利用空闲的Fast Chunk发生溢出：如果一个空闲的FastChunk发生溢出，可以覆盖链表的指针fd，从而修改链表中的指针，引入伪造的空闲FastChunk。当下次分配时，分配将会出配成伪造的FastChunk。

伪造的Fast Chunk位置：伪造的Fast Chunk可以找到在BSS（已初始化的全局变量区域）或者在栈上、堆上。

在栈上伪造Fast Chunk：

• 覆盖返回地址：当调用函数时，返回地址会被栈上的伪造Chunk覆盖。随后，程序的执行将被转换到伪造的Chunk地址处。

在BSS上伪造Fast Chunk：

• 修改全局变量：这里需要找到在BSS区的伪造FastChunk。工作量较大，需对目标程序进行逆向分析，确定哪些全局变量是用于Fast Chunk分配。

在堆上伪造Fast Chunk：

• 修改分配的堆结构：攻击者需要修改堆上的分配方式，使之返回一个伪造的地址或Chunk，创造出符合Fast Chunk结构的内存块。

代码结构分析：

• menu函数：显示操作菜单。
• new_note函数：创建新note，使用malloc分配内存。
• edit_note函数：重新分配note大小，使用realloc。
• delete_note函数：删除note，但未检查note是否有效，可导致double-free漏洞。
• list_note函数：列出所有note内容。

init_notes函数：

• 初始化时，分配了256个note结构体，保存在note_list结构体中。

内存管理漏洞：

• delete_note函数中，没有检查note是否有效储存，可以导致释放已释放内存。
• edit_note函数在改变note大小时，调用realloc存在潜在风险。

注入特定操作：

• 首先注入一个特定的操作，如malloc(0x30)，会导致系统尝试分配一个Chunk。 -伪造这个Chunk的返回地址，使程序跳转到攻击者控制的代码。

获取目标binary地址：

• 使用gdb获取目标程序的binary文件，分析内存布局。
• 找出note_list和note的结构，确定各个Chunk的起始位置。

修改返回地址：

• 伪造返回地址，从而让程序转移到攻击者选择的地址。

调用函数导致栈溢出：

• 执行特定的操作，触发栈溢出，伪造ClassicChunk将控制返回地址。

获得控制流程：

• 成功伪造后，可以控制程序执行流程，实现远程代码执行。

使用工具验证：利用动态调试器（如gdb）验证Stack Buffer Overflow是否成功，伪造的Chunk是否被正确加载在Stack中。

检查伪造的Chunk内容：检查Chunk的结构，确认所有必要的地址和数据是否被正确伪造。

测试攻击媒介：确保攻击的环境中没有其他干扰，攻击者可以稳定地控制程序执行流程。