堆漏洞挖掘——malloc一个chunk的检测机制

最新推荐文章于 2022-09-13 19:08:08 发布
最新推荐文章于 2022-09-13 19:08:08 发布
阅读量2.7k 收藏 6
点赞数
分类专栏: 堆漏洞挖掘 文章标签: malloc一个chunk的检测机制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41453285/article/details/97753705
版权

一、前言

  • 我们知道:当malloc时,如果fastbins、smallbins中有满足需求的chunk可以使用时,malloc就会在相关的bins链中寻找可用的freechunk来使用。
  • 但是取走一个freechunk是有检测机制的。

二、fastbin的检测机制

机制规则如下

  • 检测1:检测你要malloc的freechunk的大小是否在该chunk所在的fastbin链的大小尺寸范围内(例如:一个fastbin链所存储的chunk大小必须在0x30-0x40之间,但是你要申请的这个chunk却是0x50,那么就会程序就报错退出)。
  • 检测2:检测你这个freechunk的size成员的PREV_INUSE为是否为1,为1才可以通过检测。

check_remalloced_chunk函数

  • 函数功能:该函数主要用来检测chunk的NON_MAIN_ARENA、IS_MAPPED、PREV_INUSE位。该函数中的if会判断chunk是否为mmap申请,还有是否为main_arena管理等。
  • 在fastbin中:主要用来会检测你要malloc的这个chunk的PREV_INUSE为是否为1。
  • 如果是正常chunk就可以过这个检测,但是是fastbin attack,那么需要设计来跳过这个检测。

三、smallbin的检测机制

  • 判断下一个chunk的fd指针释放为自己,victim此时为要malloc出去的chunk,bck是后一个chunk。
  • 如果使用了unlink攻击,那么bk就被改了,从而bck就改了,那么bck的fd也就变了,此时就出错了。

  • 我是小董,V公众点击"笔记白嫖"解锁更多【堆漏洞挖掘】资料内容。

董哥的黑板报
关注
专栏目录
android 如何分析应用的内存(七)——malloc hook
安仔的博客
06-14 2432
接上文,介绍六大板块中的第二个————malloc hook上一篇的自定义分配函数,常常只能解决当前库中的分配,而不能跟踪整个app中的分配。为此,android的libc库,从Android 9.0开始引入了malloc hook技术这个技术定义了四个全局变量,这个变量指向对应的函数。注意:在32位系统中,有两个已经不在推荐使用的函数,pvalloc和valloc对应的hook为__memalign_hook。
android 如何分析应用的内存(八)——malloc debug 和 libc回调
安仔的博客
06-20 2233
接上文,介绍六大板块中的第三个————malloc调试和libc回调上一篇文章中,仅仅是在分配和释放的时候,拦截对应的操作。而不能进一步的去检查内存问题。比如:释放之后再次使用指针,内存泄漏,内存损坏等等。在这篇文章中,将会介绍malloc调试技术,它可以对native的内存,进行更加细致的检测,并且可以支持到Android 4.4。而malloc hook最低也只能支持到Android 9.0.但从Android 7.0以后有一个改版。因此将分两部分进行介绍。
漏洞挖掘chunkmalloc、free
董哥的黑板报
07-29 1483
malloc机制 如果程序是第一次mallloc:会创建一个很大的“top chunk” 如果程序是第二次及之后malloc:会去先向bins链表寻找空间,如果没有再去向“top chunk”要空间;如果“top chunk”使用完了再通过glibc重新申请一块新的“top chunk” 一、程序第一次malloc 如果程序是第一次malloc,glibc会向内核申请一块很大的内存空间供...
glibc TCache机制
huzai9527的博客
01-20 1175
TCache机制 相关的宏 #if USE_TCACHE /* We want 64 entries. This is an arbitrary limit, which tunables can reduce. */ # define TCACHE_MAX_BINS 64 # define MAX_TCACHE_SIZE tidx2usize (TCACHE_MAX_BINS-1) /* Only used to pre-fill the tunables. */ # define tidx
漏洞挖掘中的malloc_consolidate与FASTBIN_CONSOLIDATION_THRESHOLD
董哥的黑板报
07-29 4086
一、何为consolidate 我们知道大于0x80的chunk被释放之后就放到了unsortedbin上面去,但是unsortedbin一个未分类的bin,上面的chunk也处于未分类的状态。但是这些chunk需要在特定的条件下被整理然后放入到smallbins或者largebins中 这个整理的过程被称为unsortedbin的“consolidate”,但是“consolidate”是...
fastbin关于chunk size检查问题&&花式泄露libc&&极限getshell&&huxiangbei_2019_namesyste
azraelxuemo的博客
04-10 2881
上图就是大家很熟悉的关于fastbin大小的一个检查 首先是里面一层 chunksize 以及外面一层 这是c源码 而对于汇编层面,由于运行的时候知道具体是32位还是64位,所以做了一定的优化 r15就是我们对应的chunk头地址,+8就是size的起始地址 但注意看,我们其实只是取了size的低8位 那么这里就是绕过的关键,网上很多地方其实讲的都不是很多 只要我们找到的size的地方低8位满足如下要求即可 000000yx y满足在2~8之间就好,x随意 同时size高八位也随意 因为可以看到我.
LINUX内核研究----C/C++内存管理glibc运行库底层ptmalloc内存管理源码分析总结
风清扬
02-24 790
基础知识:32位进程的虚拟地址空间64位进程的虚拟地址空间应用程序的栈从最高地址处开始向下生长,.bss段与.Stack之间的空间是空闲的,空闲空间被分成两部分,一部分为heap,一部分为mmap映射区域。Heap和mmap区域都可以供用户自由使用,但是它在刚开始的时候并没有映射到内存空间内,是不可访问的。在向内核请求分配该空间之前,对这个空间的访问会导致segmentationfault(段错...
知识--持续
Stella_Leo的博客
08-24 3198
author: moqizou 源码的知识总是看一点忘一点,导致的学习非常缓慢。这里我还是开个文章记录一下,源码的知识吧。 Chunk Extend and Overlapping 这是一种通过改变chunk head来达到伪造chunk大小,从而把用户区申请到相邻的chunk上去,达到溢出修改其他chunk的目的。 主要利用的ptmalloc机制如下。 寻找下一个chunk机制(下一个指高地址) ptmalloc机制通过当前chunk指针加上当前chunk大小来获取下一个chunk的指针。.
sleepyHolder_hitcon_2016(fastbin的检查机制+malloc_consolidate+double free)
seaaseesa的博客
04-30 1042
sleepyHolder_hitcon_2016 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,delete功能没有清空指针,并且也没有校验,因此可以double free。 Edit功能又验证标志,因此不能UAF编辑 Add功能可以创建三种规格的。 由于没有开启PIE,并且指针存储在bss上,因此unlink是比较好的方法。但是不能溢出, 而要想成功d...
漏洞挖掘实用知识库分享知识分享
最新发布
10-13
漏洞挖掘是安全领域中的一个重要话题,主要涉及C语言编程中的动态内存管理。在C语言中,`malloc()`、`calloc()`、`realloc()`和`free()`等函数用于分配和释放内存,它们由运行时库如glibc实现。当程序在处理这些...
malloc函数详细说明一看就懂
07-12
malloc函数详细说明一看就懂
漏洞利用之chunk扩展和重叠1
08-04
漏洞利用是网络安全领域中的一个重要话题,涉及到内存管理的深层次理解和技巧。本文主要探讨了在Linux环境下,如何利用glibc库中的内存分配机制,特别是chunk扩展和重叠现象,以深入理解潜在的安全风险。 首先,...
linux 溢出学习之malloc管理机制原理详解
热门推荐
jmp esp
03-02 1万+
前言在pwn的学习过程中,最为难啃的骨头莫过于相关的利用,然而无论是在实际情况下还是在ctf比赛中,利用都是绝对的主流,是漏洞的主要类型之一。鉴于国内相关资料有限,系统讲解溢出利用的更是少之又少,我在此整理相关内容,既能作为自己学习的记录,也希望能够给大家带来一定的作用,不过鉴于本人也在学习之中,如有错误希望大家包涵,并且能够积极指正。的基础知识什么是是一种全局的数据结构,用以动态管理系
高版本glibc的tcache和fastbin指针加密机制
qq_51474381的博客
04-18 1923
先贴一下源码 tcache: static __always_inline void tcache_put (mchunkptr chunk, size_t tc_idx) { tcache_entry *e = (tcache_entry *) chunk2mem (chunk); /* Mark this chunk as "in the tcache" so the test in _int_free will detect a
__libc_malloc()源码阅读
huzai9527的博客
01-19 1615
malloc 源码 chunk 与 mem 指针头部的转换(mem 指向用户申请的内存空间) /* conversion from malloc headers to user pointers, and back */ #define chunk2mem(p) ((void *) ((char *) (p) + 2 * SIZE_SZ)) #define mem2chunk(mem) ((mchunkptr)((char *) (mem) -2 * SIZE_SZ)) 检查分配给用户的内存是否对
ciscn2022-线上-半决-pwn
m0_51185908的博客
09-13 1588
ciscn2022-线上-半决-pwn
从零开始的Linux利用(十三)——风水
weixin_43044226的博客
06-25 1081
这一节主要包含两个部分,高版本下的House of Rabbit以及风水在House of Rabbit中学习到了House of Rabbit的利用方式,这种利用思路通过修改fastbin的fd指针、触发将fastbin放入到unsortedbin、进一步修改fake chunk的大小使chunk放入到largebin进而得到任意地址的写能力。但是这里有一个前提就是之前的glibc版本比较低(2.25)在glibc 2.27中的函数中增加了对fastbin的size的检查 可以看到在之前检查了
相关漏洞利用libc异常提示原因记录
jmp esp
03-26 6903
Memory Corruption (fast) 原因 size为fast bin范围。 fastbin取出的chunk的size不属于该fastbin smallbin double linked list corrupted 原因 size 为smallbin 范围。 smallbin的最后一个被取出的时候发现不为double linked list。 如拿出的那一...
glibc-2.23 _int_malloc函数流程分析
qq_34010404的博客
05-08 683
文章目录_int_malloc流程分析1.尝试在fastbin里面寻找2.尝试在small bin里面寻找3.触发malloc_consolidate4.for()循环:5 use top其他部分:1.关于last_reminder _int_malloc流程分析 1.尝试在fastbin里面寻找 若needbytes 是小于fastbin最大chunk的大小,根据needbytes计算出idx,在对应的bin里面看一下有没有chunk。若对应的bin并不是空的,那么取出一个chunk 名为victim,检
malloc(): unaligned tcache chunk detected
06-10
这是一个内存分配错误。通常情况下,当使用malloc函数动态分配内存时,操作系统会在中分配一块内存空间,并返回这块内存的地址。然而,如果分配的内存大小不是对齐的,或者内存已经被释放,但是指针仍然指向这块内存,就可能会出现这个错误。建议检查代码中的内存分配和释放逻辑,确保没有出现这种情况。如果仍然无法解决问题,建议使用内存检测工具来进行调试。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

董哥的黑板报

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值