在CTF（Capture The Flag）比赛中，PWN方向的核心目标只有一个：劫持程序的控制流。对于很多从Web方向转过来的选手来说，PWN看似门槛高，但其本质与Web渗透一样，都是“信息收集驱动”的。拿到一个二进制文件，第一步永远是信息收集：用file看架构，用checksec看保护机制。

当checksec显示程序开启了NX（栈不可执行）保护时，意味着我们注入的Shellcode无法直接运行，这时就需要用到经典的ret2libc技术。其核心思路是：既然不能自己写代码，那就去借用系统自带的libc库中的函数（如system）来执行命令。

以32位程序为例，利用ret2libc通常分为以下几步：

1. 分析漏洞与计算偏移
   使用IDA等逆向工具分析二进制文件，寻找诸如gets、read等存在溢出风险的函数。接着，通过GDB动态调试，利用cyclic生成模式字符串触发段错误（Segmentation fault），从而精确计算出从输入缓冲区到返回地址（Return Address）的偏移量。
2. 泄露内存，摧毁ASLR
   现代系统通常开启了ASLR（地址空间布局随机化），导致每次运行程序时，libc的加载基址都是随机的。为了拿到Shell，我们需要先泄露一个已执行函数（如puts或printf）在内存中的真实地址。通过构造ROP链，让程序在溢出时先调用puts，并将puts的GOT表地址作为参数传入，程序就会将该函数的真实内存地址打印出来。
3. 计算基址与构造最终Payload
   拿到泄露的puts真实地址后，结合IDA或本地libc数据库中的偏移量，通过公式 libc基址 = 泄露的真实地址 - puts在libc中的偏移 计算出基址。随后，推导出system函数的真实地址以及/bin/sh字符串的真实地址。

最后，构造第二阶段的Payload：填充字符 + system地址 + 伪造返回地址 + /bin/sh地址。当程序执行到此处时，便会顺理成章地调用system("/bin/sh")，从而成功拿到Shell。

从栈溢出到ret2libc，是PWN学习之路上的一座里程碑。它完美诠释了PWN的攻防哲学：防守方用NX和ASLR增加攻击难度，攻击方则通过泄露信息、计算基址来绕过限制。掌握了这套“发现问题→泄露信息→利用信息”的方法论，你就正式推开了二进制安全的大门。