pwn学习总结(四)—— 堆基础知识(持续更新)

最新推荐文章于 2024-06-30 18:17:50 发布
最新推荐文章于 2024-06-30 18:17:50 发布
阅读量1.3k 收藏 20
点赞数 4
文章标签: pwn 堆溢出 fastbin
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41988448/article/details/103685794
版权

pwn学习总结(四)—— 堆基础知识(持续更新)

前言

学习自《glibc内存管理ptmalloc源代码分析》庄明强 著
部分资料参考自互联网

chunk

描述

  1. 当用户通过malloc等函数申请空间时,实际上是从堆中分配内存
  2. 目前 Linux 标准发行版中使用的是 glibc 中的堆分配器ptmalloc2
  3. ptmalloc根据用户的需要,为用户分配不同类型的chunk

结构体

struct malloc_chunk {
    INTERNAL_SIZE_T prev_size; /* Size of previous chunk (if free). */
    INTERNAL_SIZE_T size; /* Size in bytes, including overhead. */
    
    struct malloc_chunk* fd; /* double links -- used only if free. */
    struct malloc_chunk* bk;
    
    /* Only used for large blocks: pointer to next larger size. */
    struct malloc_chunk* fd_nextsize; /* double links -- used only if free. */
    struct malloc_chunk* bk_nextsize;
};

使用中(分配后)

在这里插入图片描述
chunk start:chunk的起始地址
previous size

  1. 上一个chunk的大小,32位占4字节,64位占8字节
  2. 只有当上一个chunk处于空闲状态时才有效

size

  1. 当前chunk的大小,32位占4字节,64位占8字节
  2. 后三个比特位为A|M|P标志位,分别代表不同含义
    A:为0表示该chunk属于主分配区,为1表示该chunk属于非主分配区
    M:表示当前chunk是从哪个内存区域获得的虚拟内存。为1表示该chunk是从mmap映射区域分配的,否则是从heap区域分配的
    P:为1表示前一个chunk正在使用中,当前chunk的prev_size无效,不能对前一个chunk进行任何操作。第一块heap总是将P设为1,以防止程序引用到不存在的区域

memory:malloc等函数返回给用户的chunk数据区指针

空闲中(释放后)

描述

  1. 空闲中的chunk不存在M状态,只有A|P状态
  2. user data头部被分配出两个成员,fd和bk
    在这里插入图片描述

fd:指向前一个空闲chunk的起始地址,32位占4字节,64位占8字节
bk:指向后一个空闲chunk的起始地址,32位占4字节,64位占8字节

注意:事实上,释放后的large block中还存在另外两个成员:fd_nextsizebk_nextsize,后续再作介绍

堆块大小

32位程序

  1. 用户分配到的最小堆块大小为17Bprev_size(4B) + size(4B) + fd(4B) + bk(4B) + next_chunk->p(1B)
  2. 若用户申请的大小超过最小堆块大小,会与8B进行对齐

64位程序

  1. 用户分配到的最小堆块大小为33Bprev_size(8B) + size(8B) + fd(8B) + bk(8B) + next_chunk->p(1B)
  2. 若用户申请的大小超过最小堆块大小,会与16B进行对齐

空间复用

描述当一个 chunk 处于使用状态时,它的下一个 chunk 的 prev_size 无效。所以下一个 chunk 的 prev_size 也可以被当前 chunk 使用,这就是 chunk 的空间复用

bins

描述

  1. 用户free掉的内存并不是都会马上归还给系统,ptmalloc会统一管理heap和mmap映射区域中的空闲的chunk
  2. 当用户进行下一次分配请求时,ptmalloc会首先试图在空闲的chunk中挑选一块给用户,这样就避免了频繁的系统调用,降低了内存分配的开销
  3. ptmalloc将相似大小的chunk用双向链表链接起来,这样的一个链表被称为一个bin
  4. ptmalloc一共维护了128个bin,并使用一个数组来存储这些bin
  5. 堆管理器根据特点,将堆分为四种:fastbin | unsortedbin | smallbin | largebin
  6. 数组中bin 1为unsorted binbin 2到63为small binbin 64到126为large bin

在这里插入图片描述

fastbin

描述

  1. 在32位操作系统中,当用户释放的堆块大小小于64B时使用fastbin进行管理,即chunk空间最大为80字节
  2. fastbin只使用了fd成员,是个单链表结构
  3. fastbin不会对P位进行操作,也就是说它不会主动进行合并;只有在某些特定情况下,堆管理器才会对fastbin进行合并
  4. fastbinY为管理fastbin的数组,每个成员分别管理不同大小的fastbin链表,且均指向了当前链表的尾节点,当尾节点被分配时,通过其fd指针指向前一个结点
  5. 当用户申请chunk大小小于或等于MAX_FAST_SIZE时,优先从fastbins中查找相应的空闲块,且规则为LIFO(Last in, first out, 后进先出)
    在这里插入图片描述

unsorted bin

描述

  1. 当释放较小或较大的chunk的时候,为了增加分配效率,系统会先将最近释放的chunk添加到unsorted bin中
  2. unsorted bin 为一个双向循环链表,对chunk的大小没有限制,即任何大小的chunk都可以放入unsorted bin链表中

small bin

描述

  1. 在32位操作系统中,当用户释放的堆块大小大于64B,小于等于512B时使用small bin进行管理
  2. small bin 为双向循环链表,且使用 FIFO(First in, first out, 先入先出) 算法
  3. 当满足small bin条件的chunk被释放后,会优先被放入unosrted bin,只有在一定情况下,才会被分配到small bin中
  4. 相邻的free chunk将会被合并成一个更大的fee chunk,增加内存利用率

在这里插入图片描述

lzyddf
关注
hacknote--PWN入门
Jason_ZhouYetao的博客
02-24 1235
第一步还是进行逆向的功能分析,顺便观察有无敏感函数,诸如:/bin/sh、cat flag等等   看了看发现还真的有,那这个题目就大大得简化了,接下来进行进一步的逆向分析:   add_note: unsigned int add_note() { _DWORD *v0; // ebx signed int i; // [esp+Ch] [ebp-1Ch] int siz...
跟着CTF-wiki学pwn——ret2text
qq_42882717的博客
06-21 1160
肾么叫做万死不辞呀,就是每天被气死一万次,也不辞职…(哭哭
pwn入门
qq_35066257的博客
04-10 2484
在程序执行的过程中,由malloc申请的内存空间被称作chunk,而当程序申请的chunk被free时会被加入到相应的空闲管理列表(bin)中。 Chunk结构: 解释: pre_size: 前一个chunk块的大小,如果chunk_size的P位为1则pre_size无效,上个chunk可以使用pre_size的空间。(前一个chunk块的大小,指的是低地址的chunk) chunk_size...
pwn基础之基础知识超详解
最新发布
qq_73554831的博客
06-30 910
Top chunk,在第一次malloc的时候,glibc就会将切成两块chunk,第一块chunk就是分配出去的chunk,剩下的空间视为top chunk,之后要是分配空间不足时将会由top chunk分配出去,它的size为表示top chunk还剩多少空间。释放一个fast chunk时,首先检查它的大小以及对应fastbin此时的第一个chunk的大小是否合法,随后它会被插入到对应fastbin的链表头,此时其fd指向上一个被free的chunk。(关于top chunk的位置)!
pwn 基础
qq_41696518的博客
09-03 857
是用malloc函数申请使用的。假设我们通过void * ptr = malloc(0x10);系统会调用一些函数在内存中开辟一大片空间作为的分配使用空间。malloc函数再从这篇的分配使用空间中分配0x10大小的空间,将指向该空间的地址返回给ptr(余下的空间称之为topthunk)chunk:用户申请内存的单位,也是管理器管理内存的基本单位 malloc()返回的指针指向一个chunk的数据区域。
pwn一篇入门
qq_42863961的博客
05-25 392
能帮到你的话,就给个赞吧 ???? 由于我在其他地方编辑,但不想再重新编辑一份,于是把链接放在这里吧 https://note.youdao.com/ynoteshare1/index.html?id=03e7ab6c45cf0b425c8a3a5d0d0e03db&type=note
pwn学习-ctfwiki-UAF
WocW的博客
05-23 2279
源码: #include <stdio.h> #include <stdlib.h> #include <unistd.h> struct note { void (*printnote)(); char *content; }; struct note *notelist[5]; int count = 0; void print_note_co...
❤️超详细PWN新手入门教程❤️《二进制各种漏洞原理实战分析总结
热门推荐
Test网络安全
09-15 1万+
本部分将对常见的二进制漏洞做系统分析,方便在漏洞挖掘过程中定位识别是什么类型漏洞,工欲善其事,必先利其器。 0x01栈溢出漏洞原理 栈溢出漏洞属于缓冲区漏洞的一种,实例如下: #include <stdio.h> #include <string.h> int main() { char *str = "AAAAAAAAAAAAAAAAAAAAAAAA"; vulnfun(str); return; } int vulnfun(char *st
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1219
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
基于pwntools编写pwn代码
ChuMeng1999的博客
12-01 3373
目录预备知识pwnpwntools实验目的实验环境实验步骤一1.Pwntools安装及模块(已装)2.常用模块详细介绍实验步骤二实验步骤三 预备知识 pwnPwn”是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似“砰”,对黑客而言,这就是成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被你操纵。以上是从百度百科上面抄的简介,而我个人理解的话,应该就是向目标发送特定的数据,使得其执行本来不会执行的代码,前段时间爆发的永恒之蓝等病毒其实也算得上是pwn的一种。 pwntools pwntoo
《ZigBee实战演练》学习笔记
java_cm66的博客
03-30 8919
《ZigBee实战演练》学习笔记        学习者:陈美 版本记录 u 2015/10/17起草 初步了解ZigBee是什么和开发环境的快速建立以及基础实验的第一个实验:点亮第一个LED。 u 2015/10/25修订 点亮第二个LED、点亮第三个LED、同时点亮第一个LED,第二个LED,点亮第三个LED、循环点亮三个LED。 u 2015/10/28修订 通用I/O、各类寄
pwn】学pwn日记(结构学习)(随缘更新
woodwhale的博客
08-20 4752
pwn】学pwn日记(结构学习) 1、什么是是下图中绿色的部分,而它上面的橙色部分则是管理器 我们都知道栈的从高内存向低内存扩展的,而是相反的,它是由低内存向高内存扩展的 管理器的作用,充当一个中间人的作用。管理从操作系统中申请来的物理内存,如果有用户需要,就提供给他。 2、了解管理器 注意:linux使用glibc 这里有两种申请内存的系统调用: brk mmap 第一种brk,是将heap下方的data段(bss属于data段),向上扩展申请的内存。 第二种mmap,其实下
2018 10 24. pwn学习学习块,表的概念,当中的操作,什么是双向链表,分配函数,fgets函数能造成溢出吗?
startr4ck
10-24 344
学习     ,动态增长的链表,     申请方式:常用函数申请,通过返回的指针使用,malloc()     释放方式:通过free进行释放     管理方式:需要程序员处理申请和释放     增长方向:内存从低地址向高地址     特点:         杂乱:区经过反复的申请,释放操作之后,原本大片连续的空闲区呈现出大小不同且空闲块和占用块交错的区域               给出...
漏洞利用—
谈成(C/C++)
04-28 900
1.喷的原理主要在于申请大量内存,直到跨过0x0C0C0C0C地址为止。 0x0C0C0C0C地址的总长为19210241024大小。所以只要申请的内存超过200MB,即可将0x0C0C0C0C地址包含在我们自己的内存之中。 2.当0x0C0C0C0C地址被包含在我们申请的中时,我们就可以将栈溢出的返回地址覆盖为0x0C0C0C0C。 3.此时发生溢出后,系统的eip就会去执行0x0C0C0C0C处的代码。而此时,我们的最终目的是执行shellcode代码。执行0x0C0C0C0C是不可能刚好命中sh
pwn_heap(未完待续)
qq_37439229的博客
10-15 485
早上上信安数基,了解了中国剩余定理,就是求同余方程组的解,找时间,用c++复现以下 pwn_heap 在程序运行过程中,可以提供动态分配的内存,允许程序申请大小未知的内存。其实就是程序虚拟地址空间的一块连续的线性区域,它由低地址向高地址方向增长。我们一般称管理的那部分程序为管理器。 malloc malloc 函数返回对应大小字节的内存块的指针。此外,该函数还对一些异常情况进行了处理 当 n=0 时,返回当前系统允许的的最小内存块。 当 n 为负数时,由于在大多数系统上,size_t 是无符号
PWN-HEAP】Unlink学习笔记
SWEET0SWAT的博客
09-02 799
题目练习 HITCON2016 bamboobox 反编译情况: 程序分析
pwn入门(3)
农夫果园好好喝的博客
07-22 647
是虚拟地址空间的一块连续的线性区域提供动态分配的内存,允许程序申请大小未知的内存在用户与操作系统之间,作为动态内存管理的中间人响应用户的申请内存请求,向操作系统申请内存,然后将其返回给用户程序管理用户所释放的内存,适时归还给操作系统。...
CTF PWNheap入门 unlink
L2329794714的博客
09-09 1718
unlink的利用需要申请连续的chunk,为了方便我们先要让IO两个缓冲区都申请了,即程序执行至少以此IO输出,一次IO此输入(这里可以让程序执行一遍创建块的流程实现),后面再创建两个相邻的块,后面一个大小大于0x80,再前一个块里伪造一个释放状态的chunk,并利用溢出改写后一个chunk的P_size(伪造chunk的大小包括chunk头),和size(in_user为为0),然后free后面的chunk来触发前合并,从而进行unlink。P:为要取出的chunk指针(指向chunk头的)
攻防世界(pwn)babyheap(一些常见的利用方法)
PLpa的博客
03-22 2047
前言: 此题攻击链路:null_off_by_one修改块信息 => UAF泄露libc基址和其他有用信息 => fastbin attack申请块到指定地址 => 利用realloc_hook来调整栈 => one_gadget get shell。 64位程序,保护全开。 程序提供增删查操作,没有改操作。由于题目已经给了libc-2.23文件(虽然给错了)说明...
fpga pwn基础知识
06-14
FPGA(Field-Programmable Gate Array)是一种可编程逻辑器件,它允许用户在硬件级别进行定制和修改。在安全领域,特别是硬件安全研究(Hardware Security Research,HWR)中,FPGA PwnPWN是"pwn"的缩写,源自英文"own",表示控制或接管)涉及利用FPGA的可编程特性来实施攻击或破解系统。 1. FPGA工作原理:FPGA由大量的逻辑门、查找表(LUTs)、触发器和布线资源组成。用户可以通过高级语言(如VHDL或Verilog)设计描述来配置这些硬件元素。 2. Pwn技术基础: - **硬件漏洞**:FPGA可能存在设计缺陷或不完整的安全保护,比如错误的数据路径、未初始化的寄存器等,这些都是攻击者可以利用的地方。 - **FPGA编程模型**:FPGA的可编程性意味着可以通过加载定制的配置文件来改变其行为,这也可以用于植入恶意逻辑。 3. FPGA Pwn常见手法: - **Bootrom攻击**:对FPGA的固件或启动加载程序进行篡改,以获取控制权。 - **JTAG或ICE接口滥用**:通过接口工具访问FPGA内部逻辑,进行逆向工程或植入恶意代码。 - **侧信道攻击**:利用FPGA操作过程中产生的电磁辐射、功耗等物理信号来泄露敏感信息。 4. 相关问题: 1. FPGA Pwn通常需要哪些技能背景? 2. FPGA的安全防护措施有哪些,如何被绕过? 3. FPGA Pwn案例中,有哪些知名的攻击事件? 4. 如何防止FPGA被利用来进行硬件攻击?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值