xctf - forgot check一下,开启了NX 拉入ida中,能找到: __isoc99_scanf,能够无限输入, 循环中,读取32个scanf的字符并进行判断,最后根据结果调用存在栈上的函数表,正好位于溢出变量的下方, 并直接使用v3+ --v14栈地址作为函数,如果v14为1时,就会是v3地址的函数.所以构造63 byte的padding加上填充的目标地址就可以拿到flag from pwn import * context.log_level = 'debug' p = remo…