上往建站提供服务器空间服务商，百度快照排名，网站托管，百度推广运营,致力于设计外包服务与源代码定制开发，360推广，搜狗推广,增加网站的能见度及访问量提升网络营销的效果,主营：网站公司,百度推广公司电话,官网搭建服务,网站服务企业排名,服务器空间,英文域名等业务，专业团队服务，效果好。

长垣企业微信公众号小程序开发公司、长垣企业网页设计方案、长垣做网站开发价格、长垣微信公众号制作运营报价明细表、长垣网站设计公司费用、长垣网站推广大概需要多少钱

长垣市，河南省辖县级市，新乡市代管， [1]  位于豫东北地区，介于东经114°29'—114°59'、北纬34°59'—35°23'之间，总面积1051平方千米。 [2]  截至2020年6月，长垣市下辖5个街道、11镇、2乡， [3]  总人口88.18万人（2019年）。 [4]  市政府驻蒲西街道人民路368号。 [1] 

前221年，秦改首邑为长垣县。2019年8月，河南省撤销长垣县，设立县级长垣市。 [1]  属暖温带大陆性季风型气候。 [2]  长济高速、大庆—广州高速公路、济东高速公路、新菏铁路、省道308线、213线穿境而过。

长垣市是全国文明城市 [5]  、国家园林县城 [6]  、国家新型城镇化综合试点地区 [7]  、全国科普示范区 [8]  、节水型社会建设达标县 [9]  、国家农产品质量安全县 [10]  、全国农村创新创业典型县 [11]  、革命文物保护利用片区分县。 [12] 

我的理解是 相当于在函数栈里伪造一个虚拟栈，又伪造了栈顶指针，然后在这个虚拟栈里你可以进行一些操作，如add（将栈顶两个元素相加），push，pop等，然后有时候由于检验不当，就会造成越界，导致原本操作只是在虚拟栈里变成了可以影响实际函数栈的数据，相当于可以劫持RBP,RET，如果能做到这一步，接下来就是常规的ROP了

这是add指令，stack[r_sp+1000]就相当于栈顶

push指令更好理解

注意到下面这两处

这两个指令意思相差不多，都可以越界写，我们以第一个指令为例子

这里的 v31 = buf[buf_index] ，而buf[buf_index]是我们自己控制的，也就相当于我们可以控制

stack[v31 +999]指向任意地址处，因为c语言中并不会对数组越界进行检查，我们大可以构造如stack[5000] 或者 stack[-5000]，就可以通过算偏移得出stack[num]中的num(stack一个元素为四个字节大小)，然后stack[r_sp + 1000] 是栈顶数据，我们可以通过push指令给它赋任意值

综上，我们就可以往任意地址写任意数据，通过调试我们就可以得到实际函数栈中的RET地址距stack[]的偏移，从而我们可以覆盖RET，实现ROP，从而get shell或者orw

脚本的重点是

stack函数中的1007就是调试出来的偏移，9是push指令，12是越界写，由于一次只能写4字节，所以得分两次写

长垣企业微信公众号小程序开发公司、长垣企业网页设计方案、长垣做网站开发价格、长垣微信公众号制作运营报价明细表、长垣网站设计公司费用、长垣网站推广大概需要多少钱

上往建站提供搭建网站，域名注册，官网备案服务，网店详情页设计，企业网店，专业网络店铺管理运营全托管公司咨询电话，服务器空间，微信公众号托管，网页美工排版,致力于域名申请，竞价托管，软文推广，全网营销,提供标准级专业技术保障，了却后顾之忧,主营：虚拟主机，网站推广，百度竞价托管，网站建设，上网建站推广服务，网络公司有哪些等业务，专业团队服务，效果好。

服务热线：400-111-6878 手机微信同号:18118153152（各城市商务人员可上门服务）