![](https://images0.cnblogs.com/blog/543611/201308/05215435-98ba94da40e145f2b3d3841a71ae9b4b.png)
我们objdump试一下这个目标文件:
![](https://images0.cnblogs.com/blog/543611/201308/05215436-c37f290cab8c46cc8f870263ad155d97.png)
所以,target的位置是:0x08049638
我们要改变这个内存的地址!
printf函数中有%n这一格式,把输出的字符串长度放到一个内存中!
这一段程序的运行结果是len的值被赋成11.
![](https://images0.cnblogs.com/blog/543611/201308/05215436-75068b448b44407fa3529ab811db63f8.png)
回到本level,在调用printf函数之前,作为参数,char * string 已经存在栈中了,它指向了main函数的第一个参数的位置!
所以,这个字符串也在栈中,而且在高地址!
而如果我们在string是 “%x",那么就会把printf函数参数上面的4个字节按照%x的方式打印出来,
如果再加上一个%x,又会打印一个!所以:
![](https://images0.cnblogs.com/blog/543611/201308/05215436-88ce7cf40f12455383ced90d1fe5e991.png)
我们看中间有两个 eeeeee00 2e7825ee,我们打印的eeeeeeee就在这里!后面相似的循环字符就是200个%x.
为了让他对齐,我们需要加上1个字符!
所以~找到字符串的位置,用%n来把这个地址改为不为0的值,nice啊
![](https://images0.cnblogs.com/blog/543611/201308/05215437-f6b57cd329ff47f1b6ee2fa3bed6ccc8.png)