堆漏洞挖掘——__lib_malloc函数、_int_malloc函数、__lib_free函数源码详解

最新推荐文章于 2024-07-25 11:01:30 发布
最新推荐文章于 2024-07-25 11:01:30 发布
阅读量4.5k 收藏 13
点赞数 11
分类专栏: 堆漏洞挖掘 文章标签: _int_malloc函数详解 _lib_malloc _lib_free 堆漏洞挖掘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41453285/article/details/99005759
版权

一、_lib_malloc函数介绍

  • 当我们在应用层调用malloc申请堆的时候,在glibc中实际上调用的是_lib_malloc函数,但是_lib_malloc函数只是用来简单的封装_int_malloc函数的,_int_malloc函数才是申请堆的核心函数。

二、__malloc_hook全局变量

  • 函数介绍:_lib_malloc首先通过__malloc_hook全局变量获取一个函数指针,然后判断这个函数是否为空,这个函数代表用户自定义的堆分配函数,主要为了方便用户快速修改该函数并进行测试。
  • _malloc_hook漏洞:如果__malloc_hook被修改,那么就会执行被修改后的函数(one_gadget),以后文章介绍。
  • 从下面的源码可以看到,先读取__malloc_hook全局变量,然后判断是否有用户自定义的堆分配函数,如果有就执行,不再进行系统的堆分配了(_int_malloc)。

三、寻找arena并执行_int_malloc函数函数

  • 解析_lib_malloc函数回去寻找一个arena来试图分配内存(arena_get),然后调用_int_malloc函数取申请内存。
  • 如果分配失败(注:_int_malloc函数中会再次判断是否有arena可用),ptmalloc会尝试再去寻找一个可用的arena,并再次调用_int_malloc函数取申请内存。
  • 如果申请到了arena,那么在使用完arena之后,函数退出之前还需要解锁(_lib_lock_lock)。
  • _int_malloc函数:在下面介绍。

四、_lib_malloc函数总结

  • _lib_malloc函数就是做以下事情:
    • 要么没有申请到内存。
    • 要么通过mmap/brk申请内存。
    • 要么在其arena中分配内存。
    • (或者出错退出)。
    • 最终返回内存(return)。
    • 核心:调用_int_malloc函数。

五、_int_malloc函数介绍

  • 当我们在应用层调用malloc申请堆的时候,在glibc中实际上调用的是_lib_malloc函数,但是_lib_malloc函数只是用来简单的封装_int_malloc函数的,_int_malloc函数才是申请堆的核心函数。
  • _int_malloc会根据应用层用户申请的内存块大小,从而分配相应的chunk给用户使用。

函数的分配堆内存的主要执行流程

  • ①请求大小在fastbin的范围内:在fastbins中找是否有对应的chunk可以使用。
  • ②请求大小在smallbin的范围内:在smallbin中找是否有对应的chunk可以使用。
  • ③请求大小在largebin的范围内:先调用malloc_consolidate对fastbins进行整理。然后在unsortedbin中查看是否有满足要求的chunk可以使用。
  • ④在largebin中寻找可用的chunk来使用。
  • ⑤寻找较大的bin链中是否有可用的chunk来使用。
  • ⑥切割topchunk来使用。
  • ⑦topchunk也不够了,再次调用malloc_consolidate整理fastbins。
  • ⑧topchunk不够用,再次malloc_consolidate之后还没有可以用的,最终调用sysmalloc(系统调用)申请内存。
  • 下面根据_int_malloc函数的执行流程,一步一步介绍函数是怎么执行的。

六、定义相关变量

  • _int_malloc函数进入之前的第一步是定义相关的变量。

七、检测arena

  • 如果没有可用的arena,或者arena的内存不足,那么就通过系统调用mmap去申请一块内存,并返回。

八、检查fastbins

  • _int_malloc函数先去检查应用层所分配的堆大小是否属于fastbins的大小范围内,如果属于就去fastbins中查找是否有可用的freechunk可用。

①判断大小范围

  • 判断malloc的大小是否属于fastbins范围内。

②寻找可用freechunk

  • 根据malloc的大小,查找相对应大小的fastbin链是否有可用的freechunk。如果有就获取(REMOVE_FB),如果没有就直接退出。

③系统检测

④alloc_perturb

  • 如果设置了perturb_type,则将获取到的chunk初始化为perturb_type ^ 0xff。

九、检查smallbins

  • 如果malloc的大小属于fastbin的大小范围,_int_malloc函数接着判断malloc的大小是否属于smallbins的大小范围内,如果属于就去smallbins中查找是否有可用的freechunk可用。

①判断大小范围

  • 判断malloc的大小是否属于smallbins范围内。

②寻找可用freechunk

  • 根据malloc的大小,查找相对应大小的smallbin链是否有可用的freechunk。如果有获取。
  • last宏:因为smallbin是双向链表结构,采取FIFO(先进先出)存取chunk,所以使用last返回双向链表中的最先free进去的节点。if中判断如果双链表中的最后一个不是头,那么说明链表不为空。

③系统检测

④set_inuse_bit_at_offset

十、malloc_consolidate

  • 如果所申请的大小既不属于fastbins、也不属于smallbins,那么此时就要执行到malloc_consolidate了。
  • malloc_consolidate只是将碎片进行整理,还没进行freechunk的切割使用,切割使用是在下面的大for循环中。
  • malloc_consolidate详情见文章:https://blog.csdn.net/qq_41453285/article/details/97627411

十一、for大循环

  • 进过了上面的代码执行,说明在fastbins、smallbins中没有找到可用的freechunk可以使用,并且还触发了malloc_consolidate。
  • 那么之后就进入for大循环了,for循环会做以下事情:
    • 第一步:尝试从unsortedbin中分配用户所需的内存,并进行consolidate(如果成功,可能会产生last remainder)。
    • 第二步:如果第一步没有满足需求。尝试从largebins中分配用户所需的内存。
    • 第三步:如果第二步没有满足需求。尝试寻找更大的chunk来使用(与第一步一样,也会产生last remainder)。
    • 第四步:如果第三步没有满足需求。尝试从top chunk中分配用户所需的内存。

①unsortedbin的while循环

  • for循环的第一步是对unsortedbin进行操作,这个while会一直进行consolidate对chunk进行整理,边整理变查看是否有可以满足需求的chunk可以给malloc使用了,如果有了就return退出了,如果没有,此while循环10000次就退出了(见下面的⑥)。

②对于unsortedbin的检测

  • 内存损坏机制:检查chunk是否对齐(64位16字节对齐,32位8字节对齐)。

③重新申请smallchunk

  • 如果申请的chunk大小为smallbin的大小范围,并且在进入for循环之前在所有的smallbins中没有寻找可用的freechunk。那么进入for循环之后又会再一次申请smallchunk。
  • 申请的过程:如果unsortedbin中有last remainder,并且该last remainder可以切割一块给smallchunk可使用,那么就切割last remainder给malloc的smallchunk使用。
  • set_head、set_foot:如果成功切割某个last remainder给malloc使用,由于last remainder被改变了,所以需要使用者两个宏定义重定设置last remainder的标志位。

④取走unsortedbin中对应的freechunk

  • 如果unsortedbin中有一个freechunk跟我们的malloc的请求大小刚好一样,那么直接取走这个freechunk。
  • 因为unsortedbin是双链表结构,所以取走freechunk的操作遵循双链表的方法。

⑤consolidate

  • 从unsortedbin中取合适的freechunk给malloc使用之后,接下来就是consolidate了,就是将unsortedbin中的freechunk移动到smallbins或largebins中了。
  • 如果某一个freechunk属于smallbin的大小范围,就执行if放入smallbins中。否则该freechunk就属于largechunk,则执行else放入largebins中。

⑥MAX_ITERS

  • 上面几个步骤是对unsortedbin的一直整理和切割获取。
  • 经历了10000此之后,如果还没有找到合适的chunk给malloc使用,那么就不对unsortedbin进行操作了。但是经过这10000之后,unsortedbin中相应的bin都已经放入到对应的bin链中了(smallbins/largebins)。

⑦largebin的判断获取

  • 经过前面一系列的执行,如果fastbins、smallbins、unsortedbin中的chunk都不符合malloc的要求,接下来就是判断malloc的chunk是否为largebin,并在largebins中找chunk来使用了。

  • 如果largebins中有满足要求的freechunk给malloc使用,那么就执行里面的if语句,切割largebin中的chunk给malloc使用。

  • largebin的MINISIZE操作:与unsortedbin不同,如果在unsortedbin中切割freechunk产生last remainder,如果last remainder大小小于MINISIZE,那么last remainder还会留在unsortedbin上。但是largebin不同,如果对largechunk切割产生last remainder,如果last remainder大小小于MINISIZE,那么剩余的last remainder就也给malloc使用了。(例如malloc需要0x100的chunk,某一个largehunk为0x110,那么切割之后last remainder为0x10,由于0x10<MINISIZE,那么这0x10也一起给malloc了,那么malloc最后实际上是申请了0x110的堆空间)。所以if会预先判断剩余的大小是否会小于MINISIZE。

  • 之后就开始切割largechunk给malloc使用,并将切割last remainder放入到unsortedbin中了。同时设置一些标志位,这些操作在else中完成。

⑧寻找更大的chunk

  • glibc设计ptmalloc的主要目的是为了减少程序与内核的交互,提高效率。同时为了减少“野内存”的出现太多,所以当所有的bins链都没有合适的chunk可使用之后,并且再考虑使用topchunk之前,会再次去寻找一个较大的chunk来使用(寻找比当前的bin更大的fastbin、smallbin、largebin来使用)。
  • 例如,在0x70的fastbin中有一个freeechunk,malloc一个0x60的chunk,最终程序会选择这个0x70的freechunk来使用,而不去找topchunk了。

  • 与largebin一样,如果更大的chunk被切割使用之后的last remainder大小小于MINISIZE,那么剩下的last remainder也给malloc使用了。同时也会更新一些标志位。

⑨使用topchunk:

  • 如果上面的所有都不能使用,那么就要使用topchunk了。

⑩再次调用malloc_consolidate

  • 当topchunk也不够使用的时候,此时不会直接去调用sysmalloc申请内存。而是在else if里面再次调用mslloc_consolidate对fastbins中的chunk进行整理,然后进入下一次循环,在后面的循环中再次判断是否有可用的chunk可以使用,如果还没有,最后就要执行sysmalloc函数进行申请内存了。

十二、__lib_free函数简介

  • 在应用层调用free函数,在glibc中其实调用的就是__lib_free函数。
  • 与_lib_malloc函数一样,_lib_free函数会调用_int_free函数,_int_free函数此时释放堆内存的核心函数。

函数的主要内容包括

  • ①检查是否有__free_hook。
  • ②如果堆块为NULL,则什么都不做。
  • ③如果是mmap的堆块,调用munmap进行释放。
  • ④最后调用_int_free函数释放堆块。

free函数的执行内容

  • ①判断要释放的chunk是否在fastbin的范围内,如果在就放入fastbin中;否则就放入unsortedbin中。
  • ②当放入unsortedbin中时,要检查unlink(前向合并、后向合并)。

十三、__free_hook

  • 函数介绍:与__malloc_hook一样,如果用户自动了释放函数,则调用该函数,并且直接执行返回了。
  • __free_hook漏洞:如果将__free_hook变为一个system的地址,那么就可以执行这个system的地址。
  • 从下面的源码可以看到,先读取__free_hook全局,然后判断是否有用户自定义的函数,如果有就执行,不再进行系统的堆释放了(_int_free)。

  • 我是小董,V公众点击"笔记白嫖"解锁更多【堆漏洞挖掘】资料内容。

董哥的黑板报
关注
  • 11
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
C语言之mallocfree总结
码莎拉蒂
03-19 3324
1、内存分配和函数介绍 内存分配:指在程序执行的过程空间中或者回收存储空间 ,内存分配分为静态内存分配和动态内存分配 ,要实现动态内存分配,就需要有执行这个操作的对象。C语言提供的两个标准库函数mallocfree。 1)malloc函数 原型:void *malloc(size_t size); 简介:该函数在内存的动态存储区中分配一块长度为size字节的连续区域;如
android 如何分析应用的内存(七)——malloc hook
安仔的博客
06-14 2403
接上文,介绍六大板块中的第二个————malloc hook上一篇的自定义分配函数,常常只能解决当前库中的分配,而不能跟踪整个app中的分配。为此,android的libc库,从Android 9.0开始引入了malloc hook技术这个技术定义了四个全局变量,这个变量指向对应的函数。注意:在32位系统中,有两个已经不在推荐使用的函数,pvalloc和valloc对应的hook为__memalign_hook。
malloc函数详解
热门推荐
xwdreamer的专栏
12-08 33万+
一、原型:extern void *malloc(unsigned int num_bytes);头文件:#include 或 #include (注意:alloc.h 与 malloc.h 的内容是完全一致的。)功能:分配长度为num_bytes字节的内存块说明:如果分配成功则返回指向被分配内存的指针,否则返回空指针NULL。当内存不再使用时,应使用free()函数将内存块释
常回家看看之largebin_attack
最新发布
susu_xiaosu的博客
07-25 1100
【代码】常回家看看之largebin_attack。
漏洞挖掘:19---_lib_malloc函数源码详解
董哥的黑板报
08-10 1282
一、_lib_malloc函数介绍 当我们在应用层调用malloc申请的时候,在glibc中实际上调用的是_lib_malloc函数,但是_lib_malloc函数只是用来简单的封装_int_malloc函数的,_int_malloc函数才是申请的核心函数 二、__malloc_hook全局变量 函数介绍:_lib_malloc首先通过__malloc_hook全局变量获取一个函数指针,然...
内存(2) ——分配入口__lib_malloc
qq_42584874的博客
03-11 889
__libc_malloc malloc的入口函数为__libc_malloc其流程图如下 首先遍历fastbin和small bin,希望从中分到chunk。如果没有找到块,接下来就开始合并到fastbin中的块,合并完添加到unsorted bin中,然后进入到大循环。 进入到大循环的路径有两个:1、请求块为large chunk。2、small bin中对应的bin为空 1、将unsorted bin里面所有的chunk都添加到small bin和large bin里面去。走到大循环这一步,
glibc-2.23 _int_malloc函数流程分析
qq_34010404的博客
05-08 659
文章目录_int_malloc流程分析1.尝试在fastbin里面寻找2.尝试在small bin里面寻找3.触发malloc_consolidate4.for()循环:5 use top其他部分:1.关于last_reminder _int_malloc流程分析 1.尝试在fastbin里面寻找 若needbytes 是小于fastbin最大chunk的大小,根据needbytes计算出idx,在对应的bin里面看一下有没有chunk。若对应的bin并不是空的,那么取出一个chunk 名为victim,检
Linux_c_lib.chm.rar_ Linux_c_lib.chm_c chm_linux C函数_linux c lib
09-23
3. **内存管理**:涵盖动态内存分配(malloc、calloc、realloc、free)和内存对齐相关的函数。 4. **字符串处理**:介绍strtok、strcpy、strcat、strcmp等字符串操作函数。 5. **指针和数组**:讨论指针的概念,...
C++ 中malloc()和free()函数的理解
01-20
### C++ 中 `malloc()` 和 `free()` 函数的理解 #### 概述 在 C++ 编程语言中,`malloc()` 和 `free()` 是两个非常重要的内存管理函数,它们主要用于在程序运行过程中动态地分配和释放内存。尽管 C++ 提供了 `new`...
pwn题利用的一些姿势 -- malloc_hook
lifanxin的博客
04-12 4299
  在做题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell。因此也就有了我这一系列文章的目的,在got表无法被修改时,我们往往利用的就是下面的一些hook+one
【QNX+Android虚拟化方案】82 - QNX Camera 之 ais_server 服务 Camera总结
|~~~热爱生活、努力学习的小伙汁~~~|
08-03 244
【QNX+Android虚拟化方案】82 - QNX Camera 之 ais_server 服务 Camera总结
malloc源码分析---2
conansonic的博客
12-05 7154
malloc源码分析—_int_malloc 根据上一章的分析,malloc会调用__libc_malloc分配内存,__libc_malloc会调用malloc_hook_ini 进行初始化,然后回调__libc_malloc函数,这时候会执行_int_malloc开始分配内存,定义在malloc.c中,因为非常长,这里分段来看, _int_malloc第一部分 static void *
内存(3)——分配函数_int_malloc
qq_42584874的博客
03-11 1661
_int_malloc __libc_malloc会调用malloc_hook_ini 进行初始化,然后回调__libc_malloc函数,这时候会执行_int_malloc开始分配内存 //内存分配入口函数 static void * _int_malloc (mstate av, size_t bytes) { ...... //将内存转换以块为单位,并判断内存大小是否合法 if (!checked_request2size (bytes, &nb)) {
mysql malloc lib_利用tamalloc 优化nginx和mysql
weixin_30209121的博客
01-27 167
TCMalloc的实现原理和测试报告请见一篇文章:《TCMalloc:线程缓存的Malloc》为MySQL添加TCMalloc库的安装步骤(Linux环境):1、64位操作系统请先安装libunwind库,32位操作系统不要安装。libunwind库为基于64位CPU和操作系统的程序提供了基本的栈辗转开解功能,其中包括用于输出栈跟踪的API、用于以编程方式辗转开解栈的API以及支持C++异常...
ptmalloc源码分析 - _int_malloc函数之smallbins和unsorted bin(07)
自娱自乐的代码人
09-08 1万+
前一章,我们讲解了fastbins的空闲链表的分配逻辑。获取得到的victim就是要操作的内存chunk对象,通过chunk2mem和alloc_perturb函数,初始化对象。如果符合smallbin的大小,则从smallbin的数组上获取一个chunk进行内存分配。,则此次分配失败,需要跳出smallbins上的分配逻辑,往下走其他逻辑的分配方式。如果是smallbin,则通过bins的数组下标获取到对应的chunk双向链表。如果,我们分配的是一个small类型的,遇到合适大小的chunk,则可以将。
ptmalloc源码分析 - _int_malloc函数之fastbins(06)
自娱自乐的代码人
08-30 1万+
当用户释放一块不大于max_fast(默认值64)的chunk(一般小内存)的时候,会默认会被放到fast bins上。因为fastbinsY是一个数组,数组上挂载malloc_chunk是双向链表,当多线程进行同时操作链表的时候就会冲突,需要进行原子操作。_int_malloc函数中,先看申请的内存大小nb是否符合fast bins的限制,符合的话,首先进入fast bin的分配。内存是如何分配的,以及如何将分配的内存关联到malloc_chunk,然后放置到malloc_state的状态机上,则是由。
mysql malloc lib_CVE-2016-6662-MySQL ‘malloc_lib’变量重写命令执行分析 | CN-SEC 中文网...
weixin_39760967的博客
01-19 224
摘要今天有个关于MySQL的漏洞被披露出来,编号CVE-2016-6662。该漏洞主要涉及到 mysqld_safe 脚本中在加速/处理内存时会采用 “malloc_lib”变量作为辨别标记选择性加载(preload方式)比如tcmalloc之类的malloc库。不幸的的是这个变量可以被my.cnf所控制,导致my.cnf一旦被攻击者在mysql客户端篡改的话可以直接导致mysqld_safe所调...
glibc-2.23_int_malloc_流程浅析
weixin_30810239的博客
03-26 177
转载于:https://www.cnblogs.com/shangye/p/6612448.html
malloc函数详解及用法
JDSNYD的博客
10-03 8674
malloc动态内存分配函数,用于申请一块连续的指定大小的内存块区域以void*类型返回分配的内存区域地址;如果分配成功则返回指向被分配内存的指针,否则返回空指针NULL。在使用malloc开辟空间时,使用完成一定要释放空间,如果不释放会造内存泄漏。使用后该指针变量一定要重新指向NULL,防止悬空指针(失效指针)出现,有效规避错误操作。在使用malloc函数开辟的空间中,不要进行指针的移动,因为一旦移动之后可能出现申请的空间和释放空间大小的不匹配。(指针类型*)malloc(sizeof(指针类型))
yuv420sp_to_jpg C语言
05-05
下面是将yuv420sp格式的图像转换为jpeg格式的C语言代码: ```c #include <stdio.h> #include <stdlib.h> #include <jpeglib.h> void yuv420sp_to_jpg(unsigned char *yuv, int width, int height, char *filename) { struct jpeg_compress_struct cinfo; struct jpeg_error_mgr jerr; JSAMPROW row_pointer[1]; int row_stride; FILE *outfile = fopen(filename, "wb"); if (outfile == NULL) { fprintf(stderr, "Cannot open output file %s\n", filename); return; } cinfo.err = jpeg_std_error(&jerr); jpeg_create_compress(&cinfo); jpeg_stdio_dest(&cinfo, outfile); cinfo.image_width = width; cinfo.image_height = height; cinfo.input_components = 3; cinfo.in_color_space = JCS_YCbCr; jpeg_set_defaults(&cinfo); jpeg_set_quality(&cinfo, 90, TRUE); jpeg_start_compress(&cinfo, TRUE); row_stride = width * 3; JSAMPLE *rgb = (JSAMPLE *)malloc(row_stride); while (cinfo.next_scanline < cinfo.image_height) { int y, u, v; unsigned char *py, *pu, *pv; py = yuv + cinfo.next_scanline * width; pu = yuv + width * height + (cinfo.next_scanline >> 1) * width; pv = yuv + width * height * 5 / 4 + (cinfo.next_scanline >> 1) * width; for (int i = 0, j = 0; i < width; i += 2, j += 6) { y = py[i]; u = pu[j] - 128; v = pv[j] - 128; rgb[i * 3] = (unsigned char)(y + 1.4075 * v); rgb[i * 3 + 1] = (unsigned char)(y - 0.3455 * u - 0.7169 * v); rgb[i * 3 + 2] = (unsigned char)(y + 1.779 * u); y = py[i + 1]; rgb[(i + 1) * 3] = (unsigned char)(y + 1.4075 * v); rgb[(i + 1) * 3 + 1] = (unsigned char)(y - 0.3455 * u - 0.7169 * v); rgb[(i + 1) * 3 + 2] = (unsigned char)(y + 1.779 * u); } row_pointer[0] = rgb; jpeg_write_scanlines(&cinfo, row_pointer, 1); } free(rgb); jpeg_finish_compress(&cinfo); fclose(outfile); jpeg_destroy_compress(&cinfo); } ``` 其中,yuv是yuv420sp格式的图像数据,width和height分别是图像的宽和高,filename是要保存的jpeg文件名。该函数使用libjpeg库将yuv420sp格式的图像数据转换为jpeg格式的图像数据,并保存到指定的文件中。具体的转换过程是将yuv数据转换为rgb数据,然后使用libjpeg库进行压缩编码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

董哥的黑板报

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值