首先checksec：

我靠，除了栈保护都开了（RELRO：禁止GOT表写入；NX：栈不可执行；PIE：地址随机化），直觉告诉我这题不会是Pwn。

看下反编译：

Tell me what you want to execve

这里输入了一个变量a，（这个a还是在.bss区，更不可能是栈溢出），经过fun函数处理后直接system执行了。那么现在关键就是搞清楚fun函数干了什么事情。

原来是字符串翻转啊。直接exp。

exp

/bin/sh 翻转为 hs/nib/

直接连服务器

1

nc node4.anna.nssctf.cn 28509

输入hs/nib/,然后就getshell了

收工