释不清楚，以后做多两题才懂。知道了缓冲区大小，下一步就要知道fun函数的入口地址。这文件是在靶机，就是靶机存在这个漏洞，我们要攻击他。从汇编上看，是能够发现有注释告诉我们的入口地址。我们要做的就是利用这个函数进行调用系统函数。看一下双击s变量，缓冲区大小。