学习一下栈迁移，以下部分内容转载于看雪的文章

以32位为例，在汇编中，用call指令来调用一个函数，call 函数等同于

push eip+4
push ebp
mov ebp,esp

主要的目的还是用来保护现场，避免执行完函数吼堆栈不平衡或找不到之前的入口地址

当调用完函数后，就需要用 leave；ret；来还原现场

leave == mov esp,ebp ; pop ebp;
ret == pop eip 

pop eip 相当于将栈顶数据给了eip，由于ret返回的是栈顶数据，而栈顶地址由esp控制， 而leave将ebp的值赋给了esp，所以可以通过覆盖ebp的值来控制ret的返回地址，而两次leave就可以控制esp为我们想要的地址了，不过第二次的pop ebp是多余的，会使esp-4，所以将ebp覆盖到我们构造的函数地址-4即可

 

[Black Watch 入群题]PWN为例

 

 比较明显的可以看到第二个read的栈只能控制0x20-0x18=0x8个字节