此题是一个 rop，分数挺高，难度不大。

The original challenge is on pwnable.kr and it is solvable.

This time we fix the vulnerability and now we promise that the service is unexploitable.

题目描述是这样的，pwnable.kr 没刷过，也不知道原题是什么，反正先 IDA 里面看一下再说

这个 ROP 非常的麻烦

分析

流程就两句话

看起来似乎非常的简单，就是一个 gets 造成的无限溢出。但是并没有任何输出函数，所以 leak 非常困难。

思路

没有任何的 libc 地址，想要 leak 只能用栈上的残留数据，程序没有开启 PIE，所以我们可以通过栈迁移将栈迁移至地址固定的段上，比如进程末尾的可读可写页。然后在此处执行一个 gets，就可以把一些 libc 的地址留在这里了。