진짜 어디가 취약한지 모르겠어요....ㅠㅠㅠㅠ 어떤 개념 이용해야하는지 알려주실 분 계신가요..ㅜ

payload가 %16c%6$hhn%16c%6$hn이면 6$에 위치한 주소 값을 역참조 역참조 후 0x10으로 값 변경 변경된 주소값을 역참조 후 0x20으로 변경 인줄 알았는데 결과는 6$에 위치한 주소값을 0x20으로 바꾸는 작업만 하고 끝납니다 printf가 payload를 어떤 순서로 읽어내는지 아시는 분 계신가요? 그리고 문제 푸신 분들은 fprintf함수를 2번 이상 호출했는지도 궁금합니다

예를들어 aaaaa%11$n나 aaaaa%12$n같이 어떤 %n의 인덱스에 aaw를 하면 터지고 또 fprintf기 때문에 직접적인 출력도 안되서 어떻게 공격을 해야될지 모르겠습니다.