Muy buenas,

veréis estoy intentando aprobecharme de la vulnerabilidad de la cadena de formato, principalmente intentando leer una direccion de memoria arbitraria gracias a printf y a %s. El funcionamiento es el siguiente,

tengo un fmt_vuln.c que es algo asi

toma el argumento 1, que es un string, lo copia en text y lo imprime

ahora vayamos con las pruebas


lo que hago aquí es enviar una cadena AAAA y, usando la bash y perl, quiero ver que hay en la pila, bajo el marco de la función, haciendo uso de la vulnerabilidad de printf al intentar leer el formato de cadena

el resultado el que sigue: veo la cadena AAAA, al principio, luego varias cosas en memoria y al final 41414141, que es donde está almacenada mi cadena AAAA (\x41 en codigo ASCII es A). Ahora bien, si yo en vez de usar %x, usara %s, en el formato de cadena, debería leerme el contenido de la dirección de memoria que se pasara como parametro, pero como no hay parametro, si pongo,


intentaría acceder a la dirección 41414141. Lógico esto no existe. Entonces intento insertar una dirección que sí exista. Voy a crear una variable PATH y localizar su direccion en memoria


a traves de un código, averiguo que PATH está en


pues si yo introduzco esa dirección, invirtiendola debido a la arquitectura de la memoria, de la misma forma que hice antes, debería de aparecer en memoria


pero no, el resultado que me da es


y fijaros en varias cosas, al principio tengo mi dirección, luego información de memoria y al final aparecen unos valores repetidos \x30\x25\x2e\x78\x38 que si comprobáis como codigo ASCII esto son los valores correspondientes a %08x.

y aquí viene mi pregunta, ¿donde está mi direccion "\x49\x9d\9e\xbf"? porque debería de estar antes de esos valores.

Espero entiendan la explicación y el problema, gracias!