linux 堆溢出学习之malloc堆管理机制原理详解

最新推荐文章于 2024-09-11 01:38:28 发布
最新推荐文章于 2024-09-11 01:38:28 发布
阅读量1.3w 收藏 50
点赞数 17
分类专栏: pwn 文章标签: 数据结构 malloc linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29343201/article/details/59614863
版权

前言

在pwn的学习过程中,最为难啃的骨头莫过于堆相关的利用,然而无论是在实际情况下还是在ctf比赛中,堆利用都是绝对的主流,是漏洞的主要类型之一。鉴于国内相关资料有限,系统讲解堆溢出利用的更是少之又少,我在此整理相关内容,既能作为自己学习的记录,也希望能够给大家带来一定的作用,不过鉴于本人也在学习之中,如有错误希望大家包涵,并且能够积极指正。

堆的基础知识

什么是堆

堆是一种全局的数据结构,用以动态管理系统内存,与之相对应的广为人知的是栈,栈也是一种动态的内存结构,但是栈并不是人工分配用以存储数据的,而是由系统自动分配的,相比较而言,堆具有更多的灵活性,典型的区分就是在C语言当中,在函数当中的局部变量就是存在函数的栈当中,是自动分配的,而使用malloc函数,calloc函数等进行分配的内存则位于堆空间,是我们向系统“索取”的内存空间

堆的分布

堆在内存当中的分布示意如下
内存分布
从高地址到低地址依次为:

  • 内核的空间:我们在编写应用程序(非内核空间程序)的时候,这一块地址我们是不能够使用的,

  • 栈区域(User stack)主要是用于函数的局部变量和函数参数的存放 .共享库的映射空间(Memory mapped region for shared libraries),用以将程序调用的外部函数所在的共享库映射到这个空间,这样才能够使用外部函数,详情可参考《程序员的自我修养》

  • 运行时堆(Run-time heap),由malloc,calloc等创建的空间,是运行的时候由程序申请的(注意这里和下面的data所在的空间其实不一定是连起来的,如果使用了ASLR,即内存地址随机化保护,这里就会有一段随机的间隔)

  • 可读写数据(read/write data),比如全局变量 .只读代码和数据(Read-only code and data),就是可执行文件的代码和一些不能够修改的数据了

GNC C库的实现

背景常识

Glibc提供了一些堆管理函数的实现,典型的有malloc, free, realloc等等,这些函数的实现其实又来源于ptmalloc2,历史不是我们的重点我就不在这里赘述。

其实现方法是通过调用系统调用(可以粗略的理解为操作系统提供的非常基础的函数,用来和操作系统进行交互)brk或者mmap,再加上自己的一些管理的数据结构和算法来加快或者方便管理,关于brk和mmap系统调用的作用这里不再赘述,可以很轻松的查到相关信息。

实现综述

Ptmalloc2通过几种数据结构来进行管理,主要有arena,heap,chunk三种层级。Chunk为分配给用户的内存的一个单位。 对于这一块内容如果感觉不是太懂,可以结合后面数据结构部分去看,其实arena和heap我感觉都是对chunk的一种组织方式,方便之后的分配,arena又是对heap的组织。

  • arena 对于32位系统,数量最多为核心数量2倍,64位则最多为核心数量8倍,可以用来保证多线程的堆空间分配的高效性。主要存储了较高层次的一些信息。有一个main_arena,是由主线程创建的,thread_arena则为各线程创建的,当arena满了之后就不再创建而是与其他arena共享一个arena,方法为依次给各个arena上锁(查看是否有其他线程正在使用该arena),如果上锁成功(没有其他线程正在使用),则使用该arena,之后一直使用这个arena,如果无法使用则阻塞等待。

  • heap heap的等级就比arena要低一些了,一个arena可以有多个heap,也是存储了堆相关的信息。

  • chunk chunk为分配给用户的内存的一个单位,每当我们分配一段内存的时候其实就是分配得到了一个chunk,我们就可以在chunk当中进行一定的操作了。不过为了进行动态分配,chunk本身也有一些数据(元数据),是用来指示其分配等等的数据。

我们这里给出分配的一个总体过程,使得有一个大致印象,根据后面的细节,如果有什么地方不太懂,可以参考这个过程。现在可能有一些名词还不是很明白,可以先阅读后文,再回来看这个过程。

  • Malloc: 根据线程的arena决定使用哪个arena的heap,然后根据大小确定使用哪种bin,然后在相应的bin中去寻找可以分配的合适的chunk,分配chunk之后将该chunk从相应的bin链表中移除。如果所有bin中都没有可以使用的chunk可以选择,则到top chunk当中取一段区域来使用,剩下的chunk作为remainder,也成为新的top chunk,如果top chunk不够了则使用系统调用来增加空间。Main_arena和thread_arena的系统调用方式不同,main_arena通过brk,这样可以直接在原来的基础上增加一块连续的区域,这样就只需要一个heap,而thread_arena通过mmap,如果要再进行申请就需要一个新的heap,一个新的heap结构,这些heap结构

最低0.47元/天 解锁文章
Anciety
关注
专栏目录
c# 结构体 4字节对齐_二进制安全之溢出(系列)——基础 & 结构(二)...
weixin_39936380的博客
10-27 246
哈喽啊这里是二进制安全之溢出(系列)第二期“基础 & 结构”第二节!!话不多说,直接上干货!微观结构函数执行流程void *malloc (size_t bytes) void *__libc_malloc (size_t bytes) //对于_int_malloc做简单封装 __malloc_hook //类似于虚函数,派生接口,指定一个malloc的方式 _int_mall...
的内存管理简介
m0_60584218的博客
02-20 5812
目录 的概述 的操作 brk、mmap函数 调用过程 多线程 多Arena的管理 管理介绍 chuck bin 参考:进程分配内存的两种方式--brk() 和mmap()(不设计共享内存)_鱼思故渊的专栏-CSDN博客_mmap分配内存 相关数据结构 - CTF Wiki 浅析的申请释放及相应保护机制 | Introspelliam 的概述 在程序运行过程中,可以提供动态分配的内存,允许程序申请大小未知的内存。其实就是程序虚拟地址空间的一块连续的线性区域,它由
【二进制安全】PWN基础入门大全(非常详细)零基础入门到精通,收藏这一篇就够了
leah126的博客
07-25 2807
PWN是一个黑客之间使用的词语,通常指攻破设备或系统。发音类似“砰”,对黑客而言,这象征着成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被操纵了。在网络安全语境中,PWN通常指的是通过不同的攻击手段如利用漏洞、进行社会工程学攻击等方法成功地获得了一个设备、系统或网络的未授权控制权。一旦攻击者“PWN了”一个系统,他们就可以执行各种恶意活动,如窃取数据、安装恶意软件或制造更广泛的破坏。
Linux溢出利用2-House of force基本原理
haibiandaxia的博客
08-31 1423
Linux溢出利用 2-House of force基本原理1 前言2 基础知识2.1 Top Chunk的分割机制2.2 溢出top chunk的方法2.3 利用条件3 程序和调试环境准备3.1 实验环境3.2实验目标3.3演示程序3.4编译命令4 程序调试5 总结6 参考链接 1 前言 House of Force 是一种利用方法,可以实现任意内存地址的读写,个人认为难理解的点有两个: 如何通过溢出已经分配的chunk,准确覆盖top chunk中的size字段; 我们的目的是将top chun
linux内核计数函数,Linux 内核学习笔记:malloc 函数
weixin_39796116的博客
04-30 336
Linux 0.11 实现的 malloc 函数实际上分配的是内核程序所用的内存,而不是用户程序的,因为源码中找不到类似系统调用 malloc 的代码。在 Linux 0.98 后,为了不与用户程序使用的 malloc 相混淆,将内核使用的 malloc 函数改名为 kmalloc(free_s 改名为 kfree_s)。对于 malloc 函数,malloc.c 文件开头的注释其实解释的很清晰:...
malloc()函数(Linux程序员手册)及函数的正确使用
weixin_30267785的博客
03-02 259
名称 malloc,free,calloc,realloc--分配和释放动态内存 概要 #include <stdlib.h> void *malloc(size_tsize); void free(void *ptr); void *realloc(void*ptr, size_t size); void *calloc(size_tnmemb, siz...
Linux虚拟内存管理,MMU机制详解
Linux高级开发的博客
08-21 2673
相关教程: 后台开发第286讲|【Linux内核篇】剖析Linux内核MMU详解|1、物理内存组织结构 2、虚拟地址空间划分 3、内核与用户空间布局 4、内存映射原理机制 MMU 现代操作系统普遍采用虚拟内存管理(Virtual Memory Management)机制,这需要处理器中的MMU(Memory Management Unit,内存管理单元)提供支持。 首先引入 PA 和 VA 两个概念。 PA 如果处理器没有MMU,或者有MMU但没有启用,CPU执行单元发出的内存地址将直接传到.
Linux异步之信号(signal)机制分析
墨鱼菜鸡
07-11 2285
From:http://www.cnblogs.com/hoys/archive/2012/08/19/2646377.html From:http://kenby.iteye.com/blog/1173862 Linux下的信号详解及捕捉信号:http://www.jb51.net/article/90695.htm linux信号详解:http...
嵌入式Linux中常见笔试题目详解
嵌入式技术开发
06-05 624
因为tcp传输的数据满足3大条件,不丢失,不重复,按顺序到达。
UNIX 进程唯一标识 ID 生成算法原理和源代码详解
最新发布
程序员光剑
09-11 381
在UNIX和类UNIX操作系统中,进程ID(PID)是一个非常重要的概念。PID是操作系统分配给每个运行中进程的唯一标识符。它在进程管理、资源分配、进程间通信等方面起着关键作用。理解PID的生成算法不仅有助于深入了解操作系统的工作原理,还能帮助开发者更好地进行系统级编程和调试。UNIX系统中的PID通常是一个正整数,范围从2到32767(在某些系统中可能更大)。PID 0通常保留给调度进程,PID 1则分配给init进程(系统引导后启动的第一个用户级进程)。
linux笔记()—— malloc函数详解
热门推荐
qq_37764129的博客
08-15 1万+
一、原型:extern void *malloc(unsigned int num_bytes); 头文件:#include &lt;malloc.h&gt; 或 #include &lt;alloc.h&gt; (注意:alloc.h 与 malloc.h 的内容是完全一致的。) 功能:分配长度为num_bytes字节的内存块 说明:如果分配成功则返回指向被分配内存的指针,否则返回空指针N...
管理
luuillu的专栏
07-13 619
<br />用户使用内存分配函数分配的内存都位于中,所以使用对管理函数对内存分配释放等是最为直接的方式。<br />为进城创建新,请求分配虚拟内存分页,函数原型为:<br />HANDLE HeapCreate(DWORD flOption,SIZE_T dwInitialSize,SIZE_T dwMaximumSize)<br /> 如果失败,返回NULL。<br /> <br />获取当前进程中的一个:<br />HANDLE GetProcessHeaps(void);<br />如果失败返回
的管理
艾小小雨的博客
07-29 339
屎进程中用于动态分配变量和数据的内存区域,的管理对应用程序源不是直接可见的。因为他依赖标准库提供的各种辅助函数来分配任意长度的内存区。malloc和内核之间的经典接口是brk系统调用,负责扩展/收缩屎一个连续内存区域,在扩展时自下至上增长。包含了对在虚拟地址空间中的起始和当前结束地址(start_brk和brk).
c malloc 头文件_malloc函数的用法
weixin_39791322的博客
11-26 1228
malloc的全称是memory allocation,中文叫动态内存分配,用于申请一块连续的指定大小的内存块区域以void*类型返回分配的内存区域地址,当无法知道内存具体位置的时候,想要绑定真正的内存空间,就需要用到动态的分配内存。void* 类型表示未确定类型的指针。C,C++规定,void* 类型可以通过类型转换强制转换为任何其它类型的指针。一般需和free函数配对使用。函数定义原型exte...
Linux下缓冲区溢出攻击的原理及对策
11-14 1万+
前言从逻辑上讲进程的栈是由多个栈帧构成的,其中每个栈帧都对应一个函数调用。当函数调用发生时,新的栈帧被压入栈;当函数返回时,相应的栈帧从栈中弹出。尽管栈帧结构的引入为在高级语言中实现函数或过程这样的概念提供了直接的硬件支持,但是由于将函数返回地址这样的重要数据保存在程序员可见的栈中,因此也给系统安全带来了极大的隐患。历史上最著名的缓冲区溢出攻击可能要算是1988年11月2
栈管理
草戍无心
06-09 838
栈区别 (1). 管理方式不同 (2). 空间大小不同 (3). 能否产生碎片 (4). 生长方向不同 (5). 分配效率不同 (1). 管理方式不同: 栈是由编译器自动申请释放内存,栈需要程序员手动管理,容易产生内存泄漏 (2). 空间大小不同: 栈的大小很小,只有1M,有2G,都可以适当扩大 (3). 能否产生碎片: 栈不会产生碎片,上申请的容易产生碎...
Windows编程中的管理
04-16 1184
摘要: 本文主要对Windows内存管理中的管理技术进行讨论,并简要介绍了的创建、内存块的分配与再分配、的撤销以及new和delete操作符的使用等内容。  关键词: 管理  1 引言  在大多数Windows应用程序设计中,都几乎不可避免的要对内存进行操作和管理。在进行大尺寸内存的动态分配时尤其显的重要。本文即主要对内存管理中的管理技术进行论述。  (Heap)实际是位于保留的虚
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值