萌新带你开车上p站（二）(5)

图x
可以看到name地址为ëp-0x70,passcode1地址为ebp-0x10,二者差0x70-0x10=96个字节。Passcode2地址为ëp-0xc,.name和passcode2从差0x70-0xc=100个字节，我们只能通过写name控制passcode1，但是不能控制passcode2
既然可以控制passcode1，那么思路就清楚了。
由源码逻辑可知，printf,scanf,fflush
我们控制passcode1的地址（name的最后4字节）为ffliush地址，在随后scanf(“%d”,passcode1)接收输入时我们输入system(“/bin/cat flag)的地址
这样当执行fflush时，将会执行system，从而读到flag
通过GOT表获取flush地址

在图x中可以看到调用system的地址为080485ea，不过在此之前还有传参的操作，所以实际上，地址应该为0x080485e3,十进制为134514147
从而构造出exp