这是我在这次比赛中遇到最有意思的一题，不仅让我看到了一种有意思的题型，而且让我开始看懂了pwndbg的调试界面。 IDA里面是这样的，有直接可以提权的backdoor函数，有read函数，看似有点像ret2system。 让我们分析一下这个函数的读入逻辑:首先让你输入一个size值，read会总共分size次读入一个字节，并且写到s[i]的位置，由于i的递增，程序会在栈上一直往下写。确实是存在栈溢出，但是在我实际尝试过程中发现覆盖不到函数ret的地址。如何解决这个问题就是这题的关键。 其中i的值存在var_4的位置，v1在var_24的位置，v3在var_18的位置，而数组从s开始写入。 ...