强网杯 rw-ltp wp mod.auth.so库的sub_4989函数存在一个栈溢出漏洞 这个li_base6

D^3CTF PWN write_flag_where 玩法(?)是用flag{}里的内容来单字节修改libc。例如flag{abc}，就可以将0x61覆掉到libc的一字节，只不过我们不知道远程flag是什么。 主要思路是修改open来调用stack_chk_fail，然后修改stack_chk_

L3hctf pwn-treasure_hunter exp 时隔多年打开博客发现还有一篇草稿（（ 前面的话可以伪造一下hashmap或者去逆hashmap。 我这边是直接伪造，然后打了个house of banana exp当时是本地通了，远程没通，那时还不知道ld和libc的偏移不是固定的，其他

login 当初比赛的时候，一连上去还以为要传马，试了半天结果没反应然后开始坐牢 泄露环境 随便输入然后登录 最好是随便 然后进file manager，开始审源码（pwn？web！）

tour from pwn import * from LibcSearcher import* context(os='linux', arch='amd64', log_level='debug') p = process('./pwn') #p = remote('60.204.130.55

silent 打开ida一看，没有输出函数，只有一个栈溢出。跟巅峰极客的linkmap有点像，都是没有输出函数而且full relro，没法打ret2dl_resolve 但是linkmap那道题中是有能函数能将地址放到bss上的，所以它可以把read的地址放到bss上，然后通过修改bss上的rea

关键词是cpp的异常处理机制（pwn try catch），可以简单参考一下这篇博客https://www.anquanke.com/post/id/89855?eqid=ef87a8a80001d2420000000264942760#h3-3 注意到当我们在第二次输入时覆盖了异或之后的canar

shellcode main函数： read两字节数据，看上去是填no或者ye，但是如果if里只是非ye就可以跳到sub_13a2函数 这段函数具体功能是读入最多17字节，然后判断

题目来源是https://github.com/ctf-wiki/ctf-challenges/blob/master/pwn/stackoverflow/srop/2016-360%E6%98%A5%E7%A7%8B%E6%9D%AF-srop/smallest 这个原理是从hollk师傅的博客中