pwn学习笔记(6)--堆基础概述

glibc堆概述:

1.内存管理与堆:

概述:

​ 内存管理是堆计算机的内存资源进行管理,这要求在程序请求时能够动态分配内存的一部分,并在程序不需要时释放分配的内存。CTF竞赛中常见的ptmalloc2就是glibc实现的内存管理机制,它继承了dlmalloc,并提供了对多线程的支持。

​ 堆是程序虚拟内存中由低地址向高地址增长的线性区域。一般只有当用户向操作系统申请内存时,这片区域才会被内核分配出来,并且处于效率和页对齐的考虑,通常会分配相当大的连续内存。程序再次申请时便会从这片内存中分配,直到堆空间不能满足时才会再次增长。堆的位置一般在BSS段高地址处。

brk()和sbrk():

​ 堆的属性是可读可写的,大小通过brk()和sbrk()函数进行控制。在堆未初始化时,program_break指向BSS段的末尾,通过调用brk()和sbrk()来移动program_break使得堆增长。在堆初始化时,如果开启了ASLR,则堆的起始地址start_brk会在BSS段之后的随机位移出,如果没有开启,则start_brk会紧接着BSS段。

​ 两个函数相关内容如下:

#include <unistd.h>
int brk(void* end_data_segment);
void *sbrk(intptr_t increment);

在这里插入图片描述

​ brk()函数的参数是一个指针,用于设置program_break指向的位置。sbrk()函数的参数increment(可以是负值)用于与program_break相加来调整program_break的值。成功执行后brk()函数会返回 0 ,sbrk()函数会返回上一次program_break值(可以设置参数increment为0来获得当前program_break的值)。

mmap()和unmmap():

​ 当用户申请内存过大时,ptmalloc2会选择通过mmap()函数创建匿名映射段供用户使用,并通过unmmap()函数回收。

glibc中的堆:

​ 通常来说,系统中的堆指的是主线程中main_arena所管理的区域。但glibc会同时维持多个区域来供多线程使用,每个线程都有属于自己的内存(成为arena),这些连续的内存也可以成为堆。

​ glibc的想法是:当用户申请堆块时,从堆中按顺序分配堆块交给用户,用户保存指向这些堆块的指针;当用户释放堆块时,glibc会将释放的堆块组织成链表;当两块相堆块都为释放状态时将之合并成一个新的堆块;由此解决内存碎片的问题。用户正在使用中的堆块叫作allocated chunk,被释放的堆块叫做free chunk,由free chunk组成的链表叫bin。**我们称呼当前chunk低地址处相邻的chunk为上一个(后面的)chunk,高地址相邻处的chunk为下一个(前面的)chunk。**为了方便管理,glibc 将不同大小范围的chunk组织成不同的bin 。如fast bin 、small bin 、large bin 等,在这些链表中的chunk分别叫作fast chunk 、small chunk 和large chunk 。

2.重要概念和结构体:

arena:

​ arena 包含一片或数片连续的内存,堆块将会从这片区域划分给用户。主线程的 arena 被称为 main_arena,它包含 start_brk 和 brk 之间的这片连续内存。

​ 主线程的 arena 只有堆,子线程的 arena 可以有数片连续内存。如果主线程的堆大小不够分的话可以通过brk()调用来扩展,但是子线程分配的映射段大小是固定的,不可以扩展,所以子线程分配出来的一段映射段不够用的话就需要再次使用mmap()来分配新的内存。

heap_info结构体:

​ 如之前所说,子线程的 arena 可以有多片连续内存,这些内存被称为heap。每一个 heap 都有自己的heap header 。其定义如下,heap header 是通过链表相连接的,并且 heap header 里面保存了指向其他所属的 arena 的指针。

typedef struct _heap_info
{mstate ar_ptr;				 	/* Arena for this heap. */struct _heap_info *prev; 			/* Previous heap. */size_t size;   					/* Current size in bytes. */size_t mprotect_size; 			/* Size in bytes that has been mprotectedPROT_READ|PROT_WRITE.  *//* Make sure the following data is properly aligned, particularlythat sizeof (heap_info) + 2 * SIZE_SZ is a multiple ofMALLOC_ALIGNMENT. */char pad[-6 * SIZE_SZ & MALLOC_ALIGN_MASK];
} heap_info;

malloc_state结构体:

​ 每个线程只有一个 arena header,里面保存了bin、top chunk 等信息。主线程的 main_arena 保存在libc.so 的数据段里,其他线程的arena则保存在给该 arena 分配的heap里面。malloc_state定义如下:

struct malloc_state
{/* Serialize access.  */mutex_t mutex;/* Flags (formerly in max_fast).  */int flags;/* Fastbins */mfastbinptr fastbinsY[NFASTBINS];/* Base of the topmost chunk -- not otherwise kept in a bin */mchunkptr top;/* The remainder from the most recent split of a small request */mchunkptr last_remainder;/* Normal bins packed as described above */mchunkptr bins[NBINS * 2 - 2];/* Bitmap of bins */unsigned int binmap[BINMAPSIZE];/* Linked list */struct malloc_state *next;/* Linked list for free arenas.  */struct malloc_state *next_free;/* Memory allocated from the system in this arena.  */INTERNAL_SIZE_T system_mem;INTERNAL_SIZE_T max_system_mem;
};

malloc_chunk结构体:

​ chunk是glibc管理内存的基本单位,整个堆在初始化后会被当成一个free chunk,称之为top chunk ,每次用户请求内存时,如果bins 中没有合适的 chunk ,malloc就会从 top chunk 中进行划分,如果 top chunk 的大小不够,则调用brk()扩展堆的大小,然后从新生成的 top chunk 中进行切分。用户释放内存时,glibc 会先根据情况将释放的 chunk 与其他相邻的 free chunk 合并,然后加入合适的bin中。

​ 下图展示了堆块申请和释放的过程。首先,用户连续申请了三个堆块 A、B、C,此时释放 chunk B ,由于它与 top chunk 不相邻,所以会被放入bin中,成为一个 free chunk。现在再次申请一个与B相同大小的堆块,则 malloc 将从 bin 中取出 chunk B ,回到一开始的状态,bin 的表头也会指向null。。但如果用户连续释放 chunk A 和 chunk B ,由于他们相邻且都是 free chunk ,那么就会被合并成一个大的chunk放入bin中。

在这里插入图片描述

​ 对以上知识有了简单的印象之后,就可以看看chunk的信息是怎么被glibc记录的,下面是malloc chunk的结构体定义:

struct malloc_chunk {INTERNAL_SIZE_T      prev_size;  /* Size of previous chunk (if free).  */INTERNAL_SIZE_T      size;       /* Size in bytes, including overhead. */struct malloc_chunk* fd;         /* double links -- used only if free. */struct malloc_chunk* bk;/* Only used for large blocks: pointer to next larger size.  */struct malloc_chunk* fd_nextsize; /* double links -- used only if free. */struct malloc_chunk* bk_nextsize;
};

​ 在默认情况下,INTERNAL_SIZE_T 的大小在64位系统下是8字节,32位系统下是4字节。以下是关于malloc_chunk的各个成员的功能:

  • prev_size, 如果该 chunk 的**物理相邻的前一地址 chunk(两个指针的地址差值为前一 chunk 大小)**是空闲的话,那该字段记录的是前一个 chunk 的大小 (包括 chunk 头)。否则,该字段可以用来存储物理相邻的前一个 chunk 的数据。这里的前一 chunk 指的是较低地址的 chunk

  • size

    ,该 chunk 的大小,大小必须是 2 * SIZE_SZ 的整数倍。如果申请的内存大小不是 2 * SIZE_SZ 的整数倍,会被转换满足大小的最小的 2 * SIZE_SZ 的倍数。32 位系统中,SIZE_SZ 是 4;64 位系统中,SIZE_SZ 是 8。 该字段的低三个比特位对 chunk 的大小没有影响,它们从高到低分别表示

    • NON_MAIN_ARENA,记录当前 chunk 是否不属于主线程,1 表示不属于,0 表示属于。
    • IS_MAPPED,记录当前 chunk 是否是由 mmap 分配的。
    • PREV_INUSE,记录前一个 chunk 块是否被分配。一般来说,堆中第一个被分配的内存块的 size 字段的 P 位都会被设置为 1,以便于防止访问前面的非法内存。当一个 chunk 的 size 的 P 位为 0 时,我们能通过 prev_size 字段来获取上一个 chunk 的大小以及地址。这也方便进行空闲 chunk 之间的合并。
  • fd,bk

    。 chunk 处于分配状态时,从 fd 字段开始是用户的数据。chunk 空闲时,会被添加到对应的空闲管理链表中,其字段的含义如下

    • fd 指向下一个(非物理相邻)空闲的 chunk
    • bk 指向上一个(非物理相邻)空闲的 chunk
    • 通过 fd 和 bk 可以将空闲的 chunk 块加入到空闲的 chunk 块链表进行统一管理
  • fd_nextsize, bk_nextsize

    ,也是只有 chunk 空闲的时候才使用,不过其用于较大的 chunk(large chunk)。

    • fd_nextsize 指向前一个与当前 chunk 大小不同的第一个空闲块,不包含 bin 的头指针。
    • bk_nextsize 指向后一个与当前 chunk 大小不同的第一个空闲块,不包含 bin 的头指针。
    • 一般空闲的 large chunk 在 fd 的遍历顺序中,按照由大到小的顺序排列。这样做可以避免在寻找合适 chunk 时挨个遍历。

​ 一个已经分配的 chunk 的样子如下。我们称前两个字段称为 chunk header,后面的部分称为 user data。每次 malloc 申请得到的内存指针,其实指向 user data 的起始处,也就是mem处的地址。

​ 当一个 chunk 处于使用状态时,它的下一个 chunk 的 prev_size 域无效,所以下一个 chunk 的该部分也可以被当前 chunk 使用。这就是 chunk 中的空间复用。

chunk-> +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|             Size of previous chunk, if unallocated (P clear)  |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|             Size of chunk, in bytes                     |A|M|P|mem-> +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|             User data starts here...                          ..                                                               ..             (malloc_usable_size() bytes)                      .
next    .                                                               |
chunk-> +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|             (size of chunk, but used for application data)    |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|             Size of next chunk, in bytes                |A|0|1|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

​ 被释放的 chunk 被记录在链表中(可能是循环双向链表,也可能是单向链表)。具体结构如下:

chunk-> +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|             Size of previous chunk, if unallocated (P clear)  |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
`head:' |             Size of chunk, in bytes                     |A|0|P|mem-> +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|             Forward pointer to next chunk in list             |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|             Back pointer to previous chunk in list            |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|             Unused space (may be 0 bytes long)                ..                                                               .next   .                                                               |
chunk-> +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
`foot:' |             Size of chunk, in bytes                           |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|             Size of next chunk, in bytes                |A|0|0|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

3.各类bin介绍:

​ chunk 被释放时,glibc 会将它们重新组织起来,构成不同的 bin 链表,当用户再次申请时,就从中寻找合适的 chunk 返回用户。不同大小区间 chunk 被划分到不同的 bin 中,再加上一种特殊的 bin,一共有四种:Fast bin 、Samll bin 、 Large bin 、和 Unsorted bin 。这些bin记录在 malloc_state 结构中。

  • fastbinsY :这是一个 bin 数组,里面有 NFASTBINS 个 fast bin。
  • bins:也是一个 bin 数组,一共有126个 bin ,按顺序分别是:
    • bin 1 为unsorted bin
    • bin 2到 bin 63 为 small bin
    • bin 64到 bin 126 为large bin

fast bin :

​ 在实践中,程序申请和释放的堆块往往都比较小,所以glibc对这类 bin使用单链表结构,并采用LIFO(后进先出)的分配策略。为了加快速度,fast bin 里的 chunk 不会进行合并操作,所以下一个 chunk 的 PRV_INUSE 始终标记为1,使其处于使用状态。同一个 fast bin 里 chunk 大小相同,并且在 fastbinY 数组里按照从小到大的顺序排列,序号为 0 的fast bin 中容纳的 chunk 大小为 4SIZE_SZ 字节,随着序号增加,所容纳的 chunk 递增 2SIZE_SZ 字节。

在这里插入图片描述

unsorted bin:

​ 一定大小的 chunk 被释放时,在进入 small bin 或者 large bin 之前,会先加入 unsorted bin 。在实践中,一个释放的 chunk 常常很快就会被重新使用,所以将其先加入 unsorted bin 可以加快分配的速度。 unsorted bin 使用双链表结构,并采用FIFO(先进先出)的分配策略。与fastbinY 不同,unsorted bin 中的 chunk 大小可能是不同的,并且由于是双向链表结构,一个 bin 会占用 bins 的两个元素。

small bin:

​ 同一个 small bin 里 chunk 的大小相同,采用双链表结构,使用频率介于 fast bin 和 large bin 之间。small bin 在 bins 里居第2到63位,共62个。根据排序,每个 small bin 的大小为2SIZE_SZinx(idx表示bins数组的下标)。在64位系统下,最小的 small chunk 为2*8*2=32 字节,最大的 small chunk 为 2*8*63=1008 字节。由于 small bin 和 fast bin 有重合的部分,所以这些 chunk 在某些情况下会被加入 small bin 中。

large bin:

​ large bin 在 bins 里居 64 到 126 位,共 63 个,被分成了 6 组,每组 bin 所能容纳的chunk按顺序排成等差数列,公差分别如下:

32 bins of size			64
16 bins of size		   5128 bins of size		  40964 bins of size		 327682 bins of size		2621441 bin  of size		what'sleft

​ 32位系统下第一个 large bin 的 chunk 最小为512字节,第二个large bin的额 chunk 最小为 512+64字节(处于[512,512+64]之间的chunk都属于第一个large bin),以此类推。64位系统也是一样的,第一个 large bin 的chunk最小为1024字节,第二个large bin 的chunk 最小为 1024+64字节(处于[1024,1024+64]之间的chunk都属于第一个large bin)以此类推。

​ large bin 也是采用双链表结构,里面的chunk 从头节点的fd指针开始,按大小顺序进行排列。为了加快检索速度,fd_nextsize 和 bk_nextsize 指针用于指向第一个与自己大小不同的chunk时,所以也只有在加入了大小不同的chunk时,这两个指针才会被修改。

参考资料:

​ 《CTF竞赛权威指南 pwn 篇》

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/571104.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【gitee】设置忽略文件.gitignore的方法

已经提交在 gitee 上的文件&#xff0c;再设置忽略文件.gitignore&#xff0c;怎么成立 忽略已经提交的文件&#xff0c;可以使用以下命令将这些文件从Git中移除&#xff08;但是保留在本地文件系统中&#xff09;&#xff1a; git rm --cached <file_name>//例&#x…

spring 的理解

spring 的理解 spring 是一个基础的框架&#xff0c;同时提高了一个Bean 的容器&#xff0c;用来装载Bean对象spring会帮我们创建Bean 对象并维护Bean对象 的生命周期。在spring 框架上&#xff0c;还有springCloud,spring Boot 的技术框架&#xff0c;都是以Spring为基石的sp…

华为云服务器租用价格_云服务器优惠活动_2024年新版报价

2024年华为云服务器租用价格表&#xff0c;云服务器优惠价格35元一年&#xff0c;配置为1核2G1M带宽HECS云服务器、L实例-2核2G3M配置46元1年、4核16G10M华为云服务器24元一个月、2核4G5M服务器158元一年&#xff0c;3年1010元、华为云香港服务器99元一年、增强型C7云服务器4核…

#Linux系统编程(守护进程)

&#xff08;一&#xff09;发行版&#xff1a;Ubuntu16.04.7 &#xff08;二&#xff09;记录&#xff1a; &#xff08;1&#xff09;守护进程基本概念 a.守护进程是一个生存周期较长的进程&#xff0c;通常独立于控制终端并且周期性的执行某种任务或者等待处理某些待发生的…

为什么requests不是python标准库?

在知乎上看到有人问&#xff1a;为什么requests不是python标准库&#xff1f; 这确实是部分人困惑的问题&#xff0c;requests作为python最受欢迎的http请求库&#xff0c;已经成为爬虫必备利器&#xff0c;为什么不把requests直接装到python标准库里呢&#xff1f;可以省去第…

「媒体宣传」财经类媒体邀约资源有哪些?-51媒体

传媒如春雨&#xff0c;润物细无声&#xff0c;大家好&#xff0c;我是51媒体网胡老师。 财经类媒体邀约资源包括但不限于以下几类&#xff1a; 商业杂志和报纸&#xff1a;可以邀请如《财经》、《新财富》、《经济观察报》等主流商业杂志和报纸。这些媒体通常具有较强的品牌影…

动态内存函数的使用和综合实践-malloc,free,realloc,calloc

什么是动态内存 动态内存是指在程序运行过程中可以被分配和释放的内存空间。这与静态内存分配相对&#xff0c;静态内存分配是在程序编译时就已经确定的内存空间&#xff0c;其大小在程序运行期间固定不变。 在许多编程语言中&#xff0c;特别是在C语言中&#xff0c;动态内存…

js实现拖放效果

dataTransfer对象 说明&#xff1a;dataTransfer对象用于从被拖动元素向放置目标传递字符串数据。因为这个对象是 event 的属性&#xff0c;所以在拖放事件的事件处理程序外部无法访问 dataTransfer。在事件处理程序内部&#xff0c;可以使用这个对象的属性和方法实现拖放功能…

基于Java的校园疫情防控管理系统(Vue.js+SpringBoot)

目录 一、摘要1.1 项目介绍1.2 项目录屏 二、功能模块2.1 学生2.2 老师2.3 学校管理部门 三、系统展示四、核心代码4.1 新增健康情况上报4.2 查询健康咨询4.3 新增离返校申请4.4 查询防疫物资4.5 查询防控宣传数据 五、免责说明 一、摘要 1.1 项目介绍 基于JAVAVueSpringBoot…

element+Vue2,在一个页面跳转到另一个页面,并自动选中table的某一行

需求&#xff1a;点击A页面的某处&#xff0c;跳转到B页面并选中B页面表格的某一行&#xff08;点击B页面的搜索后需要清空默认选择的状态&#xff09;环境&#xff1a;vue2、element的table&#xff0c;table允许多选知识点&#xff1a;主要使用到table的这两属性&#xff1a;…

【每日跟读】常用英语500句(100~200)

【每日跟读】常用英语500句 My apologies. 我向你道歉 Mayday. 求救 I’m begging you. 我求你了 Allow me. 让我来 That’s for sure. 那是肯定的 I wish I could. 我希望我能 Don’t leave me. 别离开我 You suck. 你太烂了 In that case. 这样的话 From now on. 从…

【工具-MobaXterm】

MobaXterm ■ MobaXterm-简介■ MobaXterm-下载安装■ MobaXterm-(Session Settings)■ SSH■ Telnet■ Rsh (remote shell)■ Xdmcp■ RDP■ VNC (Virtual Network Console)■ FTP (文件传输)■ SFTP■ Serial■ File■ Shell■ Browser■ Mosh&#xff08;Mobile Shell)■ Aw…