这道题目也是一个经典的笔记本类型heap题目，不过题目创新之处在于改写prev_size的方式，我们先来看看大概代码:

有必要指出来的是， malloc_array 存储了各个chunk的地址以及对应存储内容的大小。

read_content函数有一个很明显的 off by one 。当我们创建输入size 248（也就是"0xf8"）时， 相邻chunk的prev_inuse会被抹除掉。这样，我们就可以创建overlapping chunk。 再然后，我们用 TCache 双重释放 overlapping chunks，最后控制了新创建的chunk地址就可以任意地址写了。

但是呢，这里所有的chunk大小都为 0x100，也就是说我们必须写入0x100的整倍数以创建overlapping chunk（比如0x200）。 '\x00'会被 read_content检测, 导致我们不能直接输入 0x200 到 prev_size。

我想了想，最后发现我们可以用 unsorted bin 改写 prev_size. 当unsorted合并的时候, 他会创建一个prev_size于块的末尾. 如果我们合并chunk A, B, C (大小都是 0x100)，会发生如下图的事:

当Unsorted Bin被malloc之后, 它只会改变最后的那个 prev_size (0x300那个）, 所以中间的 (0x200) 保持不变。

最后就是常规的TCache利用了。 由于开启了"Full RELRO"，我们只能改写 free_hook成one_gadget来RCE. btw，我们需要填充7个chunk到TCache，不然程序不会使用unsorted bin。用TCache double free的时候也是一个道理，先free掉unsorted bin里的chunk，我们才能用TCache。

攻击脚本：

最后依然是广告，这是我的blog：http://www.auxy.xyz ，欢迎各位大佬访问QWQ

后面的几个pwn writeup有时间就写orz，尽量争取吧

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)