QYbudong的博客

由于else if分支中使用的_IO_SYSSEEK函数第二个参数是 (fp->_IO_write_base - fp->_IO_read_end)，而遇到的题目基本都是只能覆盖末尾修改_IO_write_base，所以要避免进入else if，所以要满足(fp->_flags & _IO_IS_APPENDING) == 1。由源码可知，puts函数是由_IO_puts函数实现的，_IO_puts函数又调用了_IO_sputn，我们接着跟。② 先判断n是否大于0，如果大于0则进入缓冲区处理，否则返回0；

⑤比较关键的代码我通过////来包裹起来了，这里使用_IO_SYSREAD函数向_IO_buf_base写入了_IO_buf_end - _IO_buf_base大小的数据，base是起始地址，end是结束地址。⑨那如何改写_IO_buf_base呢？这就要用到set_name函数了，通过set_name函数，我们将s的内容修改成_IO_buf_base的地址，接着用echo_back函数中的格式化字符串漏洞就能成功将_IO_buf_base的低两位写成0。_IO_buf_base：输入缓冲区的起始地址。

回顾经典老题。一、

今天事略多，做一道pwnable+一道有分的buu吧一、Buu-roarctf_2019_easyrop。

③思路：打开文件sys_open('/home/orw/flag',0,0)，读取文件sys_read(3,flag,0x100)，写入标准输出sys_write(1,flag,0x30)。当然也可以用上边所说的，自己写汇编然后用asm生成shellcode，这种比较标准的函数还是建议用shellcraft，比较方便。这里解释一下，0x68732f6e和0x69622f2f组合在一起是hs/nib//，也就是binsh的小端序写法；而0xb，也就是11，是execve的系统调用号。入门级题目，保护全关。