pwn-堆入门

最新推荐文章于 2024-06-30 18:17:50 发布
最新推荐文章于 2024-06-30 18:17:50 发布
阅读量922 收藏 4
点赞数
分类专栏: 网络攻防 文章标签: 1024程序员节 pwn c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yajuanpi4899/article/details/121664510
版权

目录

堆概述

一、堆管理器是什么?

二、堆管理的操作步骤

三、bin分类

堆概述

 在动态链接的程序中,会分配一段动态的内存区域,控制动态内存的便是堆。堆的本质是程序虚拟地址空间的一块连着的线性区域,它由低地址往高地址增长。管理堆本身的,叫做堆的管理器。





一、堆管理器是什么?

堆管理器位于内核与程序之间(既不是内核管理,也不是程序本身进行管理,存在的意义在于:如果使内核直接对用户态进行内初处理,每次会保存大量的状态值,造成资源的浪费,所以利用堆管理器来进行内存的取用),功能包含:

1.响应用户的内存申请   2.管理用户释放的内存

在现行linux中:      glibc 的堆分配器:ptmalloc2,通过 malloc/free 来分配和释放内存块

不同的线程维护的堆(理解为子线程)称为:per thread arena

主线程创建的堆称为:main_arena

chunk:堆的最小的操作单元

bin:管理被free的chunk

二、堆管理的操作步骤

1)程序的执行中,首先先进行堆的创建,即主函数分配堆内存,此时:

由sbrk()创建main_arena               --->main_status包含arena本身的信息,如堆状态、bin,注意main_arena的main_status保存在libc全局变量中,一般此时生成 top chunk

2)子线程开始进行堆创建时分配堆内存时:

由mmap()创建per thread arena            --->main_status包含在per thread arena本身

3)chunk过程:

chunk本身属于堆的最小操作单元,可以把堆看成一块一块的存在,然后每次对堆的调用都是对chunk的操作,chunk分三类:allocate chunk              free chunk                  top chunk

chunk结构:

/*
  This struct declaration is misleading (but accurate and necessary).
  It declares a "view" into memory allowing access to necessary
  fields at known offsets from a given base. See explanation below.
*/
struct malloc_chunk {

  INTERNAL_SIZE_T      prev_size;  /* Size of previous chunk (if free).  */
  INTERNAL_SIZE_T      size;       /* Size in bytes, including overhead. */

  struct malloc_chunk* fd;         /* double links -- used only if free. */
  struct malloc_chunk* bk;

  /* Only used for large blocks: pointer to next larger size.  */
  struct malloc_chunk* fd_nextsize; /* double links -- used only if free. */
  struct malloc_chunk* bk_nextsize;
};

top chunk最开始在sbrk()生成后,每一次malloc申请时,top chunk转化一部分给出生成malloc chunk,malloc chunk占用满top chunk时会再次调用sbrk(),而在正常的释放堆过程中,会将chunk释放,被释放的chunk通过bin以链表的形式进行管理。如下图所示:

在上图被free的chunk B会由Bin来开始管理,可以将Bin视为空闲chunk管理器,一有chunk就收集,程序需要chunk时会从bin中调取合适的chunk,bin整体是一个单/双链表结构。

三、bin分类

 根据空闲的 chunk 的大小以及使用状态将 chunk 初步分为 4 类:fast bins,small bins,large bins,unsorted bin。

对于 small bins,large bins,unsorted bin 来说,ptmalloc 将它们维护在同一个数组中。这些 bin 对应的数据结构在 malloc_state 中,如下

#define NBINS 128
/* Normal bins packed as described above */
mchunkptr bins[ NBINS * 2 - 2 ];

一般而言,较小的chunk作为 fast bin,对应的变量就是 malloc state 中的 fastbinsY

bins中的bin[1]:unsorted bin   bin[2_63]:small bins    bin[64_126]:large bins

胡胡同志要加油
关注
专栏目录
pwn 入门之off by one
清霂的博客
04-18 242
目录Asis CTF 2016 b00ks Asis CTF 2016 b00ks #!/usr/bin/env python2 from pwn import * arch = "amd64" filename = "b00ks" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) menu_addr=0x0000000000000A89 free_got
CTF pwn入门 -- Unsorted bin
lifanxin的博客
04-08 3257
Unsorted bin概述攻击方式泄露libc地址总结 概述   Unsorted bin也是题中常见的,当一个块被释放时,且该块大小不属于fast bin(libc-2.26之后要填满tcache),那么在进入small bin和large bin之前,都是先加入到unsorted bin的。之后当我们再次分配内存到unsorted bin上寻找时,如果申请的内存块小于寻找的unsorted bin,那么会将该内存块切割后返回给用户,剩下的仍然保存在unsorted bin上;如果申请的内存
pwn一篇入门
qq_42863961的博客
05-25 392
能帮到你的话,就给个赞吧 ???? 由于我在其他地方编辑,但不想再重新编辑一份,于是把链接放在这里吧 https://note.youdao.com/ynoteshare1/index.html?id=03e7ab6c45cf0b425c8a3a5d0d0e03db&type=note
pwn基础之基础知识超详解
最新发布
qq_73554831的博客
06-30 904
Top chunk,在第一次malloc的时候,glibc就会将切成两块chunk,第一块chunk就是分配出去的chunk,剩下的空间视为top chunk,之后要是分配空间不足时将会由top chunk分配出去,它的size为表示top chunk还剩多少空间。释放一个fast chunk时,首先检查它的大小以及对应fastbin此时的第一个chunk的大小是否合法,随后它会被插入到对应fastbin的链表头,此时其fd指向上一个被free的chunk。(关于top chunk的位置)!
pwn入门
qq_35066257的博客
04-10 2482
在程序执行的过程中,由malloc申请的内存空间被称作chunk,而当程序申请的chunk被free时会被加入到相应的空闲管理列表(bin)中。 Chunk结构: 解释: pre_size: 前一个chunk块的大小,如果chunk_size的P位为1则pre_size无效,上个chunk可以使用pre_size的空间。(前一个chunk块的大小,指的是低地址的chunk) chunk_size...
pwn 基础
qq_41696518的博客
09-03 855
是用malloc函数申请使用的。假设我们通过void * ptr = malloc(0x10);系统会调用一些函数在内存中开辟一大片空间作为的分配使用空间。malloc函数再从这篇的分配使用空间中分配0x10大小的空间,将指向该空间的地址返回给ptr(余下的空间称之为topthunk)chunk:用户申请内存的单位,也是管理器管理内存的基本单位 malloc()返回的指针指向一个chunk的数据区域。
Linux pwn入门教程,pwn入门系列教程1
weixin_29015899的博客
05-02 539
pwn入门系列教程1因为自己学的时候,找不到一个系统的教程,我将会按照ctf-wiki的目录一步步学下去,尽量做到每周有更新,方便跟我一样刚入门的人学习,第一篇教程研究了4天吧,途中没人指导。。很尴尬,自己一个很容易的点研究了很久才懂,把踩过的坑也总结下,方便后人不再踩坑学习链接环境搭建off by one原理(引用ctf-wiki)off-by-one 是指单字节缓冲区溢出,这种漏洞的产生...
pwn入门(3)
农夫果园好好喝的博客
07-22 645
是虚拟地址空间的一块连续的线性区域提供动态分配的内存,允许程序申请大小未知的内存在用户与操作系统之间,作为动态内存管理的中间人响应用户的申请内存请求,向操作系统申请内存,然后将其返回给用户程序管理用户所释放的内存,适时归还给操作系统。...
BUUCTF PWN-题总结 2021-09-27
m0_56897090的博客
09-27 2077
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
CTF pwn入门 -- Fast bin
lifanxin的博客
04-07 2458
这里写目录标题概述攻击方式实现任意地址分配fast bin poisoninghouse of spirit总结 概述   Fast bin是利用中最常遇见的情况,常见于libc2.23版本的pwn题中,在那个版本中还没有Tcache机制,在那个版本中漏洞利用还很轻松(????)。   这里简单总结一下fast bin的性质,64位机器下fast bin大小为0x20 – 0x80字节,每个bin链表之间以0x10字节递增;32位机器下为0x10 – 0x40,每个bin链表之间以0x8字节递增(上面的大
pwn入门08---利用之uaf
weixin_45943522的博客
02-21 1502
use_after_free 原理 简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况: 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。 内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可能可以正常运转。 内存块被释放后,其对应的指针没有被设置为 NULL,但是在它下一次使用之前,有代码对这块内存进行了修改,那么当程序再次使
CTF pwn入门 -- Large bin
lifanxin的博客
04-07 1860
Large bin概述攻击方式分配到目的地址house of force总结 概述   large bin采用双链表结构,libc-2.23版本下64位机器上,最小为0x400(1024字节),里面的chunk从头结点的fd指针开始,按大小顺序排列。不同于fast bin, small bin, unsorted bin的结构,当属于large bin的chunk被释放时,chunk中还会有fd_nextsize和bk_nextsize指针,分别指向前后第一个与本身chunk大小不同的chunk。当然也就
PWN修炼——初识
AFCC_的博客(Web_Dog)
09-20 454
最近开始入坑linux下的漏洞成因与利用方式,首先从认识开始,一步步为自己的学习做一些总结。 0x00 什么是 要想知道的漏洞与利用方式,就必须要了解,知己知彼,才能百战不胜嘛,是不是? 在程序运行过程中,可以动态的为程序提供内存空间,并允许程序申请未知大小的空间,与栈不同,从低地址向高地址增长,并且一经分配,交由linux中的管理器来管理。 我主要学习的是目前linux所使...
ctf——pwn的基础知识
m0_64195960的博客
04-24 2938
1前言 一、笔者想说 笔者是一个不大聪明的pwn的新手,这是我根据《ctf权威竞赛指南》,b站课程,一些师傅的博客,ctfviki做的笔记,便于学习和复习 如果有错误的地方还请给位师傅指正 二、调试 下面所展示的gdb调试是根据一下调试的 注意: 1、调试记得执行到malloc后再去查看 2、记得编译 一、glibc概述 1)概述 是程序虚拟内存中由低地址向高地址增长的线性区域,出于效率和页对齐的考虑,通常会分配相当大的连续内存。程序再次申请时便会从这片内存中分配,直到空间
8.pwn入门新手学详细笔记
qiudalaojiao的博客
02-21 936
这几天打算跟着wiki学习 就自己练习了一下 然后写到自己的csdn重复的记 哎 菜鸡的求生之路 题目网址 rop简介 很多程序开了nx保护,所以我们要通过rop 主要思想是在栈缓冲区的基础上 利用程序中已有的gadgets来改变某些寄存器或者变量的值,从而控制程序的执行流程 gadgets就是 以ret结尾的指令序列,通过这些指令序列 我们可以修改某些地址的内容,方便控制程序的之执行流程 ro...
入门
萍水间人的小天地
04-07 113
的系统调用 实例代码 /* sbrk and brk example */ #include <stdio.h> #include <unistd.h> #include <sys/types.h> int main() { void *curr_brk, *tmp_brk = NULL; printf("W...
入门
qq_42873161的博客
08-20 184
1.1 概念 1.逻辑上是一棵完全二叉树 2.物理是保存在数组中 3.满足任意结点的值都大于其子树中结点的值,叫做大,反之,则是小 4.的基本作用是快速找集合中的最值 小根及存储方式1.2 操作 - 向下调整 1.首先调整子结构,子结构变成大(小),从最小的树开始。(最后一个非叶子结点=(n-2)/2 n表示size) 2.在已经调整好的结构上继续调整更大的结构 3.直至调整到根节点结束 public class Heap{ public static void swap(i
入门的必备基础知识
dfdhxb995397的博客
10-12 144
i春秋作家:W1ngs 原文来自:入门的必备基础知识 前言 的利用相对于栈溢出和格式化字符串会复杂很多,这里对的一些基本知识点和实现原理进行了一些小小的总结,写的如有不当恳请大佬们斧正。 的实现原理 对操作的是由管理器来实现的,而不是操作系统内核。因为程序每次申请或者释放时都需要进行系统调用,系统调用的开销巨大,当频繁进行操作时,就会严重影响程序的性能 ...
简单入门
码农在途的博客
04-07 133
简单入门」 文章内容来自于对王争老师《数据结构与算法之美》栏的学习整理。 是一种特殊的完全二叉树。每一个节点都大于等于 / 小于等于它的子节点。 入门要求: 熟悉数组 了解链表 熟悉排序 理解什么是二叉树 排序的基础概念 基本概念 大顶,完全二叉树 中的每一个结点都大于等于它的子节点。 小顶,完全二叉树 每一个结点都小于等于它的子节点。 通常用数组来表示,方便中数据的读取。 实...
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值