안녕하세요! 답변드리겠습니다.
1. 은 컴파일러에서 결정하는 부분으로, 최적화 혹은 다른 변수때문일 수 있습니다.
다른 변수라하면 buf 이외의 변수라거나, c code에서 나타나 있지 않는 canary 같은 경우가 원인일 수 있습니다 (이 문제에 경우엔 canary가 없지만 말입니다)
결국에는 사용자가 보기엔 code 흐름과 다르지 않게 진행되어야 하면서도 동작을 문제 없이 수행하기 위해서 이러한 동작이 있을 수 있습니다.

지금 문제의 경우에는 esp는 0x40을 내렸지만, 이게 ebp 기준으로 보면 0x40 이 아니라 0x44 만큼 내려가야 현재 esp 와 동일한 메모리주소를 가리키기 때문인 것으로 보입니다. 그 이유는 push edi 때문인데, 이는 레지스터값을 저장하기위해 컴파일러가 만든 루틴 같습니다!

2. 는 지금 보여주신 payload 만으로는 원인을 파악하기가 어렵네요.
/bin/sh 를 bss 에 쓰기 위해 페이로드를 전송하는 부분 (send 함수) 위아래로 약간 도 추가해주시면 감사하겠습니다!!
(첫번째로 send를 한 이후에 두번째 send 하는 부분과 recv 하는 부분의 코드를 보여주시면 될 것같습니다)

p.sendline(payload) 
dummy = p.recv(0x40) 
read_address = u32(p.recv(4)) # system_address = u32(p.recvuntil('system')) 
system_address = read_address - offset 
p.sendline('/bin/sh') 
p.sendline(p32(system_address))

라고 적어주셨는데,
p.sendline(payload)
를
p.send(payload.ljust(0x400, "\x00")) 으로 변경한 후에도 문제가 여전히 나타나는지 체크해주시면 감사하겠습니다

read_got 주소 읽기를 먼저할때는
recv 후에 send(binsh) 가 되어야 하구요
순서를 반대로했을때는
send(binsh) 후에 recv 를 해야합니다!

근데 send(binsh)를 먼저 하는경우엔
맨처음 read(0, buf, 0x400) 에 같이 들어가버리지않게
p.send(payload.ljust(0x400, "\x00")) 을 해주는게 확실합니다

bss 영역에 쓰기를 먼저하면
프로그램은 사용자가 /bin/sh 라는 스트링을 보내주길 기다리고 있는상태가 되고
여기서 이걸 안보내주고 recv 를 먼저하면 timeout 이 발생하는게 정상적인 동작입니다!

한가지 더 질문이 있습니다.
read_got을 읽어올때, recv로 address만 들어올 것으로 생각했었는데, 0x40 바이트가 들어오는데 이유를 알수 있을까요?
read(0, buf, 0x400);에서 0x400 개를 읽게 되니까 payload가 들어가고,이때 버퍼 및 주소가 overwrite 되었고,
bss에 "/bin/sh" 을 입력하고나서, 다시 함수로 돌아와서 write로 read_got를 읽었기 때문에 주소값이 4바이트만 넘어올줄 알았는데,40 바이트가 들어오고, 그리고 4바이트 주소가 들어오네요.
[DEBUG] Sent 0x8 bytes:
b'/bin/sh\n'
[DEBUG] Received 0x40 bytes:
65 * 0x40
[DEBUG] Received 0x4 bytes:
00000000 50 b3 ea f7 │P···│
00000004

그래서, 더미로 40 바이트를 읽어오도록 했는데, 어떤 동작에서 발생된건지 알수 있을까요?