这类题目的特征是Pasted image 20260110090436.png 我们只能输入0x30,而栈溢出所需要的是0x28+4+4=0x30 我们要将栈空间迁移到一个足够大的空间去构造rop 栈迁移使用leave_ret leave指令一共执行2个步骤 首先: mov esp ebp 将ebp指向的地址给esp，也就是消除栈空间 然后: pop ebp 将esp指向地址存放的值赋值给ebp，所以ebp就会跑到新的地址，同时此时esp继续+4 ret指令执行1个步骤 ret执行pop eip 将esp指向的地址存放的值给eip esp继续+4 这样之后，就会将ebp和esp的地址全部修改，从而到达一个新的栈中。 如何找到ebp的...