house_of_force是一种通过修改topchunk 的size字段来控制malloc返回包含想要控制地址的chunk的手法，从而达到修改任意地址内容的目的

原理：

假设有一个溢出漏洞，可以改写 top chunk 的size字段，然后将其改为一个非常大的值，
以确保所有的 malloc 将使用 top chunk 分配，而不会调用 mmap。这时如果攻击者 
malloc 一个很大的数目（负有符号整数），top chunk 的位置加上这个大数，造成整
数溢出，结果是 top chunk 能够被转移到堆之前的内存地址（如程序的 .bss 
段、.data 段、GOT 表等），下次再执行 malloc 时，攻击者就能够控制转移之后地
址处的内存。

house_of_force利用条件：

1. 存在漏洞能控制top_chunk的size大小
2. 能自由控制分配堆的大小
3. 分配的次数不受限制

evil chunk的大小：用目标地址减去 top chunk 地址，再减去 chunk 头的大小。

利用方法：

1. 通过漏洞控制top chunk 的size字段为-1 (32位的话就是0xffffffff,64位的话就是0xffffffffffffffff)
2. 计算出要分配的evil chunk的大小
3. 分配evil chunk
4. 分配目标地址的chunk

---

同时top_chunk还有另一种玩法
假设存在堆溢出漏洞或者其他能修改top chunk size字段的漏洞，加上malloc的大小受用户输入控制

• 将top chunk size 字段修改为 __free_hook + system - top_chunk _ptr -1
• 在malloc 一个 _free_hook - top_chunk_ptr - 0x10大小的chunk
  就可以将__free_hook 地址的内容修改为 top chunk的新size 即 system函数的地址

具体分析下源码：

• 从topchunk中分配chunk的操作

     p = av->top;
     size = chunksize (p);
     /* check that one of the above allocation paths succeeded */
     if ((unsigned long) (size) >= (unsigned long) (nb + MINSIZE))
       {
         remainder_size = size - nb;
         remainder = chunk_at_offset (p, nb);
         av->top = remainder;
         set_head (p, nb | PREV_INUSE | (av != &main_arena ? NON_MAIN_ARENA : 0));
         set_head (remainder, remainder_size | PREV_INUSE);
         check_malloced_chunk (av, p, nb);
         return chunk2mem (p);
       }
  

如果将top chunk的size字段修改为(system + free_hook - top_chunk_ptr )
当分配 free_hook - top_chunk_ptr -0x10时，就会从top chunk 中分配
分配完后 ，新topchunk 的size 为

new_size= (system + __free_hook -  top_chunk_ptr) - (__free_hook - top_chunk_ptr - 0x10 + 0x10) = system 

然后新的top_chunk_ptr 为 old_top_ptr + 分配掉的size

new_top_chunk_ptr = top_ptr + ( __free_hook - top_chunk_ptr -0x10) = __free_hook - 0x10

理论上是这样的，但是实际分配的时候还需要考虑到计算size的对齐问题等，所以可以在上面
写入的值附近试一试，保证最后可以在__free_hook写入system地址
（实际上是system+1，因为topchunk的P标志位会被设为1）地址就行。