堆漏洞挖掘——malloc一个chunk的检测机制

最新推荐文章于 2022-09-13 19:08:08 发布
最新推荐文章于 2022-09-13 19:08:08 发布
阅读量2.6k 收藏 5
点赞数
分类专栏: 堆漏洞挖掘 文章标签: malloc一个chunk的检测机制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41453285/article/details/97753705
版权

一、前言

  • 我们知道:当malloc时,如果fastbins、smallbins中有满足需求的chunk可以使用时,malloc就会在相关的bins链中寻找可用的freechunk来使用。
  • 但是取走一个freechunk是有检测机制的。

二、fastbin的检测机制

机制规则如下

  • 检测1:检测你要malloc的freechunk的大小是否在该chunk所在的fastbin链的大小尺寸范围内(例如:一个fastbin链所存储的chunk大小必须在0x30-0x40之间,但是你要申请的这个chunk却是0x50,那么就会程序就报错退出)。
  • 检测2:检测你这个freechunk的size成员的PREV_INUSE为是否为1,为1才可以通过检测。

check_remalloced_chunk函数

  • 函数功能:该函数主要用来检测chunk的NON_MAIN_ARENA、IS_MAPPED、PREV_INUSE位。该函数中的if会判断chunk是否为mmap申请,还有是否为main_arena管理等。
  • 在fastbin中:主要用来会检测你要malloc的这个chunk的PREV_INUSE为是否为1。
  • 如果是正常chunk就可以过这个检测,但是是fastbin attack,那么需要设计来跳过这个检测。

三、smallbin的检测机制

  • 判断下一个chunk的fd指针释放为自己,victim此时为要malloc出去的chunk,bck是后一个chunk。
  • 如果使用了unlink攻击,那么bk就被改了,从而bck就改了,那么bck的fd也就变了,此时就出错了。

  • 我是小董,V公众点击"笔记白嫖"解锁更多【堆漏洞挖掘】资料内容。

董哥的黑板报
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
实验三——Malloc Lab
ancientmoondjay的博客
12-13 5842
一、数据结构 定义一个结构体,在每块请求的内存前面是一个结构体+一个fence。结构体如下: 占用16个字节。又因为一个fence是4个字节,所以在每块有效内存前面是20字节,在有效内存后面是4字节的fence。所以每块完整的经过封闭的内存是24+size字节。 又定义了一个链表结点,用来存储每一块已分配的内存块,如下: 二、宏 定义了5个宏,如下: 三、辅助函数 定义了5个辅助函数,
linux 溢出学习之malloc管理机制原理详解
jmp esp
03-02 1万+
前言在pwn的学习过程中,最为难啃的骨头莫过于相关的利用,然而无论是在实际情况下还是在ctf比赛中,利用都是绝对的主流,是漏洞的主要类型之一。鉴于国内相关资料有限,系统讲解溢出利用的更是少之又少,我在此整理相关内容,既能作为自己学习的记录,也希望能够给大家带来一定的作用,不过鉴于本人也在学习之中,如有错误希望大家包涵,并且能够积极指正。的基础知识什么是是一种全局的数据结构,用以动态管理系
linux下 c中怎么让才能安全关闭线程
bbs598598的专栏
05-05 1万+
多线程退出有三种方式: (1)执行完成后隐式退出; (2)由线程本身显示调用pthread_exit 函数退出;     pthread_exit (void * retval) ;  (3)被其他线程用pthread_cance函数终止:     pthread_cance (pthread_t thread) ;  用event来实现。 在子线程中,在
漏洞挖掘中的malloc_consolidate与FASTBIN_CONSOLIDATION_THRESHOLD
董哥的黑板报
07-29 4037
一、何为consolidate 我们知道大于0x80的chunk被释放之后就放到了unsortedbin上面去,但是unsortedbin一个未分类的bin,上面的chunk也处于未分类的状态。但是这些chunk需要在特定的条件下被整理然后放入到smallbins或者largebins中 这个整理的过程被称为unsortedbin的“consolidate”,但是“consolidate”是...
fastbin关于chunk size检查问题&&花式泄露libc&&极限getshell&&huxiangbei_2019_namesyste
azraelxuemo的博客
04-10 2865
上图就是大家很熟悉的关于fastbin大小的一个检查 首先是里面一层 chunksize 以及外面一层 这是c源码 而对于汇编层面,由于运行的时候知道具体是32位还是64位,所以做了一定的优化 r15就是我们对应的chunk头地址,+8就是size的起始地址 但注意看,我们其实只是取了size的低8位 那么这里就是绕过的关键,网上很多地方其实讲的都不是很多 只要我们找到的size的地方低8位满足如下要求即可 000000yx y满足在2~8之间就好,x随意 同时size高八位也随意 因为可以看到我.
LINUX内核研究----C/C++内存管理glibc运行库底层ptmalloc内存管理源码分析总结
风清扬
02-24 776
基础知识:32位进程的虚拟地址空间64位进程的虚拟地址空间应用程序的栈从最高地址处开始向下生长,.bss段与.Stack之间的空间是空闲的,空闲空间被分成两部分,一部分为heap,一部分为mmap映射区域。Heap和mmap区域都可以供用户自由使用,但是它在刚开始的时候并没有映射到内存空间内,是不可访问的。在向内核请求分配该空间之前,对这个空间的访问会导致segmentationfault(段错...
sleepyHolder_hitcon_2016(fastbin的检查机制+malloc_consolidate+double free)
seaaseesa的博客
04-30 1030
sleepyHolder_hitcon_2016 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,delete功能没有清空指针,并且也没有校验,因此可以double free。 Edit功能又验证标志,因此不能UAF编辑 Add功能可以创建三种规格的。 由于没有开启PIE,并且指针存储在bss上,因此unlink是比较好的方法。但是不能溢出, 而要想成功d...
高版本glibc的tcache和fastbin指针加密机制
qq_51474381的博客
04-18 1873
先贴一下源码 tcache: static __always_inline void tcache_put (mchunkptr chunk, size_t tc_idx) { tcache_entry *e = (tcache_entry *) chunk2mem (chunk); /* Mark this chunk as "in the tcache" so the test in _int_free will detect a
漏洞挖掘实用知识库分享知识分享
最新发布
10-13
漏洞挖掘是安全领域中的一个重要话题,主要涉及C语言编程中的动态内存管理。在C语言中,`malloc()`、`calloc()`、`realloc()`和`free()`等函数用于分配和释放内存,它们由运行时库如glibc实现。当程序在处理这些...
漏洞利用之chunk扩展和重叠1
08-04
漏洞利用是网络安全领域中的一个重要话题,涉及到内存管理的深层次理解和技巧。本文主要探讨了在Linux环境下,如何利用glibc库中的内存分配机制,特别是chunk扩展和重叠现象,以深入理解潜在的安全风险。 首先,...
malloc函数详细说明一看就懂
07-12
malloc函数详细说明一看就懂
申请动态内存——malloc()函数及其扩展函数
热门推荐
帅气的羊的博客
10-11 1万+
1.malloc()概述——申请动态内存malloc(num)向系统申请num字节的动态内存,内存于“”里存放,若申请成功,则函数返回(无类型)数组的首地址,失败则返回NULL,并且申请之后的内存中并没有初始化。该函数需要引用头文件——stdlib.h。 由于“”有一个特性——由程序自行管理内存,所以在申请了动态内存之后,需要利用free()自行释放,这是为了避免出现野指针,并且把指向
__libc_malloc()源码阅读
huzai9527的博客
01-19 1603
malloc 源码 chunk 与 mem 指针头部的转换(mem 指向用户申请的内存空间) /* conversion from malloc headers to user pointers, and back */ #define chunk2mem(p) ((void *) ((char *) (p) + 2 * SIZE_SZ)) #define mem2chunk(mem) ((mchunkptr)((char *) (mem) -2 * SIZE_SZ)) 检查分配给用户的内存是否对
ciscn2022-线上-半决-pwn
m0_51185908的博客
09-13 1572
ciscn2022-线上-半决-pwn
从零开始的Linux利用(十三)——风水
weixin_43044226的博客
06-25 1056
这一节主要包含两个部分,高版本下的House of Rabbit以及风水在House of Rabbit中学习到了House of Rabbit的利用方式,这种利用思路通过修改fastbin的fd指针、触发将fastbin放入到unsortedbin、进一步修改fake chunk的大小使chunk放入到largebin进而得到任意地址的写能力。但是这里有一个前提就是之前的glibc版本比较低(2.25)在glibc 2.27中的函数中增加了对fastbin的size的检查 可以看到在之前检查了
漏洞挖掘chunkmalloc、free
董哥的黑板报
07-29 1478
malloc机制 如果程序是第一次mallloc:会创建一个很大的“top chunk” 如果程序是第二次及之后malloc:会去先向bins链表寻找空间,如果没有再去向“top chunk”要空间;如果“top chunk”使用完了再通过glibc重新申请一块新的“top chunk” 一、程序第一次malloc 如果程序是第一次malloc,glibc会向内核申请一块很大的内存空间供...
相关漏洞利用libc异常提示原因记录
jmp esp
03-26 6895
Memory Corruption (fast) 原因 size为fast bin范围。 fastbin取出的chunk的size不属于该fastbin smallbin double linked list corrupted 原因 size 为smallbin 范围。 smallbin的最后一个被取出的时候发现不为double linked list。 如拿出的那一...
glibc-2.23 _int_malloc函数流程分析
qq_34010404的博客
05-08 659
文章目录_int_malloc流程分析1.尝试在fastbin里面寻找2.尝试在small bin里面寻找3.触发malloc_consolidate4.for()循环:5 use top其他部分:1.关于last_reminder _int_malloc流程分析 1.尝试在fastbin里面寻找 若needbytes 是小于fastbin最大chunk的大小,根据needbytes计算出idx,在对应的bin里面看一下有没有chunk。若对应的bin并不是空的,那么取出一个chunk 名为victim,检
glibc中free函数详解
huzai9527的博客
05-27 912
__libc_free详解(tcache 略) 1. 检查是否存在 hook函数,如果有就执行 void __libc_free (void *mem) { mstate ar_ptr; mchunkptr p; /* chunk corresponding to mem */ /* 1. 关于__free_hook,释放时会检查其会否为NULL,否的话就执行相应的函数 2. __free_hook指向的函数,其调用的参数,为chunk中的内容
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

董哥的黑板报

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值