堆漏洞挖掘中bins的单向链表、双向链表存储结构

最新推荐文章于 2022-11-15 01:10:14 发布
最新推荐文章于 2022-11-15 01:10:14 发布
阅读量3.6k 收藏 28
点赞数 10
分类专栏: 堆漏洞挖掘 文章标签: bins的单向链表、双向链表存储结构 堆漏洞挖掘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41453285/article/details/97613588
版权

一、前言

  • 前面介绍过:fastbins为单链表存储。unsortedbin、smallbins、largebins都是双向循环链表存储。
  • 并且free掉的chunk,如果大小在0x20~0x80之间会直接放到fastbins上去,大于0x80的会放到unsortedbin上,然后进行整理。
  • 那么这些链表在glibc中到底是如何存储的哪,本片文章进行介绍。

二、fastbins的单向链表存储结构

  • fastbins是单向链表存储,fastbins中的的chunk是不会合并的(glibc规定这些chunk的PREV_INUSE位永远为1)。

存储结构图

  • fastbins的存储采用后进先出(LIFO)的原则:后free的chunk会被添加到先free的chunk的后面;同理,通过malloc取出chunk时是先去取最新放进去的。
  • 因此,fastbins中的所有chunk的bk是没有用到的,因为是单链表。
  • 并且fastbins比较特殊,一个fastbin链第一个chunk指向于一个特殊的“0”,然后后面接的是后free的chunk......以此类推,最后一个chunk再由arena的malloc_state的fastbinsY数组所管理。

采取后进先出(LIFO)的原因:

  • 因为在单链表中一个节点的bk成员是没有使用的。当新增/取走一个freechunk时,都是通过fastbin的bin头的fd指针所操作的。

  • 演示案例如下:

#include <unistd.h>
#include <stdlib.h>
#include <malloc.h>

int main()
{
    int size=0x10;
    int size2=0x20;
    int *p1=malloc(size);
    int *p2=malloc(size);
    int *p3=malloc(size2);

    sleep(0);  //只为了程序打断点,没有其他作用
    free(p1);
    free(p2);
    free(p3);
    return 0;
}
  • 第一步:打断点在sleep上,并且运行起来。

  • 第二步:查看当前的堆信息和bins链信息(因为还没有释放,bins链都为空)。

  • 第三步:释放p1然后再释放p2,并且查看bins信息(可以看到两个chunkfree之后直接存储在fastbins的0x20bin链上),并且p2所指的chunk的fd指针指向于前一个chunk的chunk头处,第一个chunk的fd指向的是特殊的“0”。

  • 第四步:释放p3指针(该指针放到0x30大小的fastbin上,因为该bin链上只有一个chunk,所以fd成员为0,代表前面没有chunk)。

三、unsortedbin的双向链表存储结构

  • free的chunk大小如果大于0x80会放到unsortedbin上。
  • unsortedbin存储这些chunk是使用双向循环链表进行存储的(smallbins、largebins也是如此,此处只介绍unsortedbin)。

存储结构图:

  • 存储循环先入先出(FIFO)原则:上面的是先free掉的chunk,下面是后free掉的chunk;同理,通过malloc取出chunk时是先取上面的,再取下面的。
  • 一个bins中只有一个freechunk时:就是下面这种表示形式。可以看到freechunk的fd和bk都指向于bins的fd,所以我们使用gdb调试时可以用命令看到,当bin链中只有一个freechunk时,其fd和bk都是相同的,都指向于bins的fd。

  • 一个bins中有多个freechunk时:上面使我们的struct malloc_state结构体,结构体中的bins数组存储的就是这些bin链,下面就是bins数组中存储unsortedbin的位置,这个数组元素存储的其实就是一个fd和一个bk指针。下面第一个就是第一个free掉的chunk,再下面一个就是第二个free掉的chunk......以此类推。

采取先入先出(FIFO)的原因:

  • 因为添加/取走bin链上的一个freechunk时,是通过bin头的bk指针所操作的。

  • 演示案例如下:

#include <unistd.h>
#include <stdlib.h>
#include <malloc.h>

int main()
{
    int size=0x100;
    int *p1=malloc(size);
    int *temp=malloc(size); //防止p1与p2合并
    int *p2=malloc(size);   
    int *p3=malloc(size);   //防止p2被top chunk合并

    sleep(0);
    free(p1);
    free(p2);
    return 0;
}
  • 第一步:打断点在sleep上,并运行起来。

  • 第二步:查看当前的chunk信息以及bins信息(可以看到当前的chunk都处于分配状态)。

  • 第三步:释放p1(释放p1之后,unsortedbin中有了第一个chunk,并且该chunk的前指针和后指针都指向于unsortedbin,此时循环双向链表中只有1个chunk,所以看到0x602000处的chunk的fd和bk都为unsortedbin的地址),也可以看到第2个chunk的size变为272,PREV_INUSE位变为了0,说明此chunk前面的chunk变为空闲状态。

  • 第四步:释放p2指针(此时unsortedbin中有两个chunk构成的循环双向链表)。

四、malloc_state结构体的bins数组

  • 我们知道bins数组是NBINS * 2 - 2个大小,那么为什么这么设计哪?原因如下:
    • ①NBINS是arnea中除了fastbins之外,所有的bins链表数目综合(unsortedbin+smallbins+largebins)。
    • ②因为每个bins链表在bins数组中存储的是一个fd和bk成员,所以一个bins链表在bins数组中要存储2个struct malloc_chunk指针,所以数组要乘以2,也就是NBINS*2。
    • ②bins数组的第0、1个索引不想用来存储bins链表,所以要减去2。
  • 综上所述,bins数组的大小就是NBINS*2-2。

五、附加知识

  • 从上面的图中我们可以看到下面这样的结构,我们知道这个是存储的bin链的起始地址,bin链在arnea表示的结构体的bins数组中存储,+88就代表在表示arena结构体的起始地址+88字节寻找到这个bin链的地址。

验证

  • 下面我们查看main_arena结构体的起始地址,然后再计算出某个被free掉的第一个chunk的地址,可以看到该chunk存储在距离main_arena结构体起始地址的0x58(10进制:88)的地址处。

  • 我是小董,V公众点击"笔记白嫖"解锁更多【堆漏洞挖掘】资料内容。

董哥的黑板报
关注
专栏目录
linux arena参数设置,从零开始的Linux利用(三)
weixin_29375125的博客
05-12 530
相比之前的fastbin_dup小幅度的提高一点难度,从博客搬运来的欢迎各位去访问我的博客漏洞本身和之前一样也是fastbin_dup直接尝试一下相同的方法找到__malloc_hook附近可以伪造的fake chunk这个和之前完全一样,但是这个程序在malloc的时候的限制更大,0x70大小的chunk被限制了可以申请0x60的chunk也可以申请0x80的chunk,就是不能申请0x70的实...
浅析JAVA集合框架之HashMap
秀强的专栏
12-01 1362
数据结构
漏洞挖掘bins分类(fastbin、unsorted bin、small bin、large bin)
董哥的黑板报
07-23 1万+
一、bin链的介绍 bin是一个由struct chunk结构体组成的链表 前面介绍过,不同的chunk根据特点不同分为不同的chunk,为了将这些chunk进行分类的管理,glibc采用了bin链这种方式管理不同的chunk 不同的bin链是由arena管理的 bin的chunk均为free chunk 二、bin链分类 根据bin链成员的大小不同,分为以下几类: fast bi...
链表(单链表、双链表、内核链表)
主要记录嵌入式学习与开发过程。
12-26 874
以下内容源于朱有鹏嵌入式课程的学习,如有侵权,请告知删除。 一、链表的引入 1、从数组的缺陷说起 数组有2个缺陷,一个是数组所有元素的类型必须一致;第二个是数组的元素个数必须事先制定并且一旦指定之后不能更改。数组的第一个缺陷靠结构体去解决。结构体允许其的元素的类型不相同,因此解决了数组的第一个缺陷。所以说结构体是因为数组不能解决某些问题所以才发明的。数组的第二个缺陷靠链表去解
数据结构与算法笔记(5) - 双链表
fanbin
08-01 98
双链表,节点之间具有双向链接,即在每个节点都有前和后两个指针,分别指向前一个节点和后一个节点。 节点类: class Node(object): def __init__(self, elem, next_=None, prev=None): self.elem = elem self.next = next_ self.prev = pre...
笔记——双向链表
weixin_45816431的博客
08-25 740
双向链表: 在单链表的每个节点里再增加一个指向其直接前驱的指针域prior,形成双向的链表。 定义: typedef struct DuLNode{ Elemtype data; struct DuLNode *prior,*next; }DuLNode,*DuLinkList; 双向循环链表: 头结点的前驱节点指向链表的最后一个节点; 最后一个结点的后继指针指向头节点。 双向链表的对称性: p->prior->next=p=p->next->prior 双向链表的插入: v
什么是漏洞挖掘的glibc实现、Arena(main_arena、thread_arena)
董哥的黑板报
07-22 3358
一、什么是 在程序运行过程可以提供动态分配的内存,允许程序申请大小未知的内存 其实就是程序虚拟地址空间的一块连续的线性区域,它由低地址向高地址方向增长 我们一般成管理的那部分程序为管理器 管理器处于用户程序与内核间,主要做以下工作 malloc free 二、的历史 Linux早期的分配与回收由Doug Lea实现,但它在并行处理多个线程时,会共享进程的内存空间...
【逆向学习记录】分配chunk&bins
卦星的专栏
03-23 3340
1 概述 学习的过程,开始的时候,有个很难理解的东西,那个东西就是malloc,涉及到malloc就会涉及到chunk,实话说chunk这个东西的学习,确实经历了不少时间,总结一下,防止忘记 参考 Linux内存管理深入分析-上这篇文章详细将来chunk的进化过程,这里就不在深入查看了,深入浅出,是学习溢出基础的佳作 Linux内存管理深入分析-下这篇文章详细讲了bin的结构,并且被我大...
学习打卡4:漏洞的利用技术与技巧与风水学习
一点涵的博客
09-10 1996
督促自己:2020-9-10 学习记录: 《逆向工程权威指南》上 ARM64 ARM64的CPU可能运行于ARM模式,不可能运行于 Thmub 或者 Thmub-2 moshi ,所以它必须使用32位指令。 STP(Store Pair) 指令是把寄存器的值存储到内存的任意地址,明确是sp寄存器时,是存储在栈。 感叹号标志意味着其标注的运算会被优先执行。(这属于“预索引/pre-index”指令,对应“延迟索引/post-index”指令) 在ARM64,X29寄存器时帧指针,X30起着LR的作用
【pwn】学pwn日记(结构学习)(随缘更新)
woodwhale的博客
08-20 4748
【pwn】学pwn日记(结构学习) 1、什么是是下图绿色的部分,而它上面的橙色部分则是管理器 我们都知道栈的从高内存向低内存扩展的,而是相反的,它是由低内存向高内存扩展的 管理器的作用,充当一个间人的作用。管理从操作系统申请来的物理内存,如果有用户需要,就提供给他。 2、了解管理器 注意:linux使用glibc 这里有两种申请内存的系统调用: brk mmap 第一种brk,是将heap下方的data段(bss属于data段),向上扩展申请的内存。 第二种mmap,其实下
一个实例讲解fastbins上的利用附件
09-06
hctf 2016 就是干 一个实例讲解fastbins上的利用附件 一个实例讲解fastbins上的利用附件一个实例讲解fastbins上的利用附件
bins
11-07
tiny6410 1.led_s的bin文件
相关数据结构
m0_49959202的博客
10-31 476
文章目录相关数据结构1.微观结构1.1 malloc_chunk1.1.1 chunk定义1.1.2 使用的chunk1.1.3 空闲的chunk(被free后)1.2 bin1.2.1 概述1.2.2 fast bin1.2.3 small bin1.2.4 large bin1.2.5 unsorted bin1.3 Top chunk1.4 last remainder2.宏观结构2.1 arena2.2 heap_info2.3 malloc_state 相关数据结构 参考: https://
一个实例讲解fastbins上的利用
小强的博客
09-06 1462
这道题是hctf2016年“就是干”那道题。附件有下载地址及writeup。我就是分析一下: 首先IDA分析一下: 新建两个结构体 00000000 str_struct struc ; (sizeof=0x20) 00000000 str dq ? 00000008 str_padding dq ? 00000010 size
linux适当内存,linux内存漏洞利用之fastbin
weixin_42245967的博客
04-30 393
背景介绍在前一节主要介绍了Glibc的内存管理的机制,在上一节的基础上,我打算介绍一下针对Glibc内存管理的攻击。此系列我打算按攻击面是哪一个bin来展开,主要分为:fastbin的攻击smallbin的攻击largebin的攻击unsorted bin的攻击top chunk的攻击本文主要介绍fastbin的攻击fastbin漏洞利用具体的fastbin的介绍请参考前一节和 Linux内...
Fastbins dup_consolidate探究
qq_41252520的博客
08-29 309
演示代码 #include <stdio.h> #include <stdint.h> #include <stdlib.h> int main() { void* p1 = malloc(0x40); void* p2 = malloc(0x40); fprintf(stderr, "Allocated two fastbins: p1=%p p...
linux内存漏洞利用之fastbin
pang241的专栏
09-24 1818
背景介绍在前一节主要介绍了Glibc的内存管理的机制,在上一节的基础上,我打算介绍一下针对Glibc内存管理的攻击。此系列我打算按攻击面是哪一个bin来展开,主要分为: - fastbin的攻击 - smallbin的攻击 - largebin的攻击 - unsorted bin的攻击 - top chunk的攻击本文主要介绍fastbin的攻击fastbin漏洞利
直方图bins应如何理解及处理
热门推荐
那年聪聪
03-16 2万+
直方图bins应如何理解及处理
循环链表&双向链表(C++)
weixin_63198483的博客
11-15 348
数据结构与算法---循环链表和双向链表(C++)
plt.histbins是什么
最新发布
05-02
在 `plt.hist()` ,`bins` 参数是指要将数据分成多少个区间(或者说箱子),用于绘制直方图。它通常是一个整数或一个列表,如果是一个整数,则数据将被分成等宽的区间。如果是一个列表,则可以指定每个区间的起始...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

董哥的黑板报

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值