已知libc库的情况在动态编译的程序中，如果没有对system函数的直接调用，在plt中就不会存在system函数，也就是不能直接知道system函数的地址在解决动态编译的二进制文件之前，需要了解动态链接的基础知识，这个过程叫作lzy-binding。程序对外部函数的调用要求在生成可执行文件时将外部函数链接到程序中链接的方式分为静态链接和动态链接。静态链接得到的可执行文件包含外部函数的全部代码。动

我们已经学会了编写单个和两个简单函数的ROP链，在这里我们说一下，编写ROP链多个需要注意的问题之前我们在学习两个函数的ROP时，编写了这样的payload我们当时没有考虑，参数冲突和栈溢出大小，现在我们来说一说举个例子，如果我们上次学习的两个函数的ROP中没有gets函数，而是read函数我们怎么办，read函数有三个参数，如果我们要像以前一样构建payload，那么read的第二个参数，就会和

学会了编写单个ROP链，今天就进阶一下，学编写俩个函数的ROP链。通过一道例题我们直接上手 例题：附件下载首先我们查看保护 IDA反编译发现栈溢出但是没发现/bin/sh,这是我们就无从下手了，我们要想一个办法创造/bin/sh这个字符串，我们发现题目有gets函数，那么我们能不能通过gets输入/bin/sh这个字符串呢，我们来验证一下

什么是ROP链在我初识栈溢出那篇博客已经详细的讲了函数的调用过程（基于X86框架），不了解的可以看一下，没有这个理论基础，是学不好ROP的。现在我们说一下什么是ROP。 ROP链就是通过返回地址的修改来完成的编程，调用特定的函数的一种编程模式。我们可以联想一下你做的最简单的栈溢出的题，返回地址覆盖system（/bin/sh）。这种也是一种ROP链，只是最简单的一种，所以说RO

什么是ShellcodeShellcode指的是用来完成某个功能的汇编代码，常用的功能就是获取目标系统的shell。在栈溢出的基础上，我们一般都是向栈中写内容，所以要想执行Shellcode，就要要求对应的二进制文件没有开启NX保护。利用ret_address返回Shellcode处执行 怎么生成ShellcodeShellcode的生成方法通常有以下几种： 在pwntools中由shellcr

认识栈结构栈这种结构学过数据结构的都知道，是一种先进后出的结构，类似于子弹放进弹夹一样，先放进的子弹最后打出。 函数调用过程这个知识是整个栈方面的关键知识，我在大一的时候学pwn怎么也学不会，就是忽略了对基础知识的学习，直接学漏洞，一直搞不清怎么回事，非常郁闷。现在详细总结一下函数调用过程，以X86系统为例 压入参数根据调用约定压入参数，main函数作为调用者，首先将fun的参数a,b…压栈。栈