堆漏洞挖掘中last remainder的深度剖析

最新推荐文章于 2023-04-06 20:03:06 发布
最新推荐文章于 2023-04-06 20:03:06 发布
阅读量2.5k 收藏 15
点赞数 10
分类专栏: 堆漏洞挖掘 文章标签: last remainder
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41453285/article/details/97803141
版权

一、什么是last remainder

  • 如果在bins链中存在freechunk时,当我们去malloc的时候,malloc的请求大小比freechunk的大小小,那么arena就会切割这个freechunk给malloc使用,那么切割之后剩余的chunk就被称为“last remainder”。
  • 当产生last remainder之后,表示arena的malloc_state结构体中的last_remainder成员指针就会被初始化,并且指向这个last remainder。

二、last remainder产生的情景(重点)

  • malloc的时候,不论malloc的大小,首先会去检查每个bins链(出去fastbins链)是否有与malloc相等大小的freechunk,如果没有就去检查bins链中是否有大的freechunk可以切割,如果切割,那么就切割大的freechunk,那么切割之后的chunk成为last remainder,并且last remainder会被放入到unsortedbin中。
  • 切割unsortedbin其实就是_int_malloc函数的for大循环的第一步,切割smallbins、largebins其实就是_int_malloc函数的for大循环的第三步(见_int_malloc函数文章:https://blog.csdn.net/qq_41453285/article/details/99005759)。

切割unsortedbin中的大chunk时:

  • 当unsortedbin有对应的freechunk可以给malloc切割使用时,unsortedbin会发生以下步骤:
    • ①先将这些freechunk放置到对应大小的bins链上(放入smallbin或largebin)。
    • ②放置到对应的bins链上之后,切割此freechunk。
    • ③切割之后会产生last remainder,再将last remainder放到unsortedbin上。
  • 例如:
    • 此时,unsortedbin有两个0x800的freechunk。
    • 此时申请一个0x600的chunk。
    • 那么unsortedbin会先consolidate,把两个0x800的freechunk先移动到largebin中。
    • 然后再切割largebin的freechunk,将切割后余留下的0x200放入unsortedbin。

切割smallbins、largebins中的大chunk时

  • ①切割smallbins或者largebins中的大freechunk,产生last remainder。
  • ②将last remainder放入到unsortedbin中。
  • 注意(重点):malloc永远不会去检测切割fastbins(详情见_int_malloc函数的执行顺序)。

三、last remainder的consolidate

  • 概念:当我们切割一个bins链中的大chunk时产生last reminader时,会发生consolidate,但是此种consolidate不会去整理fastbins中的freechunk(重点)。

四、演示案例

#include <stdio.h>
#include<malloc.h>
#include<unistd.h>
#include<string.h>
int main(){
    int size = 0x120;
    void *p = malloc(size);
    void *junk = malloc(size);  //放置释放p和q之后,p和q发生合并
    void *q = malloc(size);
    void *r = malloc(size);   //放置释放q之后,q和topchunk发生合并
	
    printf("p:0x%x\n",p);
    printf("q:0x%x\n",q);
    printf("r:0x%x\n",r);
	
    strcpy(p,"aaaaaaaabbbbbbbb");
    strcpy(q,"ccccccccdddddddd");
    strcpy(r,"eeeeeeeeffffffff");
    
    sleep(0);  //只为了打断点使用,无其他作用
    free(p);
	
    sleep(0);
    free(q);
	
    sleep(0);
    malloc(0x90);
    sleep(0);

    return 0;
}
  • 第一步:打断点到第一个sleep,并运行程序。

  • 第二步:c一下,来到第二个sleep,此时p已经被释放。

  • 第三步:c一下,来到第三个sleep,此时q也被释放。

  • 第四步:c一下,来到第四个sleep,此时申请了一块0x90的chunk,在glibc中其实是申请了0xa0的chunk。
  • 因为p是先被放入unsortedbin的,所以malloc(0x90)时切割的就是p所指的chunk,可以看到原先的0x130的堆块前0xa0给malloc使用了,剩下的0x30就是我们的last remainder
  • 并且通过bins可以看到,此次切割还触发了一次unsortedbin的consolidate,使q所指的chunk被整理到了smallbin中,但是切割之后的last remainder还留在unsortedbin中

  • 第五步:查看一下表示arnea的struct malloc_state结构体的last_remainder指针此时指向了我们的last remainder。

五、演示案例

#include <unistd.h>
#include <malloc.h>

int main()
{
    int size=0x30;
    int size2=0x200;

    int *p1=malloc(size);
    int *p2=malloc(size2);
    int *temp=malloc(size); //防止p2和p3都被释放之后,p2和p3发生合并
    int *p3=malloc(size2);
    int *temp2=malloc(size); //防止p3被释放之后与topchunk合并

    sleep(0);  //只为打断点使用
    free(p1);

    sleep(0);
    free(p2);
    free(p3);

    sleep(0);
    malloc(0x100);

    sleep(0);
    return 0;
}
  • 第一步:打端点到sleep并运行起来。

  • 第二步:c一下释放p1,可以看到其被加到fastbin中。

  • 第三步:c一下,释放p2和p3,可以看到p2和p3都被加到unsortedbin中。

  • 第四步:c一下,又申请了一个0x100的堆块,此时会去切割unsortedbin中的freechunk,并且触发consolidate,但是这个consolidate没有去整理fastbins,fastbins中的chunk没有变动。

六、演示案例

#include <unistd.h>
#include <malloc.h>

int main()
{
    int size=0x300;
    
    int *p1=malloc(size);
    int *p2=malloc(size);  //防止p1被释放之后与topchunk合并
    
    sleep(0);  //为了程序打断点使用,无其他作用
    free(p1);

    sleep(0);
    malloc(0x700);

    sleep(0);
    malloc(0x200);

    return 0;
}
  • 第一步:打断点到sleep函数,运行程序,查看一下当前的堆块。

  • 第二步:n几下,释放p1,可以看到p1被放入unsortedbin中。

  • 第三步:n几下,malloc(0x700)的堆块,此时unsortedbin中的chunk(p1)被整理到smallbins中。

  • 第四步:n几下,然后申请一个0x200的堆块,申请的时候malloc发现smallbins中有满足的chunk可以切割,于是就去切割smallbins中的堆块,并产生last remainder,将last remainder放入unsortedbin中

七、演示案例

#include <unistd.h>
#include <malloc.h>

int main()
{
    int size=0x300;
    
    int *temp=malloc(0x30);
    int *p1=malloc(size);

    //防止p1释放并consolidate到smallbins中之后,再释放p2导致p1和p2合并,合并之后又被放入unsortedbin中
    int *temp2=malloc(0x30);

    int *p2=malloc(0x100); 
    int *p3=malloc(size);//防止p2被释放之后与topchunk合并
    
    sleep(0);  //为了程序打断点使用,无其他作用
    free(p1);

    sleep(0);
    malloc(0x700);
    
    sleep(0);
    free(temp);
    free(p2);

    sleep(0);
    malloc(0x200);

    return 0;
}
  • 第一步:打断点到sleep,运行程序,并查看当前堆块(由于屏幕原因,topchunk没有截图下来)。

  • 第二步:c一下,释放p1。

  • 第三步:c一下,malloc(0x700),将unsortedbin中的p1整理到smallbin中。

  • 第四步:c一下,释放temp和p2,此时temp被放入fastbins中,p2被放入unsortedbin中(注意:如果没有temp2这个堆块,此处释放p2之后,由于p1和p2是物理相邻的chunk,那么p1和p2就会合并然后一起放入到unsortedbin中了)。

  • 第五步:n几下,malloc(0x200),此时malloc会切割smallbins中的p1,并产生last remainder(0x602250),并把last remainder放入到unsortedbin中。由于切割chunk并产生last remainder会发生consolidate,所以unsortedbin中的p2从unsortedbin中整理到smallbins中(由于此种情况的consolidate不会整理fastbins中的chunk,所以fastbins中的chunk仍然在fastbins中)。

  • 我是小董,V公众点击"笔记白嫖"解锁更多【堆漏洞挖掘】资料内容。

董哥的黑板报
关注
  • 10
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 14
    评论
专栏目录
house of pig 攻击手法详解
weixin_46483787的博客
02-03 1615
在这里学习一下学长提出来的一种攻击手段,适用与libc-2.31及以上版本,本质上是通过 libc2.31 下的 largebin attack以及 FILE 结构利用,来配合 libc2.31 下的 tcache stashing unlink attack 进行组合利用的方法。主要适用于程序仅有 calloc 函数来申请 chunk,而没有调用 malloc 函数的情况。
pythonremainder_Python 3.7 math.remainder和%(模运算符)之间的区别
weixin_39878401的博客
12-17 136
从 What’s New In Python 3.7起我们可以看到有新的math.remainder.它说Return the IEEE 754-style remainder of x with respect to y. For finite x and finite nonzero y, this is the difference x - n*y, where n is the close...
漏洞挖掘的Chunk分类(allocated chunk、free chunk、top chunk、last remainder chunk)
董哥的黑板报
07-22 3712
此图是在上篇文章介绍arena时用到的,我们可以看到:块被分为不同的种类,下面我们将来介绍这些 chunk的分类 每一类就是一个malloc_chunk结构体,因为这些chunk同属于一个块,所以在一块连续的内存,只是通过区域特定位置的某些标识符加以区分 glibc给我们申请的块主要分为以下几类: allocated chunk free chunk top chunk ...
漏洞 - Unsorted bin/ Large bin Attack】
m0_52343643的博客
04-06 261
malloc 从 unsorted bin 取 chunk 的时候,如果对应的 tcache bin 还未装满,则会将 unsorted bin 里的 chunk 全部放进对应的 tcache bin,然后再从 tcache bin 取出。使 unsorted chunk 大于链表最小的 chunk 时的利用失效,必须使 unsorted chunk 小于链表最小的 chunk。unsorted chunk 小于链表最小的 chunk 的时候会执行前一句,反之执行后一句。
ptmalloc下的malloc与free
u014377094的博客
04-03 3477
ptmalloc(glibc)下的malloc与free机制all_in_one分析
Linux内存管理(二):PTMalloc
蓬莱道人的博客
03-28 7221
1. ptmalloc简介 2. 内存管理数据结构 3. 内存分配 4. 内存回收 5.配置选项 6. 注意事项 1. ptmalloc简介 Linux malloc 的早期版本是由 Doug Lea 实现的,它有一个重要问题就是在并行处理时 多个线程共享进程的内存空间,各线程可能并发请求内存,在这种情况下应该如何保证分配 和回收的正确和高效。Wolfram Gloger 在 Doug Lea 的基础上改进使得 Glibc 的 malloc 可以支 持多线程——ptmalloc,...
漏洞挖掘实用知识库分享知识分享
最新发布
10-13
漏洞挖掘是安全领域的一个重要话题,主要涉及C语言编程的动态内存管理。在C语言,`malloc()`、`calloc()`、`realloc()`和`free()`等函数用于分配和释放内存,它们由运行时库如glibc实现。当程序在处理这些...
crt.rar_CRT_chinese remainder_remainder
09-22
《Chinese Remainder Theorem在MATLAB的应用》 国剩余定理(Chinese Remainder Theorem,简称CRT),是数论的一个重要理论,它解决了在模线性同余方程组的解的问题。这个理论有着广泛的应用,特别是在密码学...
crt.rar_chinese remainder_js GUI_remainder
09-19
Chinese Remainder theorem implementation. Its done in php. Its implemented with interactive gui.index.php contain all the code.Rest folders contain the css images and js scripts that enhance the gui
quotient_quotient_java_remainder_
10-03
在编程领域,尤其是在Java语言,计算商和余数是常见的数学操作,这通常涉及到整数除法。标题"quotient_quotient_java_remainder_"表明我们关注的是使用Java来求解商(quotient)和余数(remainder)。在Java,...
dlmalloc 图解
weixin_34007886的博客
12-11 1025
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux内存管理深入分析(上)
AliMobileSecurity的博客
05-12 4688
近年来,漏洞挖掘越来越火,各种漏洞挖掘、利用的分析文章层出不穷。本系列文章主要从Linux系统内存管理机制出发,逐步介绍诸如基本溢出漏洞、基于unlink的溢出漏洞利用、double free、use-after-free等常见的溢出漏洞利用技术。
理解 glibc malloc:主流用户态内存分配器实现原理
热门推荐
猫科龙
07-21 2万+
本篇文章主要完成了对《Understanding glibc malloc》的翻译工作。限于本人翻译水平与专业技术水平(纯粹为了了解内存分配而翻),本文章必定会有很多不足之处,请大家见谅,也欢迎大家的指正! 联系邮箱:974985526@qq.com。
从wiki 重新打基础之 Unsorted Bin Attack
qq_41071646的博客
07-19 407
之所以 看 Unsorted Bin Attack 因为感觉 Fastbin 还有 UAF算是比较熟悉的 所以 直接看 Unsorted Bin 其实Unsorted Bin 也是比较熟悉的 在泄露 libc库的时候就认真的看过 这个东西 ,是当small chunk或large chunkfree掉之后,不会直接进入smallbin或largebin,而是会先进入unsorte...
漏洞挖掘bins的单向链表、双向链表存储结构
董哥的黑板报
07-28 3614
前言: 前面介绍过:fastbins为单链表存储。unsortedbin、smallbins、largebins都是双向循环链表存储 并且free掉的chunk,如果大小在0x20~0x80之间会直接放到fastbins上去,大于0x80的会放到unsortedbin上,然后进行整理 那么这些链表在glibc到底是如何存储的哪,本片文章进行介绍 一、fastbins的单向链表存储结构 f...
smallbin double linked list corrupted
link200809的专栏
12-11 4759
[20131210205216] G1002 Ftp Waitting.. *** glibc detected *** /home/gdsbi/aiinsight/aitools/bin/tclsh: malloc(): smallbin double linked list corrupted: 0x0000000001824980 *** ======= Backtrace: =====
dlmalloc 简析
aa168888的博客
07-23 418
本文基于android kitkat所用的dlmalloc版本进行分析。malloc/free work flow malloc/free是libc库提供的函数,主要是用户层的操作,而不是内核的系统调用。一般的heap管理是通过sbrk或者mmap函数来向系统获取大量的内存(只是虚拟的内存地址),然后由特定的heap管理算法来管理用户程序申请/释放内存(比如dlmalloc)。有一...
CTF 用户态ptmalloc pwn总结(一)
weixin_41918450的博客
09-24 924
kernel pwn题不准备以总结的方式来写,准备每一道题一篇文章专门分析,有很多题网上都有不少解析,我只在github提供的脚本基础上进行复现和分析(因为能力不够,比赛时kernel pwn做不出,只能赛后复现了) 准备讲一下这三道题,关于强网杯的两道题其实是csaw2010的两道题进行了一些修改。最后会写一篇文章进行专门的总结,关于在这三道题复现过程的问题以及一些利用技巧。 强网杯2018 ...
linux 溢出学习之malloc管理机制原理详解
jmp esp
03-02 1万+
前言在pwn的学习过程,最为难啃的骨头莫过于相关的利用,然而无论是在实际情况下还是在ctf比赛利用都是绝对的主流,是漏洞的主要类型之一。鉴于国内相关资料有限,系统讲解溢出利用的更是少之又少,我在此整理相关内容,既能作为自己学习的记录,也希望能够给大家带来一定的作用,不过鉴于本人也在学习之,如有错误希望大家包涵,并且能够积极指正。的基础知识什么是是一种全局的数据结构,用以动态管理系
python如何运用remainder的mod函数
06-01
在 numpy ,`remainder` 函数和 `mod` 函数都可以用于计算两个数组对应元素的余数,它们的区别在于处理负数时的方式不同。具体来说,`remainder` 函数的余数结果的符号与被除数相同,而 `mod` 函数的余数结果的符号与除数相同。 下面是使用 `mod` 函数的示例: ```python import numpy as np a = np.array([10, 20, 30, 40, 50]) b = np.array([-3, -7, 9, 11, -13]) c = np.mod(a, b) print(c) # [-2 -6 3 7 -12] ``` 在上述示例,`mod` 函数将 `a` 数组的每个元素分别除以 `b` 数组对应位置的元素,然后计算余数,最后将所有余数存入 `c` 数组。因为 `b` 数组存在负数,所以输出结果也会存在负数。 需要注意的是,对于 `mod` 函数,如果除数为 0,则会产生运行时错误。此外,由于 `mod` 函数计算余数的方式与 Python 内置的 `%` 运算符不同,所以在使用时需要注意两者的区别。
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

董哥的黑板报

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值