通过给的libc文件泄露地址

libc中的函数相对于libc的基地址的偏移都是确定的，如果有一道题给你了libc的文件，就可以通过libc文件泄露出system函数和binsh的地址，然后再构造payload。

一般通过write（）函数泄露 ，通过ELF获得write函数在got表和plt表中的地址

同时获得程序start地址 构造payload 

payload 一般是填充字符（栈的大小）+ ‘aaaa’（覆盖EBP）+  p32(write_plt) + p32(start)(返回地址） + p32(1)+ p32(write_got)+p32(4)

后面三个是write函数的参数 write(1,'write_got',4) 4代表输出4个字节，write_got则为要泄露的地址

binsh在libc中的地址可以直接搜索得到 binsh_libc = libc.search('/bin/sh').next()

其中地址计算如：

libc_base = leak_add - leak_libc(函数在libc中的偏移)

system_add  = libc_base + system_libc

binsh_add = libc_base + binsh_libc