这题也是一般堆溢出的流程，主要有下面几个操作
1.创建
 

这一段代码比较多，但可以看到问题还是存在的，size和cun都是可以通过输入负数，接着通过强类型转换`unsigned int`来转换成很大的整数来整形溢出。

2.删除

可以看到这里也是存在问题的，删除之前没有判断块是否被删除了，所以应该可以构造`double-free`

3.编辑

这里就是正常的编辑，不过验证了块是否存在。

二、DOUBLE-FREE
一年前做过一道`double-free`之后就再也没碰过了，这里正好把相关知识点再温习一下。
堆结构如下，其中0,1,2,3表示一个单位长度。

正常`unlink`的函数主要代码如下：

如果能覆盖一个块的头部来达到控制其`bk`和`fd`的话，就能够成功修改任意地址的值了，但由于存在判断`FD->bk != P || BK->fd != P`，所以没法随便修改，这时就需要利用`double-free`了。
首先判断是需要通过的，所以可以有下面两个等
FD->bk = P   <=> FD+3 = P
BK->fd = P   <=> BK+2 =
接着就是构造一个堆头满足这两个等式了
pre_size     0
size         chunk_size + 1 //这两个条件表示堆仍在使用中
fd           p_addr - 3
bk           p_addr - 2

那么就能得到绕过判断后能实现的效果
FD->bk = BK => P = BK = P - 2
BK->fd = FD => P = FD = P - 3

所以最后实现的效果是`P=P-3`。

接着就是实现`double-free`的流程了，稍微盗一下图...
1.新建两个chunk分别为chunk0和chunk1

2.free掉这两个块，第一块作为稍后unlink的块，另一块作为free的块

3.新建一个块，这个块要能覆盖到chunk1的头部，从而伪造两个chunk的头，chunk0的头部之前已经说过了，而chunk1需要欺骗操作系统chunk0是已经被free了的，所以其头部应该如下
pre_size     chunk0_size
size         chunk1_size
然后整体实现如下：

4.那么新建这个块就相当于是两个块了，然后我们free chunk1，就能实现unlink chunk0从而使得chunk0的地址存放的值变成了P-0x18
5.接下来修改chunk0的值，修改的值为0x18个padding，然后就能修改chunk0的地址的值了，这时修改成free的GOT表地址
6.接下来再修改一次chunk0， 这次的值修改成system那么就会使得free的GOT表指向system，接下来free的时候传入/bin/sh就能获取shell了

三、 EXP
在调试EXP过程中出现了这样俩个问题，需要注意一下。
第一个是这里的P指的是指向堆地址的指针，也就是`0x6020e0`，不要误以为是堆的地址哦。
第二个在这里我是把`/bin/sh`写在第0个堆，而用2，3来进行`double-free`，主要原因是由于在调试的过程中发现把`/bin/sh`写后面会被系统发现`double-free`。
具体EXP:

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课