非栈上格式化字符串漏洞利用技术详解<\/h1>

1. 前言<\/h2>
本文详细讲解非栈上格式化字符串漏洞的利用方法，以第六届强网拟态线下赛的格式化字符串Pwn题为例。重点介绍两个关键技术点：多级指针链利用和高位截断技术，并探讨格式化字符串利用中的一些限制条件。<\/p>

2. 题目分析<\/h2>

2.1 题目基本情况<\/h3>

程序提供一个栈地址<\/li>
给予一次非栈上格式化字符串的利用机会<\/li>

程序直接使用exit退出，无法直接控制main函数的返回地址<\/li> <\/ul>

2.2 面临的挑战<\/h3>

格式化字符串缓冲区不在栈上，无法直接在栈中写入目标地址进行修改<\/li>

只有一次利用机会，需要精心构造payload<\/li> <\/ol>

3. 关键技术点<\/h2>

3.1 多级指针链利用<\/h3>
当格式化字符串不在栈上时，可以通过修改栈上现有的多级指针链（二重\/三重指针）来间接控制目标内存。<\/p>

3.1.1 指针链的发现<\/h4>

通过gdb调试，在call printf<\/code>指令处查看栈内容，可以发现栈中存在多级指针链：<\/p>

0x7ffde9b11bd8 -> 0x7ffde9b11cb8 -> 0x7ffde9b12317
<\/code><\/pre>
3.1.2 利用方法<\/h4>

修改指针链中的地址，使其指向目标位置<\/li>
通过修改后的指针链间接写入目标值<\/li>
<\/ol>
3.1.3 具体步骤<\/h4>

找到栈上的多级指针链<\/li>
计算各指针在printf参数中的偏移量（如0x7ffde9b11bd8偏移为11，0x7ffde9b11cb8偏移为39）<\/li>
修改指针链使其指向目标地址（如printf的返回地址0x7ffde9b11ba8）<\/li>
<\/ol>
3.2 高位截断技术<\/h3>
当前期输出字符数已超过后期需求值时，利用0x10000溢出特性实现单字节精确写入。<\/p>
3.2.1 技术原理<\/h4>

使用%n<\/code>系列格式化符（%hn<\/code>、%hhn<\/code>）进行写入<\/li>
利用整数溢出特性：0x10000 + x ≡ x (mod 256)<\/li>
当已输出字符数大于目标值时，可以构造0x10000 + x的输出<\/li>
<\/ul>
3.2.2 应用场景<\/h4>

需要精确控制单字节写入时<\/li>
前期已经输出了大量字符，无法直接使用小数值时<\/li>
<\/ul>
3.2.3 示例<\/h4>
payload =<\/span> b<\/span>'%'<\/span> +<\/span> str(0x10023<\/span>).<\/span>encode() +<\/span> b<\/span>'c%39$hhn'<\/span>
<\/span><\/span><\/code><\/pre>这个payload会写入0x23到目标地址，因为0x10023 ≡ 0x23 (mod 256)<\/p>
4. 重要限制条件<\/h2>
4.1 同一条指针链上不能连续使用$符号<\/h3>
4.1.1 问题描述<\/h4>
不能对同一条指针链（如0x7ffde9b11bd8 -> 0x7ffde9b11cb8 -> 0x7ffde9b12317）连续使用两次$符号进行修改。<\/p>
4.1.2 原因分析<\/h4>

$<\/code>符号的实现采用预处理机制<\/li>
printf会分析完整的format参数，找到最大的%x$n<\/code>，然后从栈上提取相应信息到args_value<\/code><\/li>
第一次修改成功的是栈中的数据，但args_value<\/code>仍是原来的值<\/li>
第二次修改时，仍使用旧的args_value<\/code>中的地址<\/li>
<\/ul>
4.1.3 解决方案<\/h4>

避免在同一条指针链上连续使用$<\/code>符号<\/li>
如果需要多次修改，应使用不同的指针链或分阶段修改<\/li>
<\/ul>
5. 完整利用流程<\/h2>
5.1 利用步骤<\/h3>


修改指针链使其指向printf的返回地址<\/p>

使用%n<\/code>修改0x7ffde9b11cb8中存储的地址<\/li>
将0x7ffde9b12317改为0x7ffde9b11ba8（修改两个字节）<\/li>
<\/ul>
<\/li>

修改printf的返回地址<\/p>

使用高位截断技术精确写入单字节<\/li>
构造payload如%0x23c%39$hhn<\/code><\/li>
<\/ul>
<\/li>

实现多次利用<\/p>

通过修改后的指针链多次使用格式化字符串漏洞<\/li>
<\/ul>
<\/li>

最终利用<\/p>

在printf返回地址下方的栈空间逐步填入one_gadget<\/li>
最后将printf的返回地址修改为ret指令地址<\/li>
从而成功调用one_gadget<\/li>
<\/ul>
<\/li>
<\/ol>
5.2 EXP示例<\/h3>
# 修改指针链使其指向printf返回地址<\/span>
<\/span><\/span>payload1 =<\/span> b<\/span>'%'<\/span> +<\/span> str(0x1ba8<\/span>).<\/span>encode() +<\/span> b<\/span>'c%11$hn'<\/span>
<\/span><\/span># 使用高位截断技术修改返回地址<\/span>
<\/span><\/span>payload2 =<\/span> b<\/span>'%'<\/span> +<\/span> str(0x23<\/span>).<\/span>encode() +<\/span> b<\/span>'c%39$hhn'<\/span>
<\/span><\/span># 后续利用...<\/span>
<\/span><\/span><\/code><\/pre>6. 相关题目推荐<\/h2>

[LitCTF 2025]onlyone：与强网拟态题目几乎相同的利用方式<\/li>
<\/ul>
7. 参考资源<\/h2>

一次有趣的格式化字符串漏洞利用 | ZIKH26's Blog<\/li>
格式化字符串漏洞利用 - WJH's Blog<\/li>
<\/ol>
8. 总结<\/h2>
非栈上格式化字符串漏洞利用的关键在于：<\/p>

发现并利用栈上现有的多级指针链<\/li>
掌握高位截断技术实现精确写入<\/li>
理解并规避同一条指针链上不能连续使用$符号的限制<\/li>
通过精心构造的payload实现有限条件下的完整利用<\/li>
<\/ol>

非栈上格式化字符串漏洞利用技术详解<\/h1>

2. 题目分析<\/h2>

3. 关键技术点<\/h2>

3.1 多级指针链利用<\/h3> 当格式化字符串不在栈上时，可以通过修改栈上现有的多级指针链（二重\/三重指针）来间接控制目标内存。<\/p>

3.2 高位截断技术<\/h3> 当前期输出字符数已超过后期需求值时，利用0x10000溢出特性实现单字节精确写入。<\/p>

4. 重要限制条件<\/h2>

4.1 同一条指针链上不能连续使用$符号<\/h3>

4.1.1 问题描述<\/h4> 不能对同一条指针链（如0x7ffde9b11bd8 -> 0x7ffde9b11cb8 -> 0x7ffde9b12317）连续使用两次$符号进行修改。<\/p>

5. 完整利用流程<\/h2>

3.1 多级指针链利用<\/h3>
当格式化字符串不在栈上时，可以通过修改栈上现有的多级指针链（二重\/三重指针）来间接控制目标内存。<\/p>

3.2 高位截断技术<\/h3>
当前期输出字符数已超过后期需求值时，利用0x10000溢出特性实现单字节精确写入。<\/p>

4.1.1 问题描述<\/h4>
不能对同一条指针链（如0x7ffde9b11bd8 -> 0x7ffde9b11cb8 -> 0x7ffde9b12317）连续使用两次$符号进行修改。<\/p>