格式化字符串溢出
printf是不定参数的,不会检查输入参数个数的函数。
其中的%n可以用来实现任意地址的读写。
%n把前面字符长度写入某个内存地址。
当printf在输出格式化字符串的时候,会维护一个内部指针,当printf逐步将格式化字符串的字符打印到屏幕,当遇到%的时候,printf会期望它后面跟着一个格式字符串,因此会递增内部字符串以抓取格式控制符的输入值。这就是问题所在,printf无法知道栈上是否放置了正确数量的变量供它操作,如果没有足够的变量可供操作,而指针按正常情况下递增,就会产生越界访问。甚至由于%n的问题,可导致任意地址读写。
引用原文链接:https://blog.csdn.net/m0_37809075/article/details/81269697
博主:每昔
int main(int argv,char **argc)
{
int *p = (int*)malloc(sizeof(int));
char a[256];
strcpy(a,argc[1]);
printf("%s%hn/n",a,p);
}
如果提供了260字节的参数,则最后四个字节覆盖指针p,接下来执行printf()时,会在p所指向的内存中写入一些字符。