堆漏洞挖掘中的bins分类(fastbin、unsorted bin、small bin、large bin)

最新推荐文章于 2024-07-25 11:01:30 发布
最新推荐文章于 2024-07-25 11:01:30 发布
阅读量1.1w 收藏 71
点赞数 19
分类专栏: 堆漏洞挖掘 文章标签: bins分类
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41453285/article/details/96865321
版权

一、bin链的介绍

  • bin是一个由struct chunk结构体组成的链表。
  • 前面介绍过,不同的chunk根据特点不同分为不同的chunk,为了将这些chunk进行分类的管理,glibc采用了bin链这种方式管理不同的chunk。
  • 不同的bin链是由arena管理的。
  • bin链中的chunk均为free chunk。

二、bin链分类

  • 根据bin链成员的大小不同,分为以下几类:
    • fast bin是单链表,其他都是双向链表。
    • Fast bin。
    • Unsorted bin。
    • Small bin。
    • Large bin。

三、bin链的保存(struct malloc_state结构体)

typedef struct malloc_chunk* mchunkptr;
typedef struct malloc_chunk *mfastbinptr;


struct malloc_state
{ 
  ...
  /*other member*/
  ...

  /* Fastbins */
  mfastbinptr fastbinsY[NFASTBINS];

  /* Normal bins packed as described above */
  mchunkptr bins[NBINS * 2 - 2];

  ...
  /*other member*/
  ...
};
  • 前面说过,不同的bin链是由arena管理的。因此一个线程中会有很多的bin链,这些bin链都有arena所表示的struct malloc_state结构体的以下成员保存:
    • fastbinY数组:大小为10。记录的是fast bin链。
    • bins数组:大小为129。记录的是unsorted bin(1)、small bin(2~63)、large bin链(64~126)。

四、Fast Bin

  • 概念:chunk的大小在32字节~128字节(0x20~0x80)的chunk称为“fast chunk”(大小不是malloc时的大小,而是在内存中struct malloc_chunk的大小,包含前2个成员)。
  • fast bin链表的个数为10个。
  • 不会对free chunk进行合并:鉴于设计fast bin的初衷就是进行快速的小内存分配和释放,因此系统将属于fast bin的chunk的PREV_INUSE位总是设置为1,这样即使当fast bin中有某个chunk同一个free chunk相邻的时候,系统也不会进行自动合并操作,而是保留两者。虽然这样做可能会造成额外的碎片化问题,但瑕不掩瑜。

fastbinsY数组存储fastbins的规则

  • 每个fast bin链表都是单链表(使用fd指针)。因此,fast bin中无论是添加还是移除fast chunk,都是对“链表尾”进行操作,而不会对某个中间的fast chunk进行操作。
  • 单个fastbin链表中的chunk大小都是相同的,各个fastbin链表中的chunk大小是不同的。
  • fastbinY数组中的每个bin链表的排序,是按照链表元素的大小进行排序的。数组的第一个元素的fast bin链表中的每个chunk的大小是32字节的,数组的第二个元素的fast bin链表中的每个chunk的大小是48字节的......每个元素都比前面的fast bin链大16字节,以此类推进行排序。

链表索引宏定义:(fastbin_index)

  • 功能:通过此宏能判断某一个fastchunk属于哪一个fastbin链表。
  • 参数:某一个chunk的大小。

malloc操作与fastbins的初始化:

  • 当应用层通过malloc函数第一次申请的chunk属于16字节~80字节之间时,因为初始化的时候fast bin支持的最大内存大小以及所有fast bin链表都是空的,所以它也不会交由fast bin来处理,而是向下传递交由small bin来处理,如果small bin也为空的话就交给unsorted bin处理。
  • 那么,fast bin如何进行初始化哪?
    • 当我们第一次调用malloc(fast bin)的时候,系统执行_int_malloc函数,该函数首先会发现当前fast bin为空,就转交给small bin处理,进而又发现small bin 也为空,就调用malloc_consolidate函数对malloc_state结构体进行初始化。malloc_consolidate函数主要完成以下几个功能:
      • a.首先判断当前malloc_state结构体中的fast bin是否为空,如果为空就说明整个malloc_state都没有完成初始化,需要对malloc_state进行初始化。
      • b.malloc_state的初始化操作由函数malloc_init_state(av)完成,该函数先初始化除fast bin之外的所有的bins,再初始化fast bins。
    • 那么当再次执行malloc(fast chunk)函数的时候,此时fast bin相关数据不为空了,就可以使用fast bin。

free操作

  • 这个操作很简单,主要分为两步:先通过chunksize函数根据传入的地址指针获取该指针对应的chunk的大小;然后根据这个chunk大小获取该chunk所属的fast bin,然后再将此chunk添加到该fast bin的链尾即可。整个操作都是在_int_free函数中完成。

五、Unsorted Bin

  • 何时使用:当释放较小或较大的chunk的时候,如果系统没有将它们添加到对应的bins中,系统就将这些chunk添加到unsorted bin中。
  • 目的:这主要是为了让“glibc malloc机制”能够有第二次机会重新利用最近释放的chunk(第一次机会就是fast bin机制)。利用unsorted bin,可以加快内存的分配和释放操作,因为整个操作都不再需要花费额外的时间去查找合适的bin了。
  • Unsorted bin的特性如下:
    • unsorted bin的个数: 1个。
    • unsorted bin是一个由free chunks组成的循环双链表。
    • 在unsorted bin中,对chunk的大小并没有限制,任何大小的chunk都可以归属到unsorted bin中。
    • unsortedbin采用的遍历顺序是FIFO。

六、Small Bin

  • 概念:小于1024字节(0x400)的chunk称之为small chunk,small bin就是用于管理small chunk的。
  • small bin链表的个数为62个。
  • 就内存的分配和释放速度而言,small bin比larger bin快,但比fast bin慢。
  • 合并操作:相邻的free chunk需要进行合并操作,即合并成一个大的free chunk。具体操作见下文free(small chunk)介绍。

Small Bin链表的特性

  • 每个smallbin也是一个由对应free chunk组成的循环双链表。
  • small bin采用FIFO(先入先出)算法:内存释放操作就将新释放的chunk添加到链表的front end(前端),分配操作就从链表的rear end(尾端)中获取chunk。
  • 单个smallbin链表中的chunk大小都是相同的,各个smallbin链表中的chunk大小是不同的,跟fastbinsY数组存储fastbin链的原理是相同的。
  • bins数组存储small bin链时:第一个small bin链中chunk的大小为32字节,后续每个small bin中chunk的大小依次增加两个机器字长(32位相差8字节,64位相差16字节).......以此类推,跟fastbinsY数组存储fastbin链的原理是相同的(用下图表示)。
  • bin链存储的大小与数组下标的关系:chun_size=2*SIZE_SZ*index。

malloc操作与small bin的初始化

  • 类似于fast bins,最初所有的small bin都是空的,因此在对这些small bin完成初始化之前,即使用户请求的内存大小属于small chunk也不会交由small bin进行处理,而是交由unsorted bin处理。
  • 如果unsorted bin也不能处理的话,glibc malloc就依次遍历后续的所有bins,找出第一个满足要求的bin,如果所有的bin都不满足的话,就转而使用top chunk,如果top chunk大小不够,那么就扩充top chunk,这样就一定能满足需求了。
  • 注意遍历后续bins以及之后的操作同样被large bin所使用,因此,将这部分内容放到large bin的malloc操作中加以介绍。
  • 那么glibc malloc是如何初始化这些bins的呢?因为这些bin属于malloc_state结构体,所以在初始化malloc_state的时候就会对这些bin进行初始化,代码如下:
    • 将bins数组中的第一个成员索引值设置为了1,而不是我们常用的0(在bin_at宏中,自动将i进行了减1处理)。
    • 从上面代码可以看出在初始化的时候glibc malloc将所有bin的指针都指向了自己——这就代表这些bin都是空的。
static void
malloc_init_state (mstate av)
{
    int i;
    mbinptr bin;
    
    /* Establish circular links for normal bins */
    for (i = 1; i < NBINS; ++i)
    {
        bin = bin_at (av, i);
        bin->fd = bin->bk = bin;
    }

    ......
}
  • 过后,当再次调用malloc(small chunk)的时候,如果该chunk size对应的small bin不为空,就从该small bin链表中取得small chunk给malloc使用。

free操作

  • small的free比较特殊。当释放small chunk的时候,先检查该chunk相邻的chunk是否为free,如果是的话就进行合并操作:将这些chunks合并成新的chunk,然后将它们从small bin中移除,最后将新的chunk添加到unsorted bin中,之后unsorted bin进行整理再添加到对应的bin链上(后面会有图介绍)。

七、Large Bin

  • 概念:大于等于1024字节(0x400)的chunk称之为large chunk,large bin就是用于管理这些largechunk的。
  • large bin链表的个数为63个,被分为6组。
  • largechunk使用fd_nextsize、bk_nextsize连接起来的。
  • 合并操作:类似于small bin。

Large Bin链表的特性

  • 同一个largebin中每个chunk的大小可以不一样,这些chunk根据一定的范围存储在一个larbin链表中。
  • large chunk可以添加、删除在large bin的任何一个位置。
  • 在这63个largebins中:第一组的32个largebin链依次以64字节步长为间隔,即第一个largebin链中chunksize为1024-1087字节,第二个large bin中chunk size为1088~1151字节。第二组的16个largebin链依次以512字节步长为间隔;第三组的8个largebin链以步长4096为间隔;第四组的4个largebin链以32768字节为间隔;第五组的2个largebin链以262144字节为间隔;最后一组的largebin链中的chunk大小无限制。

  • 在同一个largebin中:每个chunk的大小不一定相同,因此为了加快内存分配和释放的速度,就将同一个largebin中的所有chunk按照chunksize进行从大到小的排列:最大的chunk放在一个链表的front end,最小的chunk放在rear end;相同大小的chunk按照最近使用顺序排序。

链表索引宏定义:(largebin_index)

  • 参数为链表能存储的chunk大小,宏定义中有简介调用其他宏定义。
  • 例如:第一个largebin的起始大小为1024,那么1024>>6=16,所以其在bins数组中的下标为48+16=64。

malloc操作与large bin的初始化

  • 初始化完成之前的操作类似于small bin。
  • 下面讨论large bins初始化完成之后的操作:
    • 首先确定用户请求的大小属于哪一个large bin,然后判断该large bin中最大的chunk的size是否大于用户请求的size(只需要对比链表中front end的size即可)。如果大于,就从rear end开始遍历该large bin,找到第一个size相等或接近的chunk,分配给用户。如果该chunk大于用户请求的size的话,就将该chunk拆分为两个chunk:前者返回给用户,且size等同于用户请求的size;剩余的部分做为一个新的chunk添加到unsorted bin中。
    • 如果该large bin中最大的chunk的size小于用户请求的size的话,那么就依次查看后续的large bin中是否有满足需求的chunk,不过需要注意的是鉴于bin的个数较多(不同bin中的chunk极有可能在不同的内存页中),如果按照上一段中介绍的方法进行遍历的话(即遍历每个bin中的chunk),就可能会发生多次内存页中断操作,进而严重影响检索速度,所以glibc malloc设计了Binmap结构体来帮助提高bin-by-bin检索的速度。Binmap记录了各个bin中是否为空,通过bitmap可以避免检索一些空的bin。如果通过binmap找到了下一个非空的large bin的话,就按照上一段中的方法分配chunk,否则就使用top chunk来分配合适的内存。

free操作

  • 类似于small chunk。

  • 我是小董,V公众点击"笔记白嫖"解锁更多【堆漏洞挖掘】资料内容。

董哥的黑板报
关注
专栏目录
从零开始学howtoheap:fastbins的double-free攻击实操1
weixin_44626085的博客
02-10 1323
how2heap是由shellphish团队制作的利用教程,介绍了多种利用技术,后续系列实验我们就通过这个教程来学习。环境可参见。
CTF pwn题入门 -- Fast bin
lifanxin的博客
04-07 2458
这里写目录标题概述攻击方式实现任意地址分配fast bin poisoninghouse of spirit总结 概述   Fast bin利用最常遇见的情况,常见于libc2.23版本的pwn题,在那个版本还没有Tcache机制,在那个版本漏洞利用还很轻松(????)。   这里简单总结一下fast bin的性质,64位机器下fast bin大小为0x20 – 0x80字节,每个bin链表之间以0x10字节递增;32位机器下为0x10 – 0x40,每个bin链表之间以0x8字节递增(上面的大
常回家看看之largebin_attack
最新发布
susu_xiaosu的博客
07-25 1859
【代码】常回家看看之largebin_attack。
large bin 】源码解析
huzai9527的博客
11-09 646
large bin attack large bin的结构 网找了好久,没有一个形象的理解确实读源码不方便,找了好久,mkx7师傅的这篇文章总结的及其好! largebinbin操作 当确定victim的大小在largebin范围后,如何将victim插入larbin的过程如下 首先判断largebin 是否为空 如果空的直接设置victim为victim size大小的chunk 头节点,并将fd_nextsize和bk_nextsize设置为victm 如果largebin
Fastbin attack
aoque9909的博客
06-25 412
Fastbin Attack 暂时接触到了两种针对分配机制fastbin的攻击方式,double free和house of spirit Double free 基本原理 与uaf是对free之后的指针直接进行操作不同,double free通过利用fastbin的分配机制,改写在fastbin的chunk,实现对指定内存的块分配。 先正常释放chunk1和c...
Fastbin的利用
u014377094的博客
03-05 665
我是传送门: pwn_wiki_fastbinattackFastbin Attack - CTF Wiki (ctf-wiki.org) how2heap GitHub - shellphish/how2heap: A repository for learning various heap exploitation techniques. bin结构 struct malloc_chunk { /* #define INTERNAL_SIZE_T size...
CTF pwn题入门 -- Large bin
lifanxin的博客
04-07 1860
Large bin概述攻击方式分配到目的地址house of force总结 概述   large bin采用双链表结构,libc-2.23版本下64位机器上,最小为0x400(1024字节),里面的chunk从头结点的fd指针开始,按大小顺序排列。不同于fast bin, small bin, unsorted bin的结构,当属于large bin的chunk被释放时,chunk还会有fd_nextsize和bk_nextsize指针,分别指向前后第一个与本身chunk大小不同的chunk。当然也就
fastbin attack快速入门
abelxu
11-13 1178
0x01 fastbin简介 Fastbin包含0x20~0x80大小bin的数组指针,用于快速分配小块。fastbin按照单链表结构进行组织,相同大小的bin在同一个链表,fd指向下一个bin,采用LIFO(Last In First Out)机制。在fastbin块的inuse标志都为1,处于占用状态,防止chunk释放时进行合并,加快小块的分配。 正常fastbin的使用 通过这个简单的案例来了解fastbin的单链表结构,malloc和free的过程。 #include<stdio
CTF pwn题入门 -- Unsorted bin
lifanxin的博客
04-08 3257
Unsorted bin概述攻击方式泄露libc地址总结 概述   Unsorted bin也是常见的,当一个块被释放时,且该块大小不属于fast bin(libc-2.26之后要填满tcache),那么在进入small binlarge bin之前,都是先加入到unsorted bin的。之后当我们再次分配内存到unsorted bin上寻找时,如果申请的内存块小于寻找的unsorted bin,那么会将该内存块切割后返回给用户,剩下的仍然保存在unsorted bin上;如果申请的内存
漏洞挖掘实用知识库分享知识分享
10-13
4. **bins和chunk分类**: bins是空闲内存块的列表,分为fastbin、unsorted binsmall binlarge bin。chunk则是内存分配的基本单位,分为allocated chunk(已分配)、free chunk(空闲)、top chunk(顶剩余块)...
【逆向学习记录】分配chunk&bins
卦星的专栏
03-23 3340
1 概述 学习的过程,开始的时候,有个很难理解的东西,那个东西就是malloc,涉及到malloc就会涉及到chunk,实话说chunk这个东西的学习,确实经历了不少时间,总结一下,防止忘记 参考 Linux内存管理深入分析-上这篇文章详细将来chunk的进化过程,这里就不在深入查看了,深入浅出,是学习溢出基础的佳作 Linux内存管理深入分析-下这篇文章详细讲了bin的结构,并且被我大...
一道方向的pwn(double free & unsorted bins)
F_Day_的博客
10-17 973
一道方向的pwn(double free & unsorted bins)做题环境什么是double free 在某博客上看到了一道的题,博主说是入门的,嗯,那正好适合我,于是我花了一周终于出结果了。。。。。。 来看看我都遇到了什么问题 做题环境 Ubuntu 20.04.3 LTS,这是我在微软商店下载的子系统,也是一切万恶之源的开始 题目:Roc826 什么是double free 希望再次之前,你已经知道什么是了。 double free就是对一个free两次 在,free后
在pwn题fastbin的利用
Vicl1fe的博客
09-28 666
参考和题目链接链接:https://paper.seebug.org/445/#pwnfastbin 前言 这个题,我搞了有一天,没搞出来,就在我快放弃的时候,才终于解出来,可能系统不一样,我覆盖不了参考文章的地址,最后我覆盖了别的地址。具体来看看吧。 ...
探索Fastbin:一款高效的C语言内存管理工具
gitblog_00077的博客
03-31 345
探索Fastbin:一款高效的C语言内存管理工具 项目地址:https://gitcode.com/funny/fastbin 项目简介 Fastbin 是一个轻量级、快速且灵活的C语言内存管理系统,旨在提升你的程序在内存分配和释放时的效率。它的设计灵感来源于现代操作系统的内存管理策略,尤其是对小块内存的处理,使得开发者能够在不牺牲性能的前提下,更好地管理程序的内存。 技术分析 Fastbin的核...
fastbin attack + unsorted bin attack+ heap overflow+ double free fastbin + double free unlink
qq_39869547的博客
10-27 380
0x1 fastbin依靠单链表来组织的,管理结构始终维护一个指向最后一个chunk的指针(倒数第二个chunk的fd,通常情况这个fd指向的是下一个chunk起始地址)。这个指针决定了下一次要分配的chunk地址。 也就是说默认分配最好一个chunk给用户使用,同时最后一个chunk也是我们一开始第一个free掉的 0x2 我们的目的修改某一个chunk的fd ,这样我们就可以任意地址分配我们...
fastbin attack
m0_64195960的博客
07-19 1419
FastbinDoubleFree是指fastbin的chunk可以被多次释放,因此可以在fastbin链表存在多次。这样导致的后果是多次分配可以从fastbin链表取出同一个块,相当于多个指针指向同一个块,结合块的数据内容可以实现类似于类型混淆(typeconfused)的效果。FastbinDoubleFree能够成功利用主要有两部分的原因fastbin块被释放后next_chunk的pre_inuse位不会被清空1.1.1该技术的核心。......
机制利用之fastbin
weixin_48066554的博客
05-04 2336
机制利用之fastbin 前半部分:基于libc2.23(无tcache) 机制(fastbin等) 想要了解的机制利用方法必须要先了解的基本机制以及结构 目前主要使用的内存管理库是ptmalloc,而在ptmalloc,用户请求的空间由名为chunk的数据结构表示 下面就是一个标准的chunk结构 该chunk,**prev_size参数为前一chunk(如果未被使用)的大小,size参数为该chunk的大小,而P参数(pre_insue)为标志位,标志前一个chunk的使用情况。**而上述
linux适当内存,linux内存漏洞利用之fastbin
weixin_42245967的博客
04-30 393
背景介绍在前一节主要介绍了Glibc的内存管理的机制,在上一节的基础上,我打算介绍一下针对Glibc内存管理的攻击。此系列我打算按攻击面是哪一个bin来展开,主要分为:fastbin的攻击smallbin的攻击largebin的攻击unsorted bin的攻击top chunk的攻击本文主要介绍fastbin的攻击fastbin漏洞利用具体的fastbin的介绍请参考前一节和 Linux内...
各类bin介绍
csdn546229768的博客
01-18 1858
也是双链表结构,它在bins处于bin64~bin126,那么64bit最小large bin为 2 * 8 * 64 = 1024byte,哎,这个时候前面说的fd、bk、fd_nextsize、bk_nextsize就来到用武之地了,为了加快检索速度,fd_nextsize和bk_nextsize指针会指向一个大小与自己不一样的chunk,故在加入了大小不同的chunk时,这两个指针才会被修改。由free chunk组成的链表,当用户再次申请时从寻找合适的chunk返回给用户。
一定大小的chunk被释放时,在进入small bin或者large bin之 前,会先加入unsorted bin。在实践,一个被释放的chunk常常很 快就会被重新使用,所以将其先加入unsorted bin可以加快分配的速 度。unsorted bin使用双链表结构,并采用FIFO(先进先出)的分 配策略。与fastbinsY不同,unsroted bin的chunk大小可能是不 同的,并且由于是双链表结构,一个bin会占用bins的两个元素
07-15
是的,您描述的情况是正确的。在管理,当一个特定大小的内存块被释放时,它通常会先被放入未排序块(unsorted bin),然后再按照一定的策略被重新分配。 将被释放的内存块放入未排序块有几个原因: 1. 提高分配速度:由于被释放的内存块很可能很快就会被重新分配使用,将其放入未排序块可以加快分配速度,避免在其他列表搜索可用内存块。 2. 整理内存:将被释放的内存块放入未排序块可以帮助整理的内存空间,减少碎片化。 3. 充分利用:通过将被释放的内存块放入未排序块,可以最大程度地利用已经存在的内存块,而不是立即将其合并到其他块。 未排序块使用双链表结构,其每个元素都包含指向前一个和后一个块的指针,形成一个链表。由于是FIFO(先进先出)的分配策略,新释放的内存块会被添加到链表的最前面。 与快速块(fastbins)不同,未排序块的内存块大小可能是不同的,并且每个未排序块占用管理数据结构两个元素的空间,即前驱指针和后继指针。这是因为未排序块是一个双链表,需要存储前后两个指针来维护链表的连接关系。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

董哥的黑板报

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值