堆漏洞挖掘中的top chunk的向前合并

最新推荐文章于 2023-09-14 15:52:03 发布
最新推荐文章于 2023-09-14 15:52:03 发布
阅读量2.4k 收藏 9
点赞数 3
分类专栏: 堆漏洞挖掘 文章标签: top chunk的向前合并 堆漏洞挖掘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41453285/article/details/97617470
版权

一、top chunk

  • 当我们分配一块堆内存时,top chunk是出于地址的最高处的,其前面就是我们所申请的chunk。

二、top chunk的合并操作

  • 如果top chunk前面的chunk不是fast chunk并且处于空闲,那么top chunk就会合并这个chunk。
  • 如果top chunk前面的chunk是fast chunk,不论是否空闲,top chunk都不会合并这个chunk。

三、演示案例(不合并fast chunk)

#include <unistd.h>
#include <malloc.h>

int main()
{
    int size=0x20;
    void *p1=malloc(size);
    void *p2=malloc(size);
    
    sleep(0); //只为了程序打断点,无其他作用
    free(p2);
    return 0;
}
  • 第一步:在sleep处打断点,并运行起来。

  • 第二步:查看当前的堆信息以及bins信息。

  • 第三步:释放p2,如果top chunk前面是fast chunk,那么top chunk不会合并前面的fast chunk,fast chunk被放在fastbins中。

四、演示案例(合并unsorted chunk)

#include <unistd.h>
#include <malloc.h>

int main()
{
    void *p1=malloc(0x20);
    void *p2=malloc(0x100);
    
    sleep(0); //只为了程序打断点,无其他作用
    free(p2);
    return 0;
}
  • 第一步:在sleep处打断点,并运行起来。

  • 第二步:查看当前的堆信息以及bins信息。

  • 第三步:释放p2(看到在释放p2之后,第2个chunk没有了,被top chunk合并了,top chunk的大小加上了第2个chunk的大小。135121=134849+272。并且bins链表中也没有该chunk)。

五、阻止top chunk合并chunk

  • 如果在一个free掉的chunk后面再申请一个chunk,那么新申请的chunk处于使用状态,top chunk就不会合并前面的chunk。
#include <unistd.h>
#include <malloc.h>

int main()
{
    void *p1=malloc(0x100);
    void *p2=malloc(0x100);
    
    sleep(0); //只为了程序打断点,无其他作用
    free(p1);
    return 0;
}
  • 第一步:在sleep处打断点,并运行起来。

  • 第二步:查看当前的堆信息以及bins信息。

  • 第三步:释放p1,可以看到第2个chunk的size从273变味了272,代表此chunk前面的chunk处于空闲状态。并且被释放的chunk被放入了unsortedbin中,而没有被top chunk合并。

  • 我是小董,V公众点击"笔记白嫖"解锁更多【堆漏洞挖掘】资料内容。

董哥的黑板报
关注
专栏目录
透过bookwriter学习top chunk和_IO_FILE利用
极目楚天舒的博客
04-23 1104
前一段时间研究了著名的house_of_orange,于是趁热打铁赶紧做了一道类似的题目bookwriter以巩固姿势。0x01题目分析程序行为:输入作者名字、添加、查看书页内容、编辑、查看信息。Add函数如下,作用是为每个page分配内存并将地址存放在全局数组heap_address,同时全局数组size存放了对应page的大小,size控制着每次edit输入内容的大小,因此要成功溢出必须覆盖...
【逆向学习记录】分配chunk&bins
卦星的专栏
03-23 3381
1 概述 学习的过程,开始的时候,有个很难理解的东西,那个东西就是malloc,涉及到malloc就会涉及到chunk,实话说chunk这个东西的学习,确实经历了不少时间,总结一下,防止忘记 参考 Linux内存管理深入分析-上这篇文章详细将来chunk的进化过程,这里就不在深入查看了,深入浅出,是学习溢出基础的佳作 Linux内存管理深入分析-下这篇文章详细讲了bin的结构,并且被我大...
Glibc块的向前向后合并与unlink原理机制探究
weixin_44304686的博客
06-12 332
原文链接:https://bbs.ichunqiu.com/thread-46614-1-1.html?from=snew 玩pwn有一段时间了,最近有点生疏了,调起来都不顺手了,所以读读malloc源码回炉一点一点总结反思下。 Unlink是把free掉的chunk从所属的bins链,卸下来的操作(当然还包括一系列的检测机制),它是在free掉一块chunk(除fastbin大小的chunk外...
ptmalloc——arena/top chunk
weixin_34341117的博客
06-21 636
2019独角兽企业重金招聘Python工程师标准>>> ...
ACTF_2019_ACTFNOTE(top chunk上移)
seaaseesa的博客
07-01 872
ACTF_2019_ACTFNOTE 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,edit里存在溢出,可以直接修改top chunk的size 那么只需要把top chunk的size修改为-1,然后malloc(负数)即可将TOP chunk向前移动与已有的chunk重叠,然后通过申请空间,控制该程序结构体的指针即可实现任意地址读写。 #coding:utf8 from pwn import * #sh = process('./ACTF_2019_ACTFNOTE')
Vue 路由懒加载根据根路由合并chunk
Esca的学习之路
06-20 1344
路由懒加载的小技巧 一般来说当我们的项目越来越大的时候,我们打包的文件也越来越大。这时候我们的首屏加载就会很慢。因此我们会使用到路由的懒加载机制来对我们的模块进行划分 export default new Router({ mode: 'history', base: process.env.BASE_URL, routes: [ { path: '/A', component: () => import('./components/A.vue'),
漏洞利用之chunk扩展和重叠1
08-04
chunk释放并与top chunk相邻时,可能会发生与top chunk合并。通过修改chunk的大小,攻击者可以尝试操控fastbin链表,实现内存块的非法重用,这是溢出漏洞的一种常见利用方式。 总的来说,理解漏洞利用的...
漏洞挖掘实用知识库分享知识分享
最新发布
10-13
漏洞挖掘是安全领域的一个重要话题,主要涉及C语言编程的动态内存管理。在C语言,`malloc()`、`calloc()`、`realloc()`和`free()`等函数用于分配和释放内存,它们由运行时库如glibc实现。当程序在处理这些...
玩转-漏洞的利用技巧.docx
01-10
溢出的利用技术包括 Use After Free & Double Free、Heap Overflow、Fast bin attack、Unsorted bin attack、Overwrite Topchunk、Classical&Modern Unlink Attack、Off by one & Off by null 等。其,Use After...
Heap块Chunk
分不清东西南北的Laffey
11-29 4323
&amp;块0x01 基础知识——Chunk0x02 基础知识——Heap0x03 的基本操作0x04 相关的函数1&gt;malloc2&gt;free0x05 溢出0x06 溢出比较重要的几个步骤·寻找分配函数realloc malloc calloc·寻找危险函数·确定填充长度0x07 Fast bin0x08 Unsort bin注意点Fastbin attack--blin...
漏洞挖掘Chunk分类(allocated chunk、free chunk、top chunk、last remainder chunk)
董哥的黑板报
07-22 3799
此图是在上篇文章介绍arena时用到的,我们可以看到:块被分为不同的种类,下面我们将来介绍这些 chunk的分类 每一类就是一个malloc_chunk结构体,因为这些chunk同属于一个块,所以在一块连续的内存,只是通过区域特定位置的某些标识符加以区分 glibc给我们申请的块主要分为以下几类: allocated chunk free chunk top chunk ...
ptmalloc源码分析 - Top chunk的扩容函数sysmalloc实现(09)
自娱自乐的代码人
09-14 1万+
当Top chunk内存空间不足的时候,就会调用sysmalloc函数进行内存分配操作。
利用-house_of_force-top_chunk
qq_43390703的博客
11-14 386
house_of_force House Of Force 是一种利用方法,如果一个 (heap based) 漏洞想要通过 House Of Force 方法进行利用,需要以下条件: 能够以溢出等方式控制到 top chunk 的 size 域 能够自由地控制分配尺寸的大小 产生原因 glibc如果进行块分配的时候,如果所有空闲块都无法满足需求,那么就会从top chunk分割出相应的大小作为块空间。 但是当top chunck分配块的size值可以由用户控制的时候,top chu
Linux内存管理深入分析(上)
AliMobileSecurity的博客
05-12 4710
近年来,漏洞挖掘越来越火,各种漏洞挖掘、利用的分析文章层出不穷。本系列文章主要从Linux系统内存管理机制出发,逐步介绍诸如基本溢出漏洞、基于unlink的溢出漏洞利用、double free、use-after-free等常见的溢出漏洞利用技术。
理解 glibc malloc:malloc() 与 free() 原理图解
猫科龙
07-23 1万+
本文分为三个等级自顶向下地分析了glibc内存分配与回收的过程。本文不过度关注细节,因此只是分别从arena层次、bin层次、chunk层次进行图解,而不涉及有关指针的具体操作。前言 Arena级分析 main arena的内存申请 thread arena的申请 内存回收 bin级分析 内存回收 内存分配 chunk级分析前言在展开本文之前,先解释一下本文会提到的三个重要概念:arena,
malloc_chunk边界标记法和空间复用
simple
09-18 4301
ptmalloc分配的空间统一用了malloc_chunk结构来管理,malloc_chunk的结构初看比较奇葩,看了注释,分析了一段时间的代码,发现这种边界标记的设计,在malloc_chunk虚拟地址都是彼此相邻的情况下,是十分高效的。 malloc_chunk结构: struct malloc_chunk { INTERNAL_SIZE_T prev_size; /
内存管理(一) ptmalloc基础知识
qq_33225741的博客
05-06 1945
本文讨论了: 1.ptmalloc的简单概念 2.各种chunk 3.bin数组以及brk和mmap       1.ptmalloc的简单概念       glibc在开始的时候malloc是不支持多线程的,但是在glibc_2.3x集成了ptmalloc2,也就是平常使用的malloc。这就实现了对多线程编程的支持。本文将讨论ptmalloc的整个malloc(),free
C++性能优化(八)——内存分配机制
天山老妖
02-21 2290
一、操作系统内存布局 1、32位系统经典内存布局 LinuxKernel 2.6.7前版本采用的默认内存布局形式如下: (1)32操作系统,loader将可执行文件的各个段次依次载入到从0x80048000(128M)位置开始的空间。应用程序能够访问的最后地址是0xbfffffff(3G)的位置,3G以上的位置是给内核使用的,应用程序不能直接访问。 (2)内存布局从低地址到高地址依次为:txet段、data段、bss段、heap、mmap映射区、stack栈区。 (3)heap和mm.
内存优化总结:ptmalloc、tcmalloc和jemalloc
热门推荐
junlon2006的博客
09-05 7万+
转载于:http://www.cnhalo.net/2016/06/13/memory-optimize/ 概述 需求 系统的物理内存是有限的,而对内存的需求是变化的, 程序的动态性越强,内存管理就越重要,选择合适的内存管理算法会带来明显的性能提升。 比如nginx, 它在每个连接accept后会malloc一块内存,作为整个连接生命周期内的内存池。 当HTTP请求到达
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

董哥的黑板报

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值