由于没有free函数,所以得通过house of orange,来达到leak libc的任务,首先申请一个chunk,由于edit函数具有heap溢出,所以可以修改top chunk的值,然后在申请一个比top chunk大的chunk,就可以把剩下的chunk放入unsorted bin中 在然后申请一个large bin,然后由于chunk没有被初始化,所以此时的fd bk是指向main_arena+0x88...
old_top + oldsize的值是页对齐的 创建第二个house,触发sysmalloc中的_int_free 如果要触发sysmalloc中_int_free,那么本次申请的堆大小也不能超过mp_.mmap_threshold,因为代码中也会根据请求值来做出不同的处理。 if(av ==NULL|| ((unsignedlong) (nb) >= (unsignedlong) (mp_.mmap_threshold)&& (mp_....