scanf&malloc

最新推荐文章于 2024-06-21 13:03:53 发布
最新推荐文章于 2024-06-21 13:03:53 发布
阅读量352 收藏 12
点赞数 4
文章标签: 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A13837377363/article/details/139452089
版权

之前知道scanf输入过多时会触发malloc,这次进行系统地记录。

1.setbuf(stdin,0)

大部分程序都会有这样地初始化,这使得一开始heap中不会有为scanf预留的缓冲区。

但是预留的缓冲区终是有限的,例如输入0x400以上时,scanf就会触发malloc分配0x400以上的空间,用完后free。 

现在,我们开始演示:

for i in range(8):
    add(i,0x300)
add(8,0x30)
for i in range(8):
    delete(i)
io.recvuntil(b">>")
io.sendline(b'1'*0x400)
gdb.attach(io)
pause()

这是代码,版本是libc 2.35,熟悉的应该可以看出delete完,应该有一个chunk在unsortedbin中,如果scanf触发了malloc,并且分配内存>0x400,那么unsortedbin中的chunk就会被赶回smallbin中,由于分配完会free掉,在heap中我们看不到踪迹,但由于是scanf缓冲,所以b'\x31'会保留下来,可以查看topchunk顶部内容验证。

 

这是程序运行后bin中的情况。

 

这是topchunk顶部的情况 ,可以看到缓冲区确实曾建立过,并且大小至少是0x400,可以用来触发malloc_consolidate。

2.没有setbuf

如果没有setbuf(stdin,0)会怎么样呢,继续用gdb调试。

可以看到,会先分配0x1000的空间当作缓冲区。

 为了演示方便,我们可以这样:

 让topchunk<0x1000,这样可以触发house of orange。

io.sendline(b'0'*0x700+b'1')

我们先这样,就不贴gdb图片了,因为和上面一样,显然,原来的0x1000可以应付。

继续:

io.sendline(b'0'*0x800+b'1')

这样,原来的0x1000也能应付。

那正好0x1000呢?

io.sendline(b'0'*0xfff+b'1')

 这就触发house of orange了。

其实根据收集到的信息:

scanf分配内存是用realloc,大小不断x2的。因为数据是不断流入缓冲区的,malloc(0x400),realloc(0x800),realloc(0x1000),realloc(0x2000)这样的,如果你正好输入0x1000的数据,但是它 原本realloc(0x1000)的空间装满后,它并不知道还有没有数据,所以会继续realloc(0x2000),所以上述题目中输入0x1000个字节,原本的0x1000的chunk其实是可以装下的,但是它会realloc(0x2000),所以触发了house of orange。

 

 

奇怪的轩轩
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
VS下scanf&gets的本质区别
粗衫沾酒,青锋承锈,自称雄.
08-07 463
VS2015里scanf()每次读取的时候 先判断缓冲区是否为’\n\r’或者是一个或多个空格 如果是就跳过从下一个开始取 并且碰到空格或者是’\n\r’作为一个的结束标志 读取结束将一个缓冲区的 ‘\n\r’和空格 留在缓冲区gets()每次读取不会把’\n\r’或者空格留在缓冲区 并且只以’\n\r’作为结束标志char *a=(char *)malloc(sizeof(char)*10)
malloc & 字符串
xiaoqiudao的博客
06-06 2671
malloc内存管理机制: ​ 当首次使用malloc申请内存时,malloc会向操作系统申请内存,操作系统会直接给malloc分配33页(一页 = 4096字节)内存交给malloc管理。但是不意味着你可以越界访问,因为malloc可能会把使用权分给”其他人“,这就会导致脏数据。 每个内存块之间都会有一些空隙(4~12),这些空隙一些是为了内存数据对齐(加快读取),其中一定会有4个字节是用于记录malloc维护信息,这些维护信息决定了下次malloc分配内存的位置,以及借助这个维护信息计算出每个内存块的大
buuctf 强制转换无符号数溢出 任意地址读、跳转 _printf_chk free_hook jmpesp scanf输入过长触发malloc
carol2358的博客
08-06 1175
文章目录zctf2016_note2 zctf2016_note2 本题的漏洞在这里 有符号数和无符号数进行了比较,转换为无符号数, 我们把size设为0,那-1就永远大于i,就可以溢出了 本题可以改got表,heap_ptr的地址也可以找到,那就unlink 改成这样就行,利用chunk1的溢出 然后改atoi为system, 输入sh就行了 exp: from pwn import * from LibcSearcher import * local_file = './note2' loca
技巧篇:scanf触发malloc_consolidate进行unlink(chunk size限制得到极小的chunk)
qq_39948058的博客
08-27 1647
前言:之前刷过这样的题,由于时间原因忘的差不多了,这里捡起两道不相似类型的题进行了大佬的exp学习,这里就不重写exp了,很好理解。一个off-by-one 一个off-by-null off-by-one exp: from pwn import * def add(size, index, content): sh.sendlineafter('choice >> \n', '1') sh.sendlineafter('Size : ', str(size))
编程错误集(malloc,VS scanf报错)
G_F_Z的博客
05-13 872
文章目录编程中的错误集 编程中的错误集 1:关于动态开辟中的malloc函数
malloc用法
Ti_tail的博客
12-06 4157
mallocmalloc用于动态申请内存空间,适用于申请一个未定大小的数据集合的申请。 尽管现在的C语言标准支持了C语言设置动态数组,我们还是尽量使用malloc来申请动态数组,避免出错。 #include <stdio.h> #include <stdlib.h>//包含malloc的函数的头文件int main(void) { int n = 0, i = 0, j = 0, k = 0
scanf函数、冒泡排序和不定长度数组的使用 —— malloc
不善挽留
04-05 4193
由一个C语言排序作业题(用if语句判断)引发的血案……
c语言malloc作用,c语言中malloc是什么?怎么用?
weixin_35368330的博客
05-16 1万+
c语言中malloc是什么?怎么用?malloc() 函数用来动态地分配内存空间,其原型为:void* malloc (size_t size); 说明: 【参数说明】 size 为需要分配的内存空间的大小,以字节(Byte)计。 【函数说明】 malloc() 在堆区分配一块指定大小的内存空间,用来存放数据。malloc()和calloc()有啥区别当别人开始说你是疯子的时候,你离成功就不远了。...
malloc,calloc区别
热门推荐
qq_35608277的博客
03-07 2万+
C语言的标准内存分配函数:malloc,calloc,realloc,free等。 malloc与calloc的区别为1块与n块的区别: malloc调用形式为(类型*)malloc(size):在内存的动态存储区中分配一块长度为“size”字节的连续区域,返回该区域的首地址。 calloc调用形式为(类型*)calloc(n,size):在内存的动态存储区中分配n块长度为“size”字节的...
222018321062006 宋行健(malloc练习)1
08-08
这时,我们可以使用`malloc`、`calloc`、`realloc`和`free`等函数来动态地分配和释放内存。在这个例子中,使用了`calloc`函数。 - `calloc`: 这个函数不仅分配指定数量的字节,而且还会将这些字节初始化为零。`...
C实现不定长数组的示例
12-31
#include<stdlib>//要使用malloc是要包含此头文件 #include <memory>//要使用memset是要包含此头文件 int main() { int m; scanf(%d, &m);//scanf只是遇到回车符的时候结束,并没有把回车符输入,因此输入流中还有...
C语言顺序表的实现代码
01-21
#include<malloc> #include #define SEQLIST_INIT_SIZE 8 #define INC_SIZE 3 //空间增量的大小 typedef int ElemType; typedef struct Seqlist { ElemType *base; int capacity; //顺序表容量 int siz
C语言实现的顺序表功能完整实例
01-20
#include<malloc> #include #define SEQLIST_INIT_SIZE 8 #define INC_SIZE 3 //空间增量的大小 typedef int ElemType; typedef struct Seqlist { ElemType *base; int capacity; //顺序表容量 int si
c语言链表示例
02-02
malloc h> #include<string h> struct Node { char name[20]; int score; struct Node next; }; 定义一个结构体 此结构体存储学生姓名 成绩以及指向该结构体的指针 typedef struct Node ListNode; ...
排序(3)【归并排序】【计数排序】【排序算法度及其稳定性分析】
2301_81699364的博客
06-19 549
归并排序(MERGE-SORT)是建立在归并操作上的一种有效的排序算法,该算法是采用分治法(Divide and Conquer)的一个非常典型的应用。将已有序的子序列合并,得到完全有序的序列;即先使每个子序列有 序,再使子序列段间有序。若将两个有序表合并成一个有序表,称为二路归并。
*算法训练(leetcode)第十四天 | 513. 找树左下角的值、112. 路径总和、106. 从中序与后序遍历序列构造二叉树、D
最新发布
weixin_43872997的博客
06-21 1127
LeetCode刷题日记
算法训练营day62
stmfresher的博客
06-17 193
在上一题的基础上加了一个,map确定 数组num1里元素最右边的值。真 暴力解法,但会超时。
C语言期末习题(结构体开始)
Mr_Xuhhh的博客
06-18 853
包含内容:结构体,枚举,联合体,动态内存管理,宏定义,编译,链接,预处理等相关知识,以题目的方式带着复习知识点,加油,相信一定对你有很大收获
malloc使用
05-28
malloc 是 C 语言中的一个函数,用于动态分配内存空间。它的函数原型为: ```c void* malloc(size_t size); ``` 其中,size_t 是一种数据类型,表示要分配的内存大小。malloc 函数返回一个 void 类型的指针,指向所分配的内存空间的首地址。 使用 malloc 函数时,需要注意以下几点: 1. malloc 函数返回的指针需要进行类型转换,以便正确地使用所分配的内存空间。 2. 分配的内存空间需要在使用完毕后进行释放,否则会导致内存泄漏。 3. malloc 函数分配的内存空间是未初始化的,需要使用 memset 函数或者其他方式进行初始化。 下面是一个使用 malloc 函数动态分配数组的示例: ```c #include <stdio.h> #include <stdlib.h> int main() { int n; printf("请输入数组的大小:"); scanf("%d", &n); int* arr = (int*) malloc(sizeof(int) * n); //动态分配数组 if (arr == NULL) { //判断分配是否成功 printf("分配内存失败!\n"); return -1; } for (int i = 0; i < n; i++) { arr[i] = i + 1; //初始化数组 } for (int i = 0; i < n; i++) { printf("%d ", arr[i]); //输出数组 } printf("\n"); free(arr); //释放内存空间 return 0; } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值