格式化字符串小心得

格式化字符串的一些总结和心得：

• 虽然做的题目不多，但是还是有一点感悟，小总结一下。
• 格式化字符串漏洞可以实现的事情：
• 1. 读（泄露函数地址），一般用于泄露出想要篡改的函数的got表的内容，也就是其真正的地址，需要ELF功能来获取got表地址，payload一般为‘%k$s’+p32(fun_got)，k为fun_got这个字符串所在位置的偏移，还要注意x86和x86-64的偏移计算方法的差别。
  2. 写（篡改）：
     1. 篡改某一个函数的got表内容，这个函数选择很重要，可能决定了exp的复杂程度：
        1. 当程序没有循环时，尽量选择printf()之后的函数，实在不行只能同时改两个地址，一个选择的函数的地址，一个fini_arry首元素的内容为start的地址，使程序重新运行。
        2. 当程序有循环时就无需那么麻烦。
     2. 看程序中有无system(’/bin/sh’):
        1. 有的话难度较低，将printf之后的一个函数的got表改成system(’/bin/sh’)的地址即可，再想办使这个函数被调用。
        2. 没有的话得先用读的功能泄露Libc版本，然后获取system函数的地址，这时候所选择函数必须是类似这种：puts(buf),printf(buf)这种，并且buf必须可输入，这样才可将buf改为‘/bin/sh’并调用system(’/bin/sh’)。
     3. 特殊情况：
        1. 改写某一数据使其符合if语句条件从而调用if之后的system(’/bin/sh’)。
        2. 改写printf函数的调用函数（不是main函数）的返回地址，使其返回到system(’/bin/sh’)上。这里比较特殊，需要调用函数不太复杂，其中没有很多变量，才能使得其bp能在偏移中找到，然后才能确定offset。进而用读的方式获取返回地址，然后篡改。
     4. 利用形式：
        1. x86：单个改写可用fmtstr_payload=(k,{fun_got:sys_addr})，较简单。
        2. x64：因为地址中带有‘\x00’所以直接用%k$lln改写时不能将p64(fu{n}_{g}ot)放到‘$lln’前面，否则会截断，只能将其放在后面。或者采用$hn的方法改写尾部。
        3. 注意两个对齐：格式化字符串字节数与地址对齐，输出长度与改写数据对齐。