Unsortbin attack原理及分析

Unsortbin attack原理

️条件：首先要实现Unsortbin attack前提是可以控制Unsortbin attack chunk的bk指针

️目的：我们可以实现修改任意地址为一个比较大的值

️原理：1.Unsortbin的来源

1.当一个较大的 chunk 被分割成两半后，如果剩下的部分大于MINSIZE，就会被放到 unsorted bin 中。

2.释放一个不属于 fast bin 的 chunk，并且该 chunk 不和 top chunk 紧邻时，该 chunk 会被首先放到 unsorted bin 中。

3.如果不是和 top chunk 近邻的话,当进行malloc_consolidate 时，可能会把合并后的 chunk 放到 unsorted bin 中。

因为unsortbin是双向链表而且是FIFO（先进先出）原理可以看下面这张图

那么当我们修改free chunk下bk指针为目的地址-0x10的位置，当吧这个chunk拿出来的时候fd指针并没有发挥左右，所以即使我们覆盖fd的指针为不合法的值其实也没有关系。但是unsortbin的链表可能被破坏，那样再free chunk的时候可能出现问题，可以看见目的地址修改为Unsort bin的地址(fd指针指向Unsort bin的地址)

主要涉及的代码

          /* remove from unsorted list */
          unsorted_chunks (av)->bk = bck;
          bck->fd = unsorted_chunks (av);

还是上一篇博客的题目博客链接  https://www.cnblogs.com/CH13hh/p/18158419  里面有题目链接和反汇编分析

那么既然要改magic的地址大于114515就好了然后choice选择114514，那么我们可以使用unsortbin attack修改magic的地址为一个较大的值。

那么这个值是远远大于114515的。进而完成对magic地址的修改（只能修改一个较大的值，但是值的内容不受我们控制）