思路 通过输出printf地址泄露libc 覆盖printf地址为system 输出/bin/sh 分析 检查安全措施，没有PIE和canary [*] '/mnt/e/sec/bugku/pwn/repeater/pwn7' Arch: i386-32-little RELRO: Partial RELRO Stack: No…

利用限制 存在格式化字符串漏洞 每个格式化字符串只能实现一次 需要等待int长度空格的输出时间 利用原理 *可以通过参数指定格式化字符串的宽度，比如： int width = 10; char ch = 'a'; printf("|%*c|", width, ch); // output:| a| 这里就把w…

分析过程 观察栈结构 这题的关键（对我来说）就是利用栈上残留的数据。平时练的不多，没有这个习惯，导致泄露和格式化字符串利用都遇上了麻烦。 vuln函数里的栈结构如下： 00:0000│ rsp 0x7fffffffdfe0 ◂— 0x0 ... ↓ 2 skipped 03:0018│ 0x7fffffffdff8 —▸ 0x7ffff7fb55c…