sctf_factory

type

status

date

slug

summary

主要逻辑

可以发现，*v2 = myread()存在越界写

检查保护

越界写改变量i绕过canary，实现任意地址写

调试可知，n=22时，factory13时输入18，下一次factory20输入即可覆盖返回地址，最大输入3个字长(24bytes)

当初做题时卡在这里，原本是想pop_rdi_ret，puts_got，puts，start，需要4字长，之后思路就歪了，尝试栈迁移无果

其实pop_rdi_ret，puts_got，printf(0x4014AD)，泄露libc后接上了控制流，之后打one_gadget即可