首先要泄露出来libc,构造unsorted bin。使用off-by-one申请chunk[i],然后修改chunk[i+1]的size为0x90并释放chunk[i+1],最终free7个0x90的块,此后0x90再释放就会进unsorted bin。
之后最开始我构造overlap chunk然后double free到一个释放的unsorted bin上修改其prev_size和size,实际上不用这么麻烦(且之后会出问题),可以先free一个中间块,再malloc它,在其中构造fake_chunk(大小为0x20)+0x20+'\x90'从而使其下一个chunk的prev_size为0x20,size为0x90,之前我们提到再释放0x90的块就会使其进入unsorted bin,现在释放这个chunk即可unlink。之后再add两次就可以得到重合堆块了,从而double free。
[注意]看雪招聘,专注安全领域的专业人才平台!
