문제를 확인한 결과 double free는 먹히지 않고, heap overflow도 안 되는 거 같고...할당되지 않은 주소를 double free가 가능하다는 걸 확인했지만 구조상 free에 들어갈 거 같지가 않습니다. uaf는 가능하지만 uaf된 청크에 쓰기는 불가능합니다. 접근 방식을 전혀 모르겠어서 질문 남겨봅니다. 약간의 힌트라도 얻을 수 있을까요?

.............................................................................................................................................................................................................................................................미리보기 스포 방지..................................................................................................................................................... . . . . . . . . . . . . . . . release 부분에서 occupied에 대한 검사가 따로 없어서 UAF와 엮어서 double free가 가능하다는 것 까지는 파악하였고, safe link 가 돼있다는 것 까지는 알아냈습니다. payload 구성을 cat의 포인터 배열을 통해 free의 got 를 system으로 덮어 system(/bin/sh)를 실행하는것이 답이라 생각하고 디버깅 중입니다. 다만 double free 이후에 이후에 할당된 청크를 조작하기 위해 처음 free 이후 see를 통해 xor 할 alue 를 알아넀다고 생각하고 1 0 (cat[0]에 처음 할당) 4 0 (cat[0] free) 2 0 (save link 의 xor 값 읽어서 변수 xorV로 저장) 1 1 (cat[1] 에 cat[0] 로 할당되었던 청크 할당) 4 0 (cat[1] 과 같은 청크이므로 free 가능) 3 1 'a'* 9 (cat[1] 을 통해 fd bk 값 오염) 4 0 (cat[1] 의 청크 double free) 1 2 (cat[2] 에 double free 된 청크 1번 할당) 3 2 p64(cats주소 혹은 GOT 값과 xorV가 xor 된 값)(safe link의 양식에 맞는 할당을 원하는 주소) 1 3 (cat[3] 에 double free 된 청크 2번째 할당. 이후 청크는 제가 조작한 cats 로 들어갈 것으로 생각) 1 4 마지막 1 4 과정에서 제가 원한 주소가 할당이 되어 cat[4] 가 제가 임의로 쓰고 읽을 수 있는 주소가 될 것이라고 기대했습니다. 하지만 새롭게 heap chunk 가 할당되었습니다. 제가 어디서 잘못 접근한 것인지 혹은 해결 방법에 대한 힌트를 조금 알려주실 수 있으실까요??