Glibc堆块的向前向后合并与unlink原理机制探究

最新推荐文章于 2023-05-10 16:47:51 发布
最新推荐文章于 2023-05-10 16:47:51 发布
阅读量480 收藏 1
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoi123/article/details/82998091
版权
本文深入探讨了Glibc中堆块的向前、向后合并以及unlink操作的原理,包括向后合并、向前合并和unlink的安全检查。通过示例代码和调试验证,解释了如何利用这些机制进行内存管理,特别是如何触发和理解unlink过程。
摘要由CSDN通过智能技术生成

i春秋作家:Bug制造机

原文来自:Glibc堆块的向前向后合并与unlink原理机制探究

 

玩pwn有一段时间了,最近有点生疏了,调起来都不顺手了,所以读读malloc源码回炉一点一点总结反思下。

Unlink是把free掉的chunk从所属的bins链中,卸下来的操作(当然还包括一系列的检测机制),它是在free掉一块chunk(除fastbin大小的chunk外)之后,glibc检查这块chunk相邻的上下两块chunk的free状态之后,做出的向后合并或者向前合并引起的。

向前、向后合并

p是指向free掉的chunk的指针(注意不是指向data的指针,是chunk),size是这块chunk的size。

 /* consolidate backward */
4277            if (!prev_inuse(p)) {
4278              prevsize = prev_size (p);
4279              size += prevsize;
4280              p = chunk_at_offset(p, -((long) prevsize));
4281              unlink(av, p, bck, fwd);
4282            }
4283        
4284            if (nextchunk != av->top) {
4285              /* get and clear inuse bit */
4286              nextinuse = inuse_bit_at_offset(nextchunk, nextsize);
4287        
4288              /* consolidate forward */
4289              if (!nextinuse) {
4290                unlink(av, nextchunk, bck, fwd);
4291                size += nextsize;
4292              } else
4293                clear_inuse_bit_at_offset(nextchunk, 0);
4294
4295              /*
4296                Place the chunk in unsorted chunk list. Chunks are
4297                not placed into regular bins until after they have
4298                been given one chance to be used in malloc.
4299              */
4300        
4301              bck = unsorted_chunks(av);
4302              fwd = bck->fd;
4303              if (__glibc_unlikely (fwd->bk != bck))
4304                malloc_printerr ("free(): corrupted unsorted chunks");
4305              p->fd = fwd;
4306              p->bk = bck;
4307              if (!in_smallbin_range(size))
4308                {
4309                  p->fd_nextsize = NULL;
4310                  p->bk_nextsize = NULL;
4311                }
4312              bck->fd = p;
4313              fwd->bk = p;
4314        
4315              set_head(p, size | PREV_INUSE);
4316              set_foot(p, size);
4317        
4318              check_free_chunk(av, p);
4319            }
4320        
4321            /*
4322              If the chunk borders the current high end of memory,
4323              consolidate into top
4324            */
4325        
4326            else {
4327              size += nextsize;
4328              set_head(p, size | PREV_INUSE);
4329              av->top = p;
4330              check_chunk(av, p);
4331            }

向后合并

向后合并部分的代码在4277-4282行

向后合并流程:

  • 检查p指向chunk的size字段的pre_inuse位,是否为0(也就是检查当前chunk的前一块chunk是否是free的,如果是则进入向前合并的流程)

  • 获取前一块chunk的size,并加到size中

最低0.47元/天 解锁文章
张悠悠66
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
node.js出现version `GLIBC_2.27‘ not found的解决方案
weixin_43178406的博客
12-03 3万+
 本文主要介绍了node.js出现version `GLIBC_2.27’ not found的解决方案,希望能对使用node的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
堆栈溢出的运行时探测(二)
dajuan1989的专栏
02-29 1020
3. 技术 3.1 GNU Lib C(glibc)中的堆管理         C语言没有提供如动态内存管理、字符串操作、输入输出等内置功能,而是把这些功能定义在一个标准库中,当用户使用的时候会被编译和链接。GNU C库就是这一一个库,定义了ISO C标准中的所有库函数,以及POSIX(可移植操作系统接口)和GNU系统的特定函数。         C语言支持两种内存分配机制:静态和自动。当一
c++的段错误原因之内存越界
滴答滴,滴答滴
06-27 2382
C++段错误之内存越界
程序运行结束后出现corrupted double-linked list 0x
热门推荐
colby_zhang的博客
05-21 1万+
Error in’项目目录’:corrupted double-linked list 0x 网上我搜集的方法 1.类似于double被delete了两次 2.double被new了两次 但是我的情况有所不同,我遇到的错误是程序运行之后,在我结束程序后显示的如题错误。 我又在网上搜集了下 1.我的double没有free 2.回答找不见了,但是是一个人同时回答了1且说了2,大家自己找一找吧 我最后的解决方法(并不适用所有情况) 我的所加载的动态库和我的主框架内都有一个同名同内容的代码,且里面都有各自的sta
堆漏洞之unlink1
08-04
当这个位被覆盖后,系统在执行free时可能会错误地认为两个chunk可以合并,进而执行`unlink`。此时,攻击者可以通过篡改相邻chunk的fd和bk指针,来控制程序流程,达到恶意的目的。 在早期的glibc版本中,`unlink`...
glibc堆内存管理流程图梳理
10-26
glibc堆内存管理流程图梳理
glibc堆内存管理
weixin_41911664的博客
04-05 1328
概述 堆(heap)是指进程虚拟空间中由开发者动态分配的内存区域,它与栈不同,具有地址向上增长的特点,并且由开发者自己分配与释放。开发者一般通过malloc与free管理动态内存,而malloc和free其实是glibc动态内存管理的对外接口。 为了避免用户频繁使用系统调用带来的开销以及尽可能地提高内存使用率,glibc基于系统调用brk和mmap向开发者提供了一套堆内存管理机制glibc采用的内存分配器(Memory Allocator)是ptmalloc2,其通过预留内存以及将释放的内存块通过分类有效
Glibc 堆利用的若干方法1
08-03
Glibc作为Linux系统中最常用的C库,其堆管理机制对于程序的内存分配至关重要,同时也是攻击者瞄准的目标。本文将深入探讨Glibc堆利用的各种方法,分析其绕过系统保护的手段,并对未来的攻防趋势进行预测。 早期的...
使用Qt(mingw)编译FreeType为 .a 静态库
08-26
选择Qt来做工具的UI,但是因为安装的是mingw版本的Qt,之前在VS中使用的lib静态库这一下就派不上用场了,网上搜索到可以用工具把 lib 文件转换成 .a 文件,但是自己尝试后没有生成成功,加之这种转换也有各种局限性,所以还是把 FreeType的源代码下过来,用Qt新建一个Lib工程来编译。
corrupted double-linked list: 0x086a6c50(内存问题)
ligare的博客
05-20 1万+
新增了一段代码,程序就直接异常了,但是新增的代码没什么问题。但是在qt里面只显示异常也看不出是什么原因导致的,在终端运行了下,就提示有这个错误了,上网搜了一下,是内存的问题,通常有以下容易犯的内存问题: 1.内存重复释放,出现double free时,通常是由于这种情况所致(我检查了下自己的代码,发现有个对象重复释放了两次,删掉其中的一个地方,代码就OK了)。 2.内存泄露,分配的内存忘了释放。 3.内存越界使用,使用了不该使用的内存: char buf[32] = {0}; for(int i=0;
unlink函数_堆利用之 unlink
weixin_39736047的博客
12-11 707
1 知识补充什么是unlinkunlink 用来将一个双向链表(只存储空闲的 chunk)中的一个元素取出来。哪里用到unlinkunlink()常用于free()中进行 chunk 的整理,可以对空闲 chunk 进行前向合并和后向合并。当被free()的 chunk 的 P 位为 0 时,说明被free()的 chunk 的前一个 chunk 为空,于是对前一个 chunk 进行 unlink...
堆溢出——unlink漏洞攻击(bamboobox)
fzucaicai的博客
03-22 816
当要free掉某个堆块时,如果其低地址的chunk是空闲的,那么这里的P就是被释放掉的堆块的地址减去自己的pre_size里的数值,这样就可以指向低地址的chunk的chunk头了,通过堆溢出修改掉被释放的chunk的pre_size和size,就可以达到释放该chunk时,unlink调用的P是是指向假chunk的chunk头。1.首先检查被合并的chunk的大小是否正确,程序会先检查被合并的chunk的size是否与其物理相连的下一个chunk的presize是否相符。
Unlink
钞sir的博客
03-03 4750
简介 unlink是在smallbin被释放的时候的一种操作,是将当前物理内存相邻的free chunk进行合并,简单的讲就是我们在free一个smallchunk的时候,如果它前面或者后面的chunk有空闲的,即in_use位为0时,就将前面或后面的chunk连在一起合成一个chunk; smallbin的数据结构:prev_size,size,fd,bk; 因为smallbin被释放后是用双...
​Unlink
最新发布
weixin_42492218的博客
05-10 370
¶ZCTF 2016 的一道题目,考点是 safe unlink 的利用。¶题目是一个 notepad,提供了创建、删除、编辑、查看笔记的功能1.New note5.Quit保护如下所示NX : YesPIE : No¶程序 New 功能用来新建笔记,笔记的大小可以自定只要小于 1024 字节。int new()所有的笔记 malloc 出来的指针存放在 bss 上全局数组 bss_ptr 中,这个数组最多可以存放 8 个 heap_ptr。
2021-05-07
ShakingSH的博客
05-07 788
左偏树 可并堆 1.堆是非常常用的数据结构,C++的STL为我们提供了方便好用的priority_queue,节省了我们大量的时间。但是,priority_queue因为过度封装以及采用的数据结构为二叉堆,有许多缺点,其中一个就是:无法高效的合并两个堆。每一次把size小的堆的点暴力插入到size大的堆里面,这个方法十分不优秀,时间复杂度是O(nlog2n) 2.如果我们要高效的合并两个堆就需要其他特殊的堆来支持高效合并,这种堆就叫做可并堆。 何为左偏树 左偏树(英语:leftist tree或leftis
堆漏洞利用:理解unlink机制与技巧
"堆漏洞之unlink1 - 一篇关于Linux环境下glibc库中堆管理漏洞的分析和利用技术的文章,作者SP00F强调了unlink操作在内存管理中的关键作用,以及如何通过覆盖相邻chunk的prev_inuse位来触发漏洞利用。文章适合于学习...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值