linux 堆块分配

最新推荐文章于 2022-07-13 20:23:01 发布
最新推荐文章于 2022-07-13 20:23:01 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: linux 漏洞溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bme314/article/details/85473122
版权

linux 堆块分配

关于fastbin

我们一般熟悉的堆都是双链表的chunk,但是对于大小为(16 Bytes~ 64 Bytes)的堆块来说则是使用fastbin来进行管理的。
fastbin的堆块结构与常规的chunk是完全一样,除了使用的是单链表。
fastbin
![fastbin]

2.2 Bins
注意:Bin的翻译为箱子,chunk的翻译为块

  • Bin:freelist数据结构,用于保存free chunks。

  • 基于chunk size,bins被划分为以下几种类型:

List item

  • Fast bin(单链表,大小相同)

  • Unsorted bin(环形双链表,乱序状态,空闲 chunk 回归所属 bin 之前的缓冲区)

  • Small bin(环形双链表,大小相同)

  • Large bin(环形双链表,按大小降序排列)

2.2.1 Fast bin

  1. 大小为16 ~ 80 / 32 ~160字节的chunk称为fast chunk;

存储fast chunk的bins称为fast bins;

2.2.3 Small bin

  1. 小于512/1024字节的chunk称为small chunk。

存储small chunk的bins称为small bins;

2.2.4 Large bin

  1. 大小大于等于512字节的chunk称为large chunk;

堆管理

Top Chunk

当一个chunk处于一个arena的最顶部(即最高内存地址处)的时候,就称之为top chunk。该chunk并不属于任何bin,而是在系统当前的所有free chunk(无论那种bin)都无法满足用户请求的内存大小的时候,将此chunk当做一个应急消防员,分配给用户使用。如果top chunk的大小比用户请求的大小要大的话,就将该top chunk分作两部分:1)用户请求的chunk;2)剩余的部分成为新的top chunk。否则,就需要扩展heap或分配新的heap了——在main arena中通过sbrk扩展heap,而在thread arena中通过mmap分配新的heap。

Last Remainder Chunk

当用户请求的是一个small chunk,且该请求无法被small bin、unsorted bin满足的时候,就通过binmaps遍历bin查找最合适的chunk,如果该chunk有剩余部分的话,就将该剩余部分变成一个新的chunk加入到unsorted bin中,另外,再将该新的chunk变成新的last remainder chunk。

在这里插入图片描述

堆利用笔记
在这里插入图片描述

House Of Force

· 可覆写top chunk的size字段
· 存在一次malloc,攻击者控制malloc的size,前两项是为了新分配堆时可得到任意地址。
· 存在另一次malloc,攻击者可以向里面写入数据
· top chunk的地址

House of Spirit

当glibc被free时,glibc在想什么。
· glibc如何确定free是一个真正的chunk?
· 如果我们free(0xdeadbeef)呢?
如果我们需要fake chunk成功进入free list,需要哪些条件?
攻击的本质:
· 能够控制free的参数
· 能够满足free中对chunk的各项检查
· 触发free,使得fake chunk进入list
· 再次malloc得到chunk,相当于弱化版的任意地址写

House of Mind

如果我们能控制指针p以及对应的arena。
Advanced Heap Exp
fastbin attack
更改fastbin的后向指针,从而使堆分配到我们想要的地方,形成任意地址写。
检查——in free
· address < -size && address alignment
· size > MINSIZE(0x20) && multiple of 0x10
· next chunk size
o > MINSIZE
· < system_mem
· chunk size 是否和当前链表匹配
o 可以具有较小的偏移,但fastbin_index (chunksize (victim)) != idx, 0)
fastbin_index是通过移位做到的。
of by one
· 这一个字节将影响到下一个chunk的size字段
· off by one to extend allocated chunk
· off by NULL to shrink free chunk
· 堆溢出的利用可能会用到多个技巧
· 某些漏洞可被转化为堆溢出
· 整数溢出或竞态条件

堆喷
0x0c0c0c0c地址的优越性。
地址低
\x0c\x0c -> OR AL, 0C (NOP-like instruction

glibc malloc

main arena中的内存申请

内存回收

分配顺序

在这里插入图片描述
unsorted bin如果满足,可能会被分割。top_chunk分割采用向后移动top指针的方式。
走到unsorted bin ,fast bin 和small_bin会被合并整合到unsorted_bin
在这里插入图片描述
在这里插入图片描述

Unsorted Bin Attack

任意地址修改为一个较大的值,值不可控。利用unsorted bin链表覆盖实现,伪造的unsorted bin的bk位置在从链表中出来的时候会被修改,但此时链表被破坏了。

inquisiter
关注
专栏目录
【编译、链接、装载十四】堆与内存管理
junxuezheng的博客
06-26 341
光有栈对于面向过程的程序设计还远远不够, 因为栈上的数据在函数返回的时候就会被释放掉, 所以无法将数据传递至函数外部。而全局变量没有办法动态地产生, 只能在编译的时候定义, 有很多情况下缺乏表现力。在这种情况下, 堆(Heap) 是唯一的选择。堆是一块巨大的内存空间, 常常占据整个虚拟空间的绝大部分。在这片空间里, 程序可以请求一块连续内存, 并自由地使用, 这块内存在程序主动放弃之前都会一直保持有效。下面是一个申请堆空间最简单的例子。
LINUX】关于动态内存分配的理解
07-22
- 当有多个指针指向同一块动态分配的内存空间时,只能通过一个指针调用free函数释放内存,重复释放会导致运行时错误。 - 动态内存的指针可以作为函数参数传递,实现跨函数使用。 - realloc函数用于重新分配内存空间...
堆漏洞挖掘中的bins分类(fastbin、unsorted bin、small binlarge bin)
热门推荐
董哥的黑板报
07-23 1万+
一、bin链的介绍 bin是一个由struct chunk结构体组成的链表 前面介绍过,不同的chunk根据特点不同分为不同的chunk,为了将这些chunk进行分类的管理,glibc采用了bin链这种方式管理不同的chunk 不同的bin链是由arena管理的 bin链中的chunk均为free chunk 二、bin链分类 根据bin链成员的大小不同,分为以下几类: fast bi...
CTF pwn题堆入门 -- Unsorted bin
lifanxin的博客
04-08 3246
Unsorted bin概述攻击方式泄露libc地址总结 概述   Unsorted bin也是堆题中常见的,当一个堆块被释放时,且该堆块大小不属于fast bin(libc-2.26之后要填满tcache),那么在进入small binlarge bin之前,都是先加入到unsorted bin的。之后当我们再次分配内存到unsorted bin上寻找时,如果申请的内存堆块小于寻找的unsorted bin,那么会将该内存块切割后返回给用户,剩下的仍然保存在unsorted bin上;如果申请的内存堆块
linux堆内存管理
sy4331的博客
11-16 2533
堆内存的使用在linux开发过程中非常普遍,我们有必要了解相关的内存管理方便我们对内存问题的理解和定位。 堆内存结构层次 linux的堆内存管理分为三个层次,分别为分配区area、堆heap和内存块chunk。 area:堆内存最上层即为分配区area。分配区area分为主分配区(main area)和线程分配区(thread area)。 主进程堆空间对应的分配区即为主分配区main area,每个进程仅有一个主分配区,对应我们通常所说的bss段上面堆空间位置。 线程堆空间对应的分配区即为线程分配
Linux下堆溢出利用1-unlink基本原理
haibiandaxia的博客
08-08 968
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成asdfffffsdfsafasf如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的
Linux堆内存管理深入分析.pdf
01-10
本文将深入分析 Linux 堆内存管理机制,包括堆内存管理的基本概念、chunk 分配和释放策略、隐式链表技术、binlist 的概念和核心原理等。 1. 堆内存管理简介 堆内存管理是操作系统中最重要的组件之一,它负责管理...
linux slab分配器分析
02-24
当进程请求内存时,堆管理器会根据一定的算法找到合适的内存块分配给该进程;当进程不再需要这块内存时,会将其归还给堆。 常见的内存分配算法包括first-fit(首次适应算法)和best-fit(最佳适应算法)。前者在堆...
linux堆内存分析
04-16
Linux下的堆内存分析涉及到操作系统如何管理和分配内存,特别是动态内存的使用。堆内存是程序运行时动态分配的主要区域,它的特点是可分配空间大且操作灵活,但管理复杂,容易产生内存泄露和内存碎片。 1. **接口与...
Linux虚拟内存介绍
最新发布
08-15
8. **物理内存管理**:除了虚拟内存,Linux还管理物理内存,包括伙伴系统和SLAB分配器,它们负责高效地分配和回收物理内存块。 9. **内存控制组(cgroups)**:在多用户或集群环境中,Linux的内存控制组允许管理员...
堆内存管理在linux上的实现原理
03-09
堆内存管理总结,基于Gnu C lib代码
ptmalloc代码浅析2(small bin/large bin结构图)
zeroom的技术专栏
08-14 4989
ptmalloc中的small binlarge bin维护着不同结构的chunk链表: 1. 每个small bin维护着一个双向循环链表,而且chunk size都相同。当allocate memory时,总是从链表尾端unlink一个chunk,deallocate memory时,将那个chunk link到链表头。属于FILO规则,每个chunk都有机会被分配到app。
linux 堆利用基础知识
sky123博客
07-13 3474
ptmalloc2 是目前 Linux 标准发行版中使用的堆分配器。malloc 函数返回对应大小字节的内存块的指针。此外,该函数还对一些异常情况进行了处理:用以扩展 chunk,相邻 chunk 闲置且空间充足则会进行合并,否则会重新分配 chunk。即通过 realloc 我们可以完成对一个 chunk 的 free,也就是说在特殊情况下 realloc 是可以当作 free 使用的,其中,在size 为 0 的情况下,realloc 函数会调用 free 释放该 chunk。该函数在分配时会清空 ch
ptmalloc——smallbin/largebin/unsortedbin
weixin_33709590的博客
06-21 579
2019独角兽企业重金招聘Python工程师标准>>> ...
ctf的linux基础知识总结,CTF经验 | Off-By-One相关知识点浅析
weixin_42198780的博客
05-13 362
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。背景在Freebuf上看到一篇文章Exim Off-by-One RCE漏洞(CVE-2018-6789)利用分析(附EXP),在ctf中经常能遇到off-by-one知识点的题型,想不到出现在了真实软件中,有点惊讶,就此机会,总结一些off-by-one的有关知识点。主要是用201...
剖析linux的内存管理与分配
KUNPLAYBOY的博客
03-27 2430
文章目录伙伴算法**1、伙伴算法原理****2、物理页的分配****3、 物理页的释放 ****总结**Slab分配机制**1、Slab如何对内存进行管理?****2、Slab中如何实现对页进行更细的划分?****3、Slab如何对内存进行分配**4、Slab如何对数据结构slab进行管理5、什么是kmem_cache?总结Slab与Slub的区别Slab的缺点 伙伴算法 Linux采用著名的伙伴算法来解决外碎片的问题 1、伙伴算法原理 Linux的伙伴算法把所有的空间页面分为10个块组,每个组中块的大小
堆区内存分配
Nemo
07-17 2621
通常我们在动态开辟内存时,会使用malloc函数在堆区开辟空间。 #include <stdlib.h> void *malloc(size_t size); // 成功返回已开辟空间的地址,否则返回NULL 堆区 如图堆区在未初始化的数据区(.bss)之后的开始,用于程序员动态开辟释放的数据区。为了减少内存碎片、降低系统调用开销,系统会为堆区分配一大块内存,将堆区分为多个不...
linux堆管理,linux – 堆管理
weixin_30588427的博客
05-12 175
像堆栈一样,堆是一个进程,一个(几乎)纯粹的用户空间.堆管理器使用sbrk系统调用通知操作系统它打算增加所需的内存量.除了将“未知”到“现有,零,从未访问”的页面范围更改之外,这几乎没有什么(这实际上意味着它们仍然不存在,但操作系统假装它们会这样做).首次访问页面时,它会出现故障,并且操作系统会从零池中提取零页面.(它可能稍微复杂一些,因为如果从顶部释放了大量内存,堆管理器也可能缩小数据段,但基本...
Linux堆管理基础知识(一)
Morphy_Amo的博客
01-06 1553
介绍linux中的堆管理的基本知识
Linux堆内存管理深入探讨
"Linux堆内存管理深入分析" 在深入探讨Linux堆内存管理之前,我们首先要明白堆内存的作用。堆是程序运行时动态分配内存的区域,它不同于栈,栈主要用于存储函数调用时的局部变量。堆内存管理对于操作系统和应用程序...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值