针对你在 CTF Pwn 题目中遇到的格式化字符串漏洞利用困难，特别是输入长度限制导致无法直接泄露地址的问题，核心解决方案在于结合 GDB 动态调试确定栈上参数偏移。当直接 %p 泄露受阻时，需利用 pwndbg 的 stack 或 telescope 命令观察栈内存布局，找到存储目标函数地址的具体栈帧位置。通过计算该地址与已知 libc 函数（如 __libc_start_main）的偏移差，即可反推 libc 基址。此外，若输入受限，可尝试分次泄露或利用已有泄露点结合偏移计算，务必在本地调试环境中复现栈布局后再构造 payload。

CTF Wiki - 格式化字符串漏洞

格式化字符串漏洞是指当程序将一个用户提供的字符串作为格式化字符串参数传递给 printf 等函数时发生的安全问题。攻击者可以通过提供特定的格式化字符串，如 %x 或 %s，来读取或写入栈上的内存数据。在 CTF 比赛中，这类漏洞常用于泄露 libc 地址或覆盖返回地址。利用的关键在于确定用户输入在栈上的偏移量，通常通过发送 %p%n$ 格式的字符串来测试。如果程序没有对输入长度进行严格限制，攻击者可以遍历偏移量直到看到熟悉的内存值。对于新手而言，理解栈帧结构是基础，需要明白函数调用时参数是如何压栈的，以及格式化函数如何从栈中读取参数进行解析，这是利用漏洞的前提条件。

Pwndbg 调试工具使用指南

在使用 GDB 配合 pwndbg 插件进行二进制漏洞调试时，查看栈内存是至关重要的一步。当遇到格式化字符串漏洞时，可以使用 telescope 命令来查看栈上的数据分布。通过观察栈帧，可以找到用户输入字符串的地址以及附近存储的函数返回地址或 GOT 表地址。如果目标函数的地址不在直接可见的栈范围内，可能需要通过计算栈指针寄存器 $rsp 或 $ebp 的偏移来定位。动态调试过程中，建议在关键函数调用处下断点，观察寄存器状态变化。特别是在 printf 函数调用前，栈上的数据排列顺序直接决定了格式化字符串参数能够访问到的内存范围，这是调试的核心关注点。

Linux Pwn 中 Libc 地址泄露原理

计算 libc 基地址是 Linux 二进制漏洞利用中的标准步骤。一旦通过漏洞泄露了 libc 中某个函数（如 printf 或 __libc_start_main）的实际运行地址，就可以减去该函数在本地 libc 文件中的偏移地址，从而得到 libc 的加载基址。公式为：libc_base = leaked_addr - function_offset。有了 libc 基址，就可以计算 system 函数或 /bin/sh 字符串的实际地址。在 64 位程序中，需要注意地址截断问题，通常需要泄露完整的 6 字节地址以确保计算准确。此外，不同版本的 libc 偏移不同，需要确保本地环境与远程环境一致，否则计算出的基址将无法用于后续利用，导致漏洞利用失败。

格式化字符串漏洞输入长度限制绕过

当题目对输入字节数有限制，无法通过长字符串遍历偏移时，需要更精确地定位参数位置。此时可以利用 GDB 查看调用 printf 函数前的栈状态，确定格式化字符串参数在栈上的具体索引。如果无法直接泄露目标地址，可以尝试泄露栈上其他靠近目标地址的值，然后通过加减偏移得到目标地址。另外，也可以考虑是否存在其他漏洞点配合使用，或者利用格式化字符串的写入功能 %n 来修改关键数据，从而绕过长度限制直接控制程序流程。对于输入长度受限的情况，精确计算偏移量比盲目尝试更重要，这需要扎实的汇编基础和调试经验。

FAQ

如何确定格式化字符串的偏移量？

可以通过发送 %1$p, %2$p... 依次测试，直到输出值对应栈上已知数据。

pwndbg 中哪个命令查看栈最方便？

使用 stack 或 telescope 命令可以直观查看栈内存数据。

泄露地址不全怎么办？

64 位下通常需泄露 6 字节，利用 %lls 或多次泄露拼接。