题目中除了能栈溢出实在找不到其他能泄露信息的地方了。而且也没法修改GOT表，始终绕不过stack_chk_fail函数。感到无从下手。只到官方给WP了，才觉得自己基础太过浅薄了。

如果我们仔细观察崩溃的信息，可以看到stack_chk_fail打印了我们在shell中键入的命令。

图1           stack_chk_fail打印程序执行命令

这个进程名就是传递给main函数的那个argv[0]。

图2           stack_chk_fail源码

__stack_chk_fail调用了__fortify_fail函数，__fortify_fail函数调用了__libc_message函数。

图3           __fortify_fail函数实现

可以看到__libc_argv是一个指针数组。

那么它在什么时候被赋值的呢？搜索源码可以看到

图4           __libc_argv赋值的时机

图5          __libc_argv定义

init函数被链接进”.init_array”section中，这个section，其实是一个函数指针数组，放着在main函数执行前需要执行的函数指针。其中的函数会在程序的__libc_start_main中被调用。而编译器会提供一个init函数，用来循环遍历“.init_array”中的指针。

图6           __libc_start_main函数实现

图7         LIBC_START_MAIN函数实现

图8           在LIBC_START_MAIN函数中编译器提供的init函数被调用

在LIBC_START_MAIN函数中，init被调用。编译器提供的init函数会调用图4中libc中的init函数。

图9           执行完读取用户输入后

在接收用户输入后，观察栈可以看到，存放输入数据的起始地址是0xffffd04c，而__libc_argv地址在0xffffd134。

所以payload就是

payload = "\x00"+"a"*0xe7 + p32(0x0804A0A0)

因为程序还计算输入的字符个数。所以最开始加上”\x00”结束符。