IDA,F5
main函数

add_note 函数


notelist是4字节。在源代码中,每个notelist[i]装的是新malloc的地址。
*notelist指向这个地址的内容。
*notelist[i]=print_note_content ,print_note_content又是4个字节。
v1指针指向notelist[0]的内容,即新的malloc地址。那么*notelist内容就可以被分为v1[0]和v1[1]。v1[0]的内容是print_note_content返回值。
v1[1]=malloc(size),即v1[1]里面又装着一个新的chunk地址。

delnote 函数
free两次,没有设置为null,存在UAF漏洞。

此题留有后门函数:

print_note函数

这个函数打印的是第一个chunk的v1[0]部分,也就是print_note_content的地址。
分析
这个题可以想办法把v1[0]的内容,由print_note_content()地址变成magic()函数地址。
这里可以先add note两次,那么,就产生了4个chunk。注意,chunk content i一定要比chunk p i大。

del note(0)把note

本文详细分析了一个名为pwnable_hacknote的题目,涉及Ubuntu系统、堆栈操作和Python编程。通过IDA调试,发现程序存在未初始化的使用(UAF)漏洞。通过两次添加笔记,删除特定笔记,再重新分配内存,可以将chunk的v1[0]部分替换为magic()函数地址,从而在调用print_note函数时执行该函数,最终获得shell。
587

被折叠的 条评论
为什么被折叠?



