格式化字符串漏洞实际上是printf函数的使用不当产生的。首先来看一个正常的printf函数：

可以看到其printf函数由两部分组成，其一是要输出的字符串，而后面是字符串中要解析的参数，在上述例子中为clothes和price。

那么printf函数是如何对其进行解析的？我们使用gdb来跟进看看。将上述代码补全，使用gcc format.c -g -m32 -o format编译为32位程序，将断点下到call printf处，如下所示：

此时，我们使用命令stack 0x10，查看栈如下：

我们知道32位程序中，函数的参数是存储在栈上的。从栈上可以看到，printf函数的第0个参数是要输出的字符串本身的地址；第1个参数是shirt字符串的地址，也就是printf要解析的第一个参数；第2个参数是9，也就是printf需要解析的第二个参数。因此我们可以知道，printf函数实际上是以第一个参数为字符串，并按照顺序将传入printf函数的其他的参数以字符串中%开头的形式进行解析。

上面我们已经明白printf函数的解析过程。若printf函数利用不当，便可以使用其进行栈上数据的泄露，如下所示：

上面这段代码中，printf函数只接受一个参数，而且该参数是从标准输入读取的，是可控的。若我们输入%p%p，可以看到如下结果：

可以看到其输出的结果为0xffffd02c0x20，这明显不符合编写代码者的本意。使用gdb跟进，看看这里面发生了什么。

将断点下在call printf：

此时使用命令stack，查看栈如下：

到这里我们便能够还原为什么printf会产生上面的输出了：printf仍然把我们传入的数据当作字符串，并将栈上后面的数据以字符串中%开头的方式进行解析。

这意味着，若我们输入的数据为%p%p时，它将会把栈上后面的数据当作传入函数的参数，并以%p的方式解析。例如，printf将栈上的0xffffd014处内容进行解析，并以十六进制格式输出存放在该栈处的值0xffffd02c，接下来再以同样的方式将0xffffd018处的值以%p的方式进行解析，输出0x20。因此，我们可以以这种方式泄露栈上的数据。

上面我们给printf函数传入了%p%p，并以此泄露了栈上的两个数据。那很显然，若我要泄露栈上第20个数据，自然不可能传入20个%p。因此，我们可以使用%$[x]p的方式来泄露栈上指定位置的内容。其中，[x]是要泄露的第几个位置。如下所示，我们使用read传入数据%2$p，查看栈如下：

再单步调试一步，获得输出结果为：

从上面可以看待，当我们传入printf的数据为%2$p时，我们实际上可以输出传入printf函数的第2个参数，也就是栈上的0x20。以此类推，我们可以以%7$p的形式输出0x70243225。只需要更改%的输出形式，就可以将栈上内容以任意方式输出，例如%5$p可以将栈上第5个位置以十六进制形式输出，以%6$s可以将栈上第6个位置以字符串形式输出。

通过上面的内容，我们已经得知如何泄露栈上的任意数据。实际上，printf函数同样可以完成写操作，而且是任意位置写。这是用到了printf函数的%n特性，它可以将已经输出的字符数量写到某个地址上。如下所示：

在上面这段代码中，第一个printf首先会输出1234，然后会遇到第一个%n，而此时输出的字符数量为4，因此count1的值将会被写为4。

然后其会遇到%20c，我们知道这实际上是将occupied输出为长度为20的字符，因此目前相当于总共输出了20+4=24个字符。

然后会遇到最后一个%n，由于目前已经输出了24个字符，因此count2会被赋值为24。

因此，上面这段代码的输出如下：

那么，对于一个不规范的printf函数，我们可以利用%n来覆盖任意位置的内存，以这段代码为例：

这段代码中，我们可以任意控制printf函数的参数。我们的目标是覆盖secret指向的堆块的值，若我们成功，即可说明我们完成了任意内存覆盖。

同样是下断点到call printf（printf(content)的那个printf）,我们先随便输入一点，比如%p%p，查看栈如下：

我们观察到，实际上我们输入的%p%p就存在于栈上，例如上面是在0xffffd02c。那么输入%7$p即可查看这个值，如下：

0x70243725就是%7$p的十六进制形式，因此确实能够索引到这个值。那么，我们当然也可以用%n来向这个位置写值！

我们上面得知，我们输入的数据会放在栈上的第7个位置。因此，若我们输入以下数据：

将断点下到call printf，查看栈如下:

printf函数会先输出p32(addr_of_secret)，输出长度为4个字符。然后再解析%7$n，会将已经输出的字符数量写入栈上的第七个值处。而栈上第七个位置是p32(addr_of_secret)，因此会将secret指向的堆块的值写为4。

同样的，我们可以控制输出的长度，来使得secret指向的值为任意数值，例如我们发送以下数据：

在解析到addr_of_secret时，其已经输出了p32(addr_of_secret)四个字符加上%20c的二十个字符，因此会使得secret指向的值为24。

在某些情况，我们希望将整个secret的值覆盖为一个想要的值，我们可以使用如下方式来进行覆盖：

使用以下方式，我们可以更便利地覆盖内存中的值。例如，一个完整的覆盖secret的值为0x12345678的payload如下：

通过这个payload可以得到结果：

让我们来一一解析这个payload：

首先我们在栈上第7个和第8个位置分别布置了堆地址的低两位和高两位地址。

printf函数首先会输出这两个地址，长度为8个字节。

接下来printf函数会输出%22128c，加起来总共输出了22136个字符，对应十六进制数为0x5678

接下来printf函数会解析到%7$hn，会将已经输出的字符数量以两个字节的形式写入到栈上第七个位置，也就是将0x5678写到堆地址的低两位上。

接下来printf函数会解析到%48060c，会输出48060个字符，和之前22136加起来总共输出了70196个字符，对应十六进制数为0x11234。

接下来printf函数会解析到%8$hn，会将已经输出的字符数量以两个字节的形式写入到栈上第八个位置。而目前已经输出了0x11234个字符，因此取两个字节，会将0x1234写入到堆地址的高两位，从而完成了对堆内存空间的覆盖。

从上面这个过程我们得知，可以利用%$hn和%$hhn写指定数量字节的特性来对任意内存空间进行覆盖。

64位下最大的差别是：函数的前6个参数位于寄存器上，多余的参数才位于栈上。

而我们知道64位下的前6个参数分别为：rdi、rsi、rdx、rcx、r8、r9上。

rdi会保存字符串本身，因此%$1p将会泄露rsi的值，%$2p会泄露rdx的值。以此类推，栈上的第一个值为%6$p。

若你已经掌握32位下的格式化字符串利用，了解上述参数构造的不同后与32位下并无差别。

参考链接

ctf-wiki

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)