堆基础-glibc_malloc_chunk

最新推荐文章于 2023-05-26 12:17:31 发布
最新推荐文章于 2023-05-26 12:17:31 发布
阅读量652 收藏 2
点赞数 1
分类专栏: Pwn 文章标签: 安全漏洞 pwn 堆栈
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43390703/article/details/121366777
版权

glibc_malloc_chunk

chunk

在程序执行中,我们称malloc申请的内存为chunk,用malloc_chunk来表示,当程序申请的chunk被free后,会被加入到对应的空闲管理队列。无论chunk的大小、状态如何,他们都是使用同一数据结构——malloc_chunk,只不过是表现形式有所不同。

/*
  This struct declaration is misleading (but accurate and necessary).
  It declares a "view" into memory allowing access to necessary
  fields at known offsets from a given base. See explanation below.
*/
struct malloc_chunk {

  INTERNAL_SIZE_T      prev_size;  /* Size of previous chunk (if free).  */
  INTERNAL_SIZE_T      size;       /* Size in bytes, including overhead. */

  struct malloc_chunk* fd;         /* double links -- used only if free. */
  struct malloc_chunk* bk;

  /* Only used for large blocks: pointer to next larger size.  */
  struct malloc_chunk* fd_nextsize; /* double links -- used only if free. */
  struct malloc_chunk* bk_nextsize;
};

根据不同的chunk类型,malloc_chunk会有部分内容选择性“表示”。

堆段中存在的chunk类型如下:

  • allocated chunk
  • free chunk
  • top chunk
  • last remainder chunk

allocated chunk

也即分配给用户的chunk。其图示:

请添加图片描述

图中左方三个箭头依次表示:

  • chunk:该Allocated chunk的起始地址;
  • mem:该Allocated chunk中用户可用区域的起始地址
  • next_chunk:下一个 chunck(无论类型)的起始地址。
  • prev_size:若上一个 chunk 可用,则此字段赋值为上一个 chunk 的大小;否则,此字段被用来存储上一个 chunk 的用户数据;
  • size:此字段赋值本 chunk 的大小,其最后三位包含标志信息:
    • PREV_INUSE § – 置「1」表示上个 chunk 被分配;
    • IS_MMAPPED (M) – 置「1」表示这个 chunk 是通过 mmap 申请的(较大的内存);
    • NON_MAIN_ARENA (N) – 置「1」表示这个 chunk 属于一个 thread arena。

malloc_chunk 中的其余结构成员,如 fd、 bk,没有使用的必要而拿来存储用户数据;

用户请求的大小被转换为内部实际大小,因为需要额外空间存储 malloc_chunk,此外还需要考虑对齐。

free chunk

free chunk就是用户free后释放的chunk。

Free chunk

  • prev_size: 两个相邻 free chunk 会被合并成一个,因此该字段总是保存前一个 allocated chunk 的用户数据;
  • size: 该字段保存本 free chunk 的大小;
  • fd: Forward pointer —— 本字段指向同一 bin 中的下个 free chunk(free chunk 链表的前驱指针);
  • bk: Backward pointer —— 本字段指向同一 bin 中的上个 free chunk(free chunk 链表的后继指针)。

参考链接

https://sploitfun.wordpress.com/2015/02/10/understanding-glibc-malloc/comment-page-1/

https://blog.csdn.net/maokelong95/article/details/51989081

Fasthand_
关注
专栏目录
glibc中的malloc
sinat_41619762的博客
09-04 1150
glibcmalloc使用的是ptmalloc分配器。 使用chunk来管理内存单元 .ptmalloc通过chunk的数据结构来组织每个内存单元。当我们使用malloc分配得到一块内存的时候,这块内存就会通过chunk的形式被记录到glibc上并且管理起来。 上图是被分配的chunk。用户获得的指针是mem指针。所以实际上使用的内存大于用户申请的内存。 上图是未分配的chunk。未分配的chunk都串联在bins数组中。 bins数组 ptmalloc一共维护了128bin。每个bins都维护了大小相
ptmalloc源码阅读-malloc_chunk
GeorgeDon专栏
01-18 916
内存管理不外乎三个层面,用户管理层,C运行时库层,操作系统层 目前轮子处于运行时库层,制作这个轮子的目的是为了了解底层内存分配是如何实现的,后面肯定主要是实现用户管理层。 常见C内存管理程序: Doug Lea Malloc:Doug Lea Malloc实际上是完整的一组分配程序,其中包括Doug Lea的原始分配程序,GNU libc分配程序和ptmalloc。Doug Lea的分配程序
malloc_chunk
qq_41661777的博客
08-14 513
• 在程序运行过程中,可以提供动态内存的分配,允许程序申请大小未知的内存。 • 其实就是在程序虚拟地址空间的一块连续的线性区域,它由低地址向高地址生长。 • 我们一般称管理的那部分程序为管理器。 • 管理器位于用户程序和内核中间,主要负责 : • malloc • free • double free : 当p已经被释放后再次释放,造成乱七八糟的现象。 • 请求 • 响应用户的申请内存请求,向操作系统申请内存,然后返回给用户程序。为了保持内存管理的高效性,内核一般会预先分配很大的一块连续的
ptmalloc源码分析 - 内存组织单元malloc_chunk(03)
热门推荐
自娱自乐的代码人
11-06 3万+
上一章讲解了ptmalloc的内存的分配器状态机malloc_state的实现。分配器状态机主要管理内存分配过程中的各种状态以及空闲内存的管理。 ptmalloc的最小内存组织单元是chunk的数据结构。通过chunk的数据结构,用于管理每次前端程序使用malloc函数调用所产生的在上分配的内存。 chunk的数据结构 先来看一下chunk的数据结构: mchunk_prev_size:该字段记录物理相邻的前一个chunk的大小(低地址chunk)。如果前一个chunk处于空闲,则该字段记录前一个
tars源码漫谈第46篇------tc_malloc_chunk.h/tc_malloc_chunk.cpp(内存块操作)
认知 行动 坚持
04-06 5091
看了一下, 在tars源码中, 并没有用到tc_malloc_chunk中的类, 所以也不打算详细介绍, 了解一下即可。 cpp文件就不看了, 看下头文件:#ifndef __TC_MALLOC_CHUNK_H #define __TC_MALLOC_CHUNK_H #include <iostream> #include <cassert> #include...
understanding-glibc-malloc
09-27
在内存分配的过程中,glibc malloc会将内存划分为不同的区域,包括分配块(allocated chunk)、空闲块(free chunk)、arena、chunk bins(如fast bins、unsorted bins、small bins、large bins等)、top chunk和...
__libc_malloc()源码阅读
huzai9527的博客
01-19 1620
malloc 源码 chunk 与 mem 指针头部的转换(mem 指向用户申请的内存空间) /* conversion from malloc headers to user pointers, and back */ #define chunk2mem(p) ((void *) ((char *) (p) + 2 * SIZE_SZ)) #define mem2chunk(mem) ((mchunkptr)((char *) (mem) -2 * SIZE_SZ)) 检查分配给用户的内存是否对
Glibc:浅谈 malloc_consolidate() 函数具体实现
加号减减号的博客
02-22 1万+
简介 源代码 分析 0x00 - 未初始化则初始化 0x01 - 已初始化则清空 fastbin 总结 简介 malloc_consolidate() 函数是定义在 malloc.c 中的一个函数,用于将 fastbin 中的空闲 chunk 合并整理到 unsorted_bin 中以及进行初始化的工作,在 malloc() 以及 free() 中均有可能调用 m...
Glibc:浅谈 malloc() 函数具体实现
加号减减号的博客
05-08 8189
简介 源代码 __libc_malloc() _int_malloc() __libc_malloc() 分析 参数 __malloc_hook 全局钩子 ptmalloc_init 转入 _int_malloc() _int_malloc 分析 计算 chunk size 是否命中 fastbins 是否命中 smallbins 非 smallbins 则转入 malloc_co...
glibc2.23-glibc2.29的malloc.c的变化
For Geek
10-17 1527
pwn利用中 往往需要根据glibc的版本对exp进行一个改进 本人根据自身的需要对glibc2.23-glibc2.29在malloc.c在分配和回收策略上的变化进行一个记录 最主要的是记录报错信息 Glibc2.23 _int_malloc 从fastbin中分配fast chunk的时候 malloc的时候 会对fastbin->fd指向的chunk 验证一遍它是否在对应的fas...
Heap块Chunk
分不清东西南北的Laffey
11-29 4265
&块0x01 基础知识——Chunk0x02 基础知识——Heap0x03 的基本操作0x04 相关的函数1>malloc2>free0x05 溢出0x06 溢出中比较重要的几个步骤·寻找分配函数realloc malloc calloc·寻找危险函数·确定填充长度0x07 Fast bin0x08 Unsort bin注意点Fastbin attack--blin...
HTTP协议中的Tranfer-Encoding:chunked编码解析
牧码人的专栏
06-26 2446
 当不能预先确定报文体的长度时,不可能在头中包含Content-Length域来指明报文体长度,此时就需要通过Transfer-Encoding域来确定报文体长度。    通常情况下,Transfer-Encoding域的值应当为chunked,表明采用chunked编码方式来进行报文体的传输。chunked编码是HTTP/1.1 RFC里定义的一种编码方式,因此所有的HTTP/1.1应用都应当支
理解 glibc malloc
zsj2102的专栏
03-27 371
理解 glibc malloc内存是一个很有意思的领域,这样的问题: 内存是如何从内核中分配的? 内存管理效率怎样? 它是由内核、库函数,还是应用本身管理的? 内存可以开发吗?我也困惑了很久,但是直到最近我才有时间去了解它。下面就让我来谈谈我的研究成果。开源社区提供了很多现成的内存分配器(memory allocators ):dlmalloc – General purpos...
阅读glibcmalloc源码理解-chunk结构理解
最新发布
qq_30528603的博客
05-26 320
拿32位程序来举例子,每个程序都有自己专属的4GB的虚拟空间,我们写的C代码在这个4GB空间中是有明确分布的,详情可以参考我另外一篇博客32位内存布局。我们看到一个chunk的开始其实是chunk指针指向的位置,其实这个叫chunk头,我们使用malloc申请内存的时候,会返回一个指针给我们那个指针就是我图中画的返回给用户的指针是指向用户数据。chunk头对用户来说是透明的,只有操作系统知道。接着是下一个chunk。学过操作系统的都知道,我们的内存是存在分页机制的,将内存划分为一个一个4kb的页框来管理。
pwn_heap(未完待续)
qq_37439229的博客
10-15 484
早上上信安数基,了解了中国剩余定理,就是求同余方程组的解,找时间,用c++复现以下 pwn_heap 在程序运行过程中,可以提供动态分配的内存,允许程序申请大小未知的内存。其实就是程序虚拟地址空间的一块连续的线性区域,它由低地址向高地址方向增长。我们一般称管理的那部分程序为管理器。 malloc malloc 函数返回对应大小字节的内存块的指针。此外,该函数还对一些异常情况进行了处理 当 n=0 时,返回当前系统允许的的最小内存块。 当 n 为负数时,由于在大多数系统上,size_t 是无符号
学习笔记-chunk overlapping
N1rvana的博客
11-14 487
CTF-wiki真是太好一学习网站了。 原文链接:https://ctf-wiki.org/pwn/linux/user-mode/heap/ptmalloc2/chunk-extend-overlapping/#_1 Chunk Extend 实现条件 要实现chunk extend需要满足的条件:有漏洞,并且该漏洞可以修改chunk header里的数据。 实现原理 原理大概就是: ①:ptmalloc通过chunk header里面的prev_size和size来对前后块进行定位。 ②:ptmal
glibc机制
MyObject-C的专栏
12-06 1007
0 前言 近年来,漏洞挖掘越来越火,各种漏洞挖掘、利用的分析文章层出不穷。从大方向来看,主要有基于栈溢出的漏洞利用和基于溢出的漏洞利用两种。国内关于栈溢出的资料相对较多,这里就不累述了,但是关于溢出的漏洞利用资料就很少了。鄙人以为主要是溢出漏洞的门槛较高,需要先吃透相应操作系统的内存管理机制,而这部分内容一直是一个难点。因此本系列文章主要从Linux系统内存管理机制出发,逐步介绍诸如基...
【逆向学习记录】分配中chunk&bins
卦星的专栏
03-23 3340
1 概述 学习的过程中,开始的时候,有个很难理解的东西,那个东西就是malloc,涉及到malloc就会涉及到chunk,实话说chunk这个东西的学习,确实经历了不少时间,总结一下,防止忘记 参考 Linux内存管理深入分析-上这篇文章详细将来chunk的进化过程,这里就不在深入查看了,深入浅出,是学习溢出基础的佳作 Linux内存管理深入分析-下这篇文章详细讲了bin的结构,并且被我大...
BigWorld—chunck系统
arun
04-13 908
一、基本介绍 1: 把一个空间分割为许多chunks;这些chunk不会重叠;空间中的一个点只能属于一个chunk。 2: 一个chunk是一个三维的容器(volume),它包含了许多场景对象。这些场景对象包括models、lights、entities、terrain blocks。把这些场景对象称作:chunk item。 3: chunk也定义一些平面来组成边界,这些面可能定义port
深入理解Linux内存:GLIBC heapexploitation解析
GLIBC结构由一系列称为Chunk的内存块组成,每个Chunk包含一个逻辑描述(例如PREV_SIZE、SIZE、FD和BK),以及用户数据区域。PREV_SIZE字段存储前一块Chunk的大小,但这仅在前一块Chunk已释放时才有意义。SIZE字段...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值