unlink的目的是把一个双向链表中的空闲块拿出来，如图（来源ctf-wiki)

也就是

以前的unlink是没有检查的，很容易利用，不过现在多了两项检查，所以在利用时候要绕过这些检查。

通过一个例子来学习一下，这个例子是Heap Exploitation系列的unlink，为了便于理解，我会用gdb详细的调试一下。
首先，编译程序,我使用的系统是ubuntu14.04 64位，将下面的示例代码编译出来，带上-g参数。

我使用了一个gdb插件pwndbg(应该是插件吧？)，需要安装的话。

开始调试

这样就开始malloc第一个chunk了，返回的地址放在rax里，然后存到栈里。

继续看第二个chunk的地址

接下来的三条命令其实就是输出我们刚刚调试出来的chunk地址的，所以过掉就行了，不过可以检查一下我们找的是不是对的。

然后来详细的说明一下，是怎么unlink exploit的。
假设攻击者已经控制了chunk1的数据，并且可以溢出到chunk2的元数据。
因为我们能够控制chunk1的数据，所以当然可以在chunk1里伪造一个chunk出来。

我们知道，返回给我们的chunk实际上是mem指针,如下图的mem就是chunk1

通过将chunk1强制转换为struct chunk_structure结构体，就伪造出了一个chunk。
相当于

然后我们看一下此时的chunk1的内存。

再看一下fake_chunk,地址为0xffffcf80，指向0x0804b008（mem)

接下来要确保chunk->fd->bk == chunk

如果不熟悉指针加减运算的，可以参考这篇文章
&chunk1是指存放chunk1这个被分配出来的heap的地址的栈地址,即0x7fffffffdd60

此时的chunk1

接下来要确保chunk->bk->fd == chunk

此时的chunk1

我相信到这个时候你已经凌乱了,因为我一开始看到这里的时候也挺凌乱的（因为我指针学的不好emmm..)
让我们再理一下。

首先观察一下栈段，我们知道我们的变量都是存在栈上的,chunk1,fake_chunk都是指针,指针的值都是一个表示地址空间中某个存储器单元的整数,这也就是我们说的指向。

chunk1=0x602010
&chunk1=0x7fffffffdd60

fake_chunk=0x602010
&fake_chunk=0x7fffffffdd70

然后我们再看一下fake_chunk->fd，和fake_chunk_bk的值是多少。

fake_chunk->fd=0x00007fffffffdd48
fake_chunk->bk=0x00007fffffffdd50

需要知道的是，fd和bk的类型同样是struct chunk_structure ，也就是说fake->chunk->fd/bk指向的内存也是"*结构体"

所以这个指向的"结构体"是这样的。

所以fake_chunk->fd->bk=0x0000000000602010=chunk1
而我们知道fake_chunk=chunk1。

所以这样就过了chunk->fd->bk==chunk的检查
chunk->bk->fd == chunk也是同理的

然后为了通过检查点chunk size是否等于next chunk(内存意义上的)的prev_size,我们需要修改chunk2的prev_size

当我们free(chunk2)的时候，因为prev_in_use位被置0，代表前一个chunk（也就是我们的fake_chunk)也处于free，连续的空闲堆块合并而进行unlink操作。
也就是设置

可以看出fake_chunk->fd->bk和fake_chunk->bk->fd都指向(或者说等于)chunk1,即0x0000000000602010，所以只需要关注第二次操作即可。

P->fd即fake_chunk->fd=0x00007fffffffdd48
所以unlink之后,P->bk->fd由0x602010变为0x00007fffffffdd48

变为

也就是说现在chunk1的值变成了0x7fffffffdd48，chunk1[3]实际上就是chunk1。

改变chunk1[3]就是改变chunk1,在本例中, chunk1用于指向变量data并且通过改变chunk1从而影响到了该变量。

可以看出现在chunk1的值已经变成了data的地址0x7fffffffdd80

改变data的值为Victim's data

在内存中查看

现在的chunk1已经指向data了，通过给chunk1[0]赋值，其实就是给data赋值。

查看内存

果然已经变了。
字符串已经变成了hacked!

不知道这些指针跳来跳去的有没有把你绕晕呢~如果晕了的话就自己调一调吧~

https://heap-exploitation.dhavalkapil.com/attacks/unlink_exploit.html

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课