496651是什么呢？__cfltcvt()

%f是如何調(diào)用__cfltcvt()的呢？加入%f代碼，用之前同樣的跳到retn動態(tài)調(diào)試后，可以發(fā)現(xiàn)熟悉的調(diào)用鏈。

sub_46E800()

vsprintf()

_output()

off_4B48E8()

__cfltcvt()

那么%f本質(zhì)上就是先用%n劫持了__cfltcvt()的got表，改寫到4B4000，然后在4B4000地址上寫入惡意匯編，最后%f觸發(fā)之。

當(dāng)然，mugen中一定還存在很多其他got表劫持的辦法，但%f可以更穩(wěn)定的觸發(fā)，發(fā)現(xiàn)者可以說是非常厲害了。

我們先執(zhí)行最簡單的匯編，0x90也就是NOP。

我們在4713A9(call _vsprintf)下斷點然后F9，可以清晰的看到依次利用%n改寫內(nèi)存。如下圖，4B48E8改寫完成，開始改寫4B4000。

當(dāng)4B48E8和4B4000都改寫完成后，最后一次vsprintf執(zhí)行%f。

此時斷點4B4000，F(xiàn)9后發(fā)現(xiàn)NOP被成功執(zhí)行。

那么就可以利用匯編做任何想做的事，在mugen中通常指擊殺對方人物，這需要對mugen地址的研究，我這里就簡單一點用一個彈計算器的shellcode，并且寫好生成cns代碼的python3腳本

msfvenom -p windows/exec cmd="calc.exe" exitfunc=thread -b "\x00" -f python

結(jié)果如下。