前置知识 栈溢出 ROP 保护机制 没有金丝雀canary，但开启了栈执行保护，可以利用rop 关键代码 read_80_bytes函数实际上读了0x80字节，已经可以覆盖main返回地址并且还多溢出0x20-8字节，完全够了 而经过调试，需要覆盖108字节的填充字符，接下来才是返回地址 利用思路 1、利用write leak出libc 2、ROP 具体过程 1、先