堆漏洞挖掘中的top chunk的向前合并

最新推荐文章于 2024-01-30 00:11:46 发布
最新推荐文章于 2024-01-30 00:11:46 发布
阅读量2.3k 收藏 8
点赞数 3
分类专栏: 堆漏洞挖掘 文章标签: top chunk的向前合并 堆漏洞挖掘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41453285/article/details/97617470
版权

一、top chunk

  • 当我们分配一块堆内存时,top chunk是出于地址的最高处的,其前面就是我们所申请的chunk。

二、top chunk的合并操作

  • 如果top chunk前面的chunk不是fast chunk并且处于空闲,那么top chunk就会合并这个chunk。
  • 如果top chunk前面的chunk是fast chunk,不论是否空闲,top chunk都不会合并这个chunk。

三、演示案例(不合并fast chunk)

#include <unistd.h>
#include <malloc.h>

int main()
{
    int size=0x20;
    void *p1=malloc(size);
    void *p2=malloc(size);
    
    sleep(0); //只为了程序打断点,无其他作用
    free(p2);
    return 0;
}
  • 第一步:在sleep处打断点,并运行起来。

  • 第二步:查看当前的堆信息以及bins信息。

  • 第三步:释放p2,如果top chunk前面是fast chunk,那么top chunk不会合并前面的fast chunk,fast chunk被放在fastbins中。

四、演示案例(合并unsorted chunk)

#include <unistd.h>
#include <malloc.h>

int main()
{
    void *p1=malloc(0x20);
    void *p2=malloc(0x100);
    
    sleep(0); //只为了程序打断点,无其他作用
    free(p2);
    return 0;
}
  • 第一步:在sleep处打断点,并运行起来。

  • 第二步:查看当前的堆信息以及bins信息。

  • 第三步:释放p2(看到在释放p2之后,第2个chunk没有了,被top chunk合并了,top chunk的大小加上了第2个chunk的大小。135121=134849+272。并且bins链表中也没有该chunk)。

五、阻止top chunk合并chunk

  • 如果在一个free掉的chunk后面再申请一个chunk,那么新申请的chunk处于使用状态,top chunk就不会合并前面的chunk。
#include <unistd.h>
#include <malloc.h>

int main()
{
    void *p1=malloc(0x100);
    void *p2=malloc(0x100);
    
    sleep(0); //只为了程序打断点,无其他作用
    free(p1);
    return 0;
}
  • 第一步:在sleep处打断点,并运行起来。

  • 第二步:查看当前的堆信息以及bins信息。

  • 第三步:释放p1,可以看到第2个chunk的size从273变味了272,代表此chunk前面的chunk处于空闲状态。并且被释放的chunk被放入了unsortedbin中,而没有被top chunk合并。

  • 我是小董,V公众点击"笔记白嫖"解锁更多【堆漏洞挖掘】资料内容。

董哥的黑板报
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Laravelchunk组块结果集处理与注意问题
10-18
主要给大家介绍了关于Laravelchunk组块结果集处理与使用要注意问题的相关资料,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
PHP5.2下chunk_split()函数整数溢出漏洞 分析
10-30
PHP5.2下chunk_split()函数整数溢出漏洞 分析
read-chunk:从文件读取大块
05-26
读块 从文件读取大块 因为内置方式需要太多样板。 安装 $ npm install read-chunk 用法 const readChunk = require ( 'read-chunk' ) ; // foo.txt => hello readChunk . sync ( 'foo.txt' , 1 , 3 ) ; //=> 'ell' 原料药 readChunk(filePath,startPosition,长度) 返回带有读取块的Promise<Buffer> 。 readChunk.sync(filePath,startPosition,长度) 返回带有已读取块的Buffer 。 文件路径 类型: string startPosition 类型: number 开始阅读的位置。 长度 类型: number 读取的字节数。 执照 麻省理工学院:copyright:
详解Vue项目出现Loading chunk {n} failed问题的解决方法
10-18
主要介绍了详解Vue项目出现Loading chunk {n} failed问题的解决方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
漏洞利用之chunk扩展和重叠1
08-04
1、 申请两片内存,要求申请内存大小需范围落入 fastbin 范围内,并且两片内存尺寸和不 2、 memset 并打印第二片内存 3、 修改第一片内存的 mc
漏洞挖掘Chunk分类(allocated chunk、free chunk、top chunk、last remainder chunk)
董哥的黑板报
07-22 3623
此图是在上篇文章介绍arena时用到的,我们可以看到:块被分为不同的种类,下面我们将来介绍这些 chunk的分类 每一类就是一个malloc_chunk结构体,因为这些chunk同属于一个块,所以在一块连续的内存,只是通过区域特定位置的某些标识符加以区分 glibc给我们申请的块主要分为以下几类: allocated chunk free chunk top chunk ...
ptmalloc——arena/top chunk
weixin_34341117的博客
06-21 586
2019独角兽企业重金招聘Python工程师标准>>> ...
ACTF_2019_ACTFNOTE(top chunk上移)
seaaseesa的博客
07-01 832
ACTF_2019_ACTFNOTE 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,edit里存在溢出,可以直接修改top chunk的size 那么只需要把top chunk的size修改为-1,然后malloc(负数)即可将TOP chunk向前移动与已有的chunk重叠,然后通过申请空间,控制该程序结构体的指针即可实现任意地址读写。 #coding:utf8 from pwn import * #sh = process('./ACTF_2019_ACTFNOTE')
利用-house_of_force-top_chunk
qq_43390703的博客
11-14 328
house_of_force House Of Force 是一种利用方法,如果一个 (heap based) 漏洞想要通过 House Of Force 方法进行利用,需要以下条件: 能够以溢出等方式控制到 top chunk 的 size 域 能够自由地控制分配尺寸的大小 产生原因 glibc如果进行块分配的时候,如果所有空闲块都无法满足需求,那么就会从top chunk分割出相应的大小作为块空间。 但是当top chunck分配块的size值可以由用户控制的时候,top chu
理解 glibc malloc:malloc() 与 free() 原理图解
猫科龙
07-23 1万+
本文分为三个等级自顶向下地分析了glibc内存分配与回收的过程。本文不过度关注细节,因此只是分别从arena层次、bin层次、chunk层次进行图解,而不涉及有关指针的具体操作。前言 Arena级分析 main arena的内存申请 thread arena的申请 内存回收 bin级分析 内存回收 内存分配 chunk级分析前言在展开本文之前,先解释一下本文会提到的三个重要概念:arena,
玩转-漏洞的利用技巧.docx
01-10
溢出的利用技术包括 Use After Free & Double Free、Heap Overflow、Fast bin attack、Unsorted bin attack、Overwrite Topchunk、Classical&Modern Unlink Attack、Off by one & Off by null 等。其,Use After...
Linux溢出漏洞利用之unlink
AliMobileSecurity的博客
06-06 4925
本文详细介绍了unlink攻击技术的核心原理,虽然上述介绍的unlink漏洞利用技术已经失效,但是还是有必要认真学习,因为它一方面可以进一步加深我们对glibc malloc的栈管理机制的理解,另一方面也为后续的各种溢出攻击技术提供思路。
深入理解Ptmalloc2
最新发布
m0_74355719的博客
01-30 1129
linux动态内存管理机制ptmalloc
透过bookwriter学习top chunk和_IO_FILE利用
极目楚天舒的博客
04-23 1028
前一段时间研究了著名的house_of_orange,于是趁热打铁赶紧做了一道类似的题目bookwriter以巩固姿势。0x01题目分析程序行为:输入作者名字、添加、查看书页内容、编辑、查看信息。Add函数如下,作用是为每个page分配内存并将地址存放在全局数组heap_address,同时全局数组size存放了对应page的大小,size控制着每次edit输入内容的大小,因此要成功溢出必须覆盖...
Glibc块的向前向后合并与unlink原理机制探究
weixin_44304686的博客
06-12 281
原文链接:https://bbs.ichunqiu.com/thread-46614-1-1.html?from=snew 玩pwn有一段时间了,最近有点生疏了,调起来都不顺手了,所以读读malloc源码回炉一点一点总结反思下。 Unlink是把free掉的chunk从所属的bins链,卸下来的操作(当然还包括一系列的检测机制),它是在free掉一块chunk(除fastbin大小的chunk外...
Linux内存管理深入分析(上)
AliMobileSecurity的博客
05-12 4658
近年来,漏洞挖掘越来越火,各种漏洞挖掘、利用的分析文章层出不穷。本系列文章主要从Linux系统内存管理机制出发,逐步介绍诸如基本溢出漏洞、基于unlink的溢出漏洞利用、double free、use-after-free等常见的溢出漏洞利用技术。
Heap块Chunk
分不清东西南北的Laffey
11-29 4180
&amp;块0x01 基础知识——Chunk0x02 基础知识——Heap0x03 的基本操作0x04 相关的函数1&gt;malloc2&gt;free0x05 溢出0x06 溢出比较重要的几个步骤·寻找分配函数realloc malloc calloc·寻找危险函数·确定填充长度0x07 Fast bin0x08 Unsort bin注意点Fastbin attack--blin...
C++性能优化(八)——内存分配机制
天山老妖
02-21 2179
一、操作系统内存布局 1、32位系统经典内存布局 LinuxKernel 2.6.7前版本采用的默认内存布局形式如下: (1)32操作系统,loader将可执行文件的各个段次依次载入到从0x80048000(128M)位置开始的空间。应用程序能够访问的最后地址是0xbfffffff(3G)的位置,3G以上的位置是给内核使用的,应用程序不能直接访问。 (2)内存布局从低地址到高地址依次为:txet段、data段、bss段、heap、mmap映射区、stack栈区。 (3)heap和mm.
内存优化总结:ptmalloc、tcmalloc和jemalloc
热门推荐
junlon2006的博客
09-05 7万+
转载于:http://www.cnhalo.net/2016/06/13/memory-optimize/ 概述 需求 系统的物理内存是有限的,而对内存的需求是变化的, 程序的动态性越强,内存管理就越重要,选择合适的内存管理算法会带来明显的性能提升。 比如nginx, 它在每个连接accept后会malloc一块内存,作为整个连接生命周期内的内存池。 当HTTP请求到达
如何将多个chunk合并成一个dataframe
03-22
您可以使用 pandas 库的 concat() 函数将多个 chunk 合并成一个 dataframe。具体操作如下: ```python import pandas as pd # 假设有三个 chunk,分别为 chunk1.csv、chunk2.csv 和 chunk3.csv chunk1 = pd.read_csv('chunk1.csv') chunk2 = pd.read_csv('chunk2.csv') chunk3 = pd.read_csv('chunk3.csv') # 使用 concat() 函数将三个 chunk 合并成一个 dataframe df = pd.concat([chunk1, chunk2, chunk3]) # 输出合并后的 dataframe print(df) ``` 注意,合并多个 chunk 时,需要保证它们的列名和列顺序相同。如果不同,可以使用 rename() 函数和 reindex() 函数进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

董哥的黑板报

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值