Unsortbin attack原理
✔️条件:首先要实现Unsortbin attack前提是可以控制Unsortbin attack chunk的bk指针
✔️目的:我们可以实现修改任意地址为一个比较大的值
✔️原理:1.Unsortbin的来源
1.当一个较大的 chunk 被分割成两半后,如果剩下的部分大于MINSIZE,就会被放到 unsorted bin 中。
2.释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,该 chunk 会被首先放到 unsorted bin 中。
3.如果不是和 top chunk 近邻的话,当进行malloc_consolidate 时,可能会把合并后的 chunk 放到 unsorted bin 中。
因为unsortbin是双向链表而且是FIFO(先进先出)原理可以看下面这张图
那么当我们修改free chunk下bk指针为目的地址-0x10的位置,当吧这个chunk拿出来的时候fd指针并没有发挥左右,所以即使我们覆盖fd的指针为不合法的值其实也没有关系。但是unsortbin的链表可能被破坏,那样再free chunk的时候可能出现问题,可以看见目的地址修改为Unsort bin的地址(fd指针指向Unsort bin的地址)
主要涉及的代码
/* remove from unsorted list */
unsorted_chunks (av)->bk = bck;
bck->fd = unsorted_chunks (av);
还是上一篇博客的题目博客链接 https://www.cnblogs.com/CH13hh/p/18158419 里面有题目链接和反汇编分析
那么既然要改magic的地址大于114515就好了然后choice选择114514,那么我们可以使用unsortbin attack修改magic的地址为一个较大的值。
那么这个值是远远大于114515的。进而完成对magic地址的修改(只能修改一个较大的值,但是值的内容不受我们控制)
__EOF__
