格式化字符串修改将非栈上地址修改

前提： 最近遇到一个使用read函数但是buff段有字数限制无法进行栈溢出得题目，但是题目中有printf函数，我们可以使用格式化字符串将len值修改，从而进行栈溢出使用libc从而获取shell.

首先我们先看一下程序: 

先checksec一下

在看一下file

没有任何保护并且是动态链接

我们发现了格式化字符串漏洞，同时我们在点进buf段与len里看看

我们发现想要栈溢出的话，buf的长度是远远不够的。这时候我们就想用格式化字符串来对len地址所指向的值进行修改了，先记录一下len的地址，0x404020.

接着我们就可以开始愉快gdb调试了。现在printf出下个断点，然后往里面输入一点数据、

我们发现他是从第一行就开是输入数据了，所以加上前面的寄存器，我们可以计算出栈的位置是从第6个参数开始进行的即%6$，

所以利用格式化字符串，我们写出%99c%x$n这个可以帮我们把第x的参数地址所指向的值改为99.这里我们还需要注意的是，因为小序端，且地址很短，所以用n输入即可，无需hhn，并且len的后面会用0x00补全，而printf遇到0x00就会停止输出自动截断。所以我们需要把len的地址放后面传，这也就导致了第六个参数的位置被我们的%99c%x$n所占据了，所以我们需要修改的是第七个参数，即被我们传输的len的地址。

我们用gdb联动看看

修改成功了，接下来就可以开心的re2libc了，便不过多阐述，看wp即可。

如果re2libc没学过的话，可以看看我之前的脚本概括理解，或者其他师傅的文章。