malloc,free check机制&&trcik

已于 2022-03-30 09:47:55 修改
阅读量445 收藏 1
点赞数 2
分类专栏: linux_pwn 文章标签: c语言 c++
于 2022-03-30 08:56:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/azraelxuemo/article/details/123837063
版权

文章目录


本文涉及的libc版本为libc-2.23和libc-2.27

fastbin

malloc

在从free fastbin从取出空闲块malloc的时候,会有如下比较

在这里插入图片描述
比如说我们实际需要的块大小(包括header是0x40),那么只要当前将要被取出的free fastbin size在0x40~0x4f之间,就可以通过比较,不然就报错

一般在double free的时候,我们可以把指针改到libc里面,这样就可以任意地址写,但在把这个地址malloc出来的时候会做一遍大小check,所以一般fastbin attack需要分配到malloc_hook-0x23,这里对应的size是0x7f,只要我们malloc(0x68)就可以过了check

fastbin通过NULL判断是否为空

在这里插入图片描述

这一点很有意思,tcache里面会额外记载空闲的数量(这当然是一个进步),而fastbin不会,他会每次malloc的时候取出当前free fastbin的fd指针作为fastbinY的值,只要这个值不为0,他就认为里面还有空闲的块,就还可以继续分配

这一点攻击区别也是体现在double free上面,对于tcache的double free,你要保证count>=0,不然就算有你也malloc不出来,而fastbin则不是,只要你把fastbin的单向链表修改了,你一定可以malloc出来(当然要过size的check)

free

在free的时候会做如下的check防止double free

比较当前要被free的指针和对应fastbinY最外侧的指针,如果一样就报错

在这里插入图片描述
那么绕过就很简单,中间随便再free一个就好

检查当前要free的fastbin紧挨着的的下一块

根据p+size来寻找下一个chunk,比较这个chunk的size是否合理

在这里插入图片描述
所以一般最好伪造块的时候还是要保证前后块的连续性
如果我们在堆溢出的时候随便修改了size,导致它下一块不是个正常的块,我们就会报错

tcache

malloc

在libc2.27中,这里的tcache几乎没有检查
在这里插入图片描述
只要当前malloc的大小再tcache里面并且对应的tcache的堆地址>0(额这个check有点emm不太明白,难道是呼应之前的if判断),就会去get
在这里插入图片描述

里面只有两个assert,而且一个assert还是做过的,他只判断了对应的堆地址是不是大于0,然后就会给你malloc出来

所以我们如果double free之后修改了tcache->entries,不用像fastbin一样还要考虑大小是否匹配,直接指向free-hoook就ok

这里注意在libc.2.30之前不会check tcache的count,就算你是0也可以分配的,在2.30之后会check count,如果count不够就无法分配
在这里插入图片描述

free

几乎也没有检查
在这里插入图片描述
这里就是如果在tcache范围并且对应的还有空闲,就放进去
在这里插入图片描述
只有一个assert,就是是否在范围内,可以看到它没有检查double free,所以对于这个版本的tcache,我们可以直接free一个块n次

azraelxuemo
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【内存越界定位】MALLOC_CHECK_
叮咚的博客
08-15 1287
GNU C Library可以根据环境变量MALLOC_CHECK_来决定是否在运行时可检测程序中的内存问题。但是只能检测mallocfree的问题;即便是越界了,也只能等下一次去malloc或者free的时候才能发现。因此只适用于freemalloc的这种死机问题定位。 1、基础 MALLOC_CHECK_有三种设定,即: MALLOC_CHECK_=0, 和没设置一样,将忽略这些错误 MALLOC_CHECK_=1, 将打印一个错误告警 MALLOC_CHECK_=2, 程序将收到SIGAB.
使用环境变量MALLOC_CHECK_检查内存问题
06-03 765
GNU C Library可以根据环境变量MALLOC_CHECK_来决定是否在运行时可检测程序中的内存问题。而内存问题有时候表现得非常古怪,比如randomcrash,crash的点又经常变,甚至coredump中也没什么栈信息。这时候可以用这个方法来验证一下。知识还没办法打印出错点对应的地址,有些遗憾。下面是一个内存越界的例子:#include
MALLOC_CHECK
wuguanbao的博客
12-23 4254
MALLOC_CHECK环境变量
*** glibc detected *** double free or corruption: 0x0937d008 *** 错误
07-28 1427
Q: 在执行一个程序时,出现如下错误: *** glibc detected *** double free or corruption : 0x0937d008 *** 是怎么回事? A: 设置MALLOC_CHECK_环境变量再运行程序,呵呵,错误信息消失 MALLOC_CHECK_=0 ./myprogram 红 帽企业 Linux 4 提供的 glibc 可以执行附加的内部数据
C++: free(): double free detected问题分析和处理
热门推荐
简单IoT
01-22 1万+
最近在项目中遇到了“free(): double free detected”问题,出问题的代码类似于: #include <queue> #include <cstring> #include <iostream> using namespace std; class Test { int *myArray; public: Test() { myArray = new int[10]; } ~Test() {
C语言基础之mallocfree函数详解
08-30
理解malloc()的内存分配机制以及free()的工作原理,有助于编写出更加健壮和安全的C程序。在实践中,务必检查malloc()的返回值,及时释放不再使用的内存,并在释放后置指针为NULL,这些都是良好的编程习惯。
C语言mallocfree函数-综合文档
05-14
C语言中,`malloc`和`free`函数是动态内存管理的重要组成部分。它们允许程序在运行时根据需要分配和释放内存,这是静态内存分配无法比拟的灵活性。本篇文章将深入探讨这两个函数的工作原理、使用方法以及一些常见...
结构体中动态内存的管理(mallocfree
08-10
`malloc`和`free`函数是C语言标准库提供的两个核心工具,用于动态内存的分配与释放。当我们处理包含指针的结构体时,这个问题变得更加复杂。 首先,`malloc`函数用于在程序的堆区分配指定大小的内存块。例如,如果...
mem.rar_Free!_linux_malloc
09-21
在Linux操作系统中,内存管理是系统编程中的重要一环,`malloc()` 和 `free()` 函数是C语言标准库中的动态内存分配与释放函数,它们在Linux环境下同样被广泛使用。本文将深入探讨这两个函数的工作原理,以及在Linux...
C语言实现mallocfree
12-05
通过实现`malloc`和`free`,我们可以更好地理解C语言中的内存管理机制,以及操作系统如何处理内存请求。这也有助于我们编写更高效、更健壮的C程序,并避免常见的内存相关问题,如内存泄漏和缓冲区溢出。 在提供的`C...
堆漏洞挖掘——malloc一个chunk的检测机制
董哥的黑板报
07-30 2569
引言: 我们知道:当malloc时,如果fastbins、smallbins中有满足需求的chunk可以使用时,malloc就会在相关的bins链中寻找可用的freechunk来使用 但是取走一个freechunk是有检测机制的, 一、fastbin的检测机制 机制规则如下: 检测1:检测你要mallocfreechunk的大小是否在该chunk所在的fastbin链的大小尺寸范围内(例...
[转] 使用环境变量MALLOC_CHECK_检查内存问题_执著、梦想、追求
BLOCKGOLD.E的博客
01-19 1054
jijo 来源  2009-03-11GNU C Library 可以根据环境变量MALLOC_CHECK_来决定是否在运行时可检测程序中的内存问题。而内存问题有时候表现得非常古怪,比如random crash, crash的点又经常变,甚至coredump中也没什么栈信息。这时候可以用这个方法来验证一下。知识还没办法打印出错点对应的地址,有些遗憾。下面是一个内存越界的例子:  #include
程序的double free测试(使用env MALLOC_CHECK_=1 ./a.out)
蔚蓝的天空Tom
07-03 1683
1. 下面给出一个写好的会产生double free的程序: 如果运行的话会出现Aborted(core dumped)的程序异常退出。 和flint、valgrind一样可以在完成功能编码后用flint、valgrind、env命令先对功能代码就行flint测试、valgrind测试、双重释放测试再进行gtest测试、自动化测试会提高测试成功率。 env检测功能代码
UBUNTU设置环境变量MALLOC_CHECK_=1检查内存
柳鲲鹏
03-14 1450
在.bashrc中设置   MALLOC_CHECK_有三种设定,即: MALLOC_CHECK_=0 ----- 关闭所有检查. MALLOC_CHECK_=1 ----- 当有错误被探测到时,在标准错误输出(stderr)上打印错误信息. MALLOC_CHECK_=2 ----- 当有错误被探测到时,不显示错误信息,直接进行中断. 生效验证 echo $MALLOC_CHECK_ ...
如何实现一个malloc(转)
10-03 538
  本文转自博文如何实现一个malloc。就如作者本人所说,该博文大量参考了A malloc Tutorial,所以对照着阅读这两篇文章更能加深理解。   任何一个用过或学过C的人对malloc都不会陌生。大家都知道malloc可以分配一段连续的内存空间,并且在不再使用时可以通过free释放掉。但是,许多程序员对malloc背后的事情并不熟悉,许多人甚至把malloc当做操作系统...
malloc源码分析(4)--freemalloc&&double free
azraelxuemo的博客
03-17 1266
文章目录测试代码__libc_malloc__libc_malloc调用_int_malloc_int_malloc回到__libc_malloc如何利用double free测试代码测试代码2 之前我们从源码的角度分析了如何初始化heap并且从top chunk分配出了第一个块fast bin,那么这次我们结合free fastchunk来分配相同size的fastbin 测试代码 #include<malloc.h> int main(){ void *p=malloc(0x
[C/C++入门][循环]14、计算2的幂(2的n次方)
qq_14840819的专栏
07-15 915
计算2的幂(即2的n次方)非常经典。你懂几种方法呢?很多人只会一种,我们来分析一下。
[C/C++入门][ifelse]15、判断奇偶数
qq_14840819的专栏
07-16 343
在数学中,判断一个整数是否为奇数或偶数的依据是基于数的模运算。对于任意整数 n,当 n除以2的余数等于0 时,n 是偶数;当 余数为1 时,n 是奇数。计算机中% 表示模运算,即求余数。尝试运行以下这段代码,看看它如何工作。如果有疑问,随时留在评论区,我们一起讨论吧。
PD协议芯片ECP5701+充电管理芯片+升压芯片搭配应用TYPE-C口充电及升压供电系统
最新发布
IC_Aihui的博客
07-18 705
能芯科技ECP5701是一颗PD取电芯片,支持PD和QC取电,兼容USB PD3.0规范,并向下支持USB PD2.0,支持QC3.0和QC2.0,支持PD取电5、9、12、15、20V电压,QC取电9V和12V,芯片采用SOP8封装,外围简单。然而,TYPE-C接口,全称USB Type-C,迅速取代了传统的USB接口,不仅如此,TYPE-C接口的普及和PD(Power Delivery)取电协议芯片的出现,这一切便有了转机,这在快节奏的现代生活中,为我们的设备充电带来了极大的便利。
malloc free
04-04
mallocfreeC语言中用于动态内存分配和释放的函数。 1. malloc函数:malloc函数用于在堆上分配指定大小的内存空间,并返回一个指向该内存空间的指针。其函数原型为: ``` void* malloc(size_t size); ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值