double free
漏洞原理
Double Free其实就是一种在free时利用伪造chunk并且欺骗操作系统,达到修改内存的目的。
基本知识点
先大概说下基本知识。 不管是在正在使用的还是释放的chunk,其数据结构是差不多一样的,差别在于prev_size、’fd’和’bk’,prev_size只有前一个chunk是free状态才会放置其大小,后两个只有当前chunk是free状态才会有,不然只会存放数据。
struct malloc_chunk {
INTERNAL_SIZE_T prev_size; /*如果前一个chunk是free状态,则为其大小*/
INTERNAL_SIZE_T size; /*包含头部在内的chunk的大小*/
struct malloc_chunk * fd; /*如果此chunk释放,此为指向上一个释放chunk的指针*/
struct malloc_chunk * bk; /*与上同样,指向下一个释放chunk*/
}在64位操作系统上,由于堆的分配大小是8字节对齐的,所以pre_size和size后3bit都为0,为了节省空间,glibc把size的后三位用于3个标志位,分别表示:
- PREV_INUSE (P) –标示前一个chunk的分配在用状态。
- IS_MMAPPED (M) – 标示通过mmap分配。
- NON_MAIN_ARENA (N) – 标示此chunk属于线程arena。
关于堆的分配,还需要说明下,堆管理中的chunk指针是指向chunk头部,大小也是包括头部的,而用户申请的大小只是数据空间的大小,返回的指针也是指向数据空间。
malloc
来分析个很简单的程序,这边以64位为例。
int main(int argc, char **argv)
{char * buf=malloc(32);strcpy(buf,"hello world");char * buf1=malloc(504);char * buf2=malloc(512);memset(buf1,'1',504);memset(buf2,'2',512);free(buf1);free(buf2);free(buf);return 0;
}整个chunk是从0x1c06000开始的,malloc返回的是数据地址也就是0x1c06010,相差0x10,也就是pro_size和size的长度。从下图可以看到第一个红框0x31表示的是整个chunk长度为0x30,前一个chunck处于使用状态
free
第一次free时,可以得到main erana的fastbin地址,这边有点难以理解,建议先去了解malloc 过程http://blog.csdn.net/maokelong95/article/details/51989081
定位到0x7FF832A927B8+C和0x7FF832A927B8+8记录了buf1的地址,也就是fd,bk都为buf1的chunk
第二次free,发现0x7FF832A927B8+C变为0x7FF832A927B8
分析
存在一具有写权限的全局变量ptr指向buf1,如果让buf1释放后fd为指向ptr-0x18(0x234f010-3*0x8),那么在free buf2时,ptr就会指向ptr-0x18(0x234f010-3*0x8),这时候修改*ptr不再是buf1的内容,而是ptr-0x18开始的内存。
参考资料:
https://bbs.pediy.com/thread-218395.htm
https://sploitfun.wordpress.com/2015/02/10/understanding-glibc-malloc/comment-page-1/
double free相关推荐
- 单例模式的两种实现方式对比:DCL (double check idiom)双重检查 和 lazy initialization holder class(静态内部类)...
首先这两种方式都是延迟初始化机制,就是当要用到的时候再去初始化. 但是Effective Java书中说过:除非绝对必要,否则就不要这么做. 1. DCL (double checked lockin ...
- java double转换符_java中字符串怎么转换成double类型
展开全部 public class Demo { public static void main(String[] args) { Demo demo = new Demo(); String str ...
- java中将int转换float_在java中将float和double转换为int时有什么区别?
我用这些语句来测试 float f=4.35f; int i=(int)(f*100); System.out.println(i); double d=4.35; i=(int)(d*100); S ...
- C语言:十六进制(HEX)和浮点类型(float、double)转换
目录 1.浮点类型转换为十六进制 方法1:用地址用指针 方法2:用共用体 方法3: 使用memcpy 2.十六进制转换为浮点类型 近日在研究Modbus协议的时候遇到这样一个情况:使用ModScan3 ...
- double int char 数据类型
贴心的limits... 测试代码: #include <iostream> #include <stdio.h> #include <limits> #inclu ...
- c++ double 只输出五位_c 语言第四章 在控制台上数据的输入和输出
1 数据输出 我们之前已经使用过printf()函数来实现数据在控制台上输出 #include<stdio.h> int main(){printf("hello world&q ...
- swift string,Int,Double相互转换
import UIKitvar str = "Hello, playground" // 1 字符串转Int Double Float var str1 = "818&q ...
- double和float计算精度不准的问题
2019独角兽企业重金招聘Python工程师标准>>> 1.首先我们要知道float和double型,的底层实现是二进制的.十进制中的一个有限位数小数,转换成二进制就不一定是有限位数 ...
- java.sql.SQLException: Data truncation: Truncated incorrect DOUBLE value
mysql 报这个异常:java.sql.SQLException: Data truncation: Truncated incorrect DOUBLE value update 表名 set c ...
- Java中比较两个Double类型数据的大小
在java中int类型比较可以用"==",而double类型的数据不能用"= ="比较,否则得到永不相等的结果. 一般可以Double的doubleToLong ...
最新文章
- vivo7.0系统机器(亲测有效)激活Xposed框架的教程
- 2021年人工智能的四大趋势
- 网络营销推广软件教你学会单页面SEO优化技巧,轻松赢流量!
- 走近Java模块化系统OSGi
- 总结了点React,咱也不敢说
- Python 计算机视觉(十二)—— OpenCV 进行图像分割
- ORA-16019: cannot use LOG_ARCHIVE_DEST_1 解决方法
- Windows8 64位运行Silverlight程序不能访问WCF的解决方案
- win8学习--------File
- android开发学习 ------- json数据与实体类之间的相互转换
- POJ 1183 反正切函数的应用
- 2018计算机核心期刊,2018中国科技核心期刊目录!!!!
- WinCE下Touch Panel驱动介绍
- Tensorflow 笔记 Ⅳ——mnist手写数字识别
- 记录百度点击登录无响应及百度搜索显示异常
- 「地埋式积水监测站」智慧防汛,科技先行
- 苹果开发者账号可以创建多少测试证书_苹果开发者账号对应生成的证书都有哪些...
- c++ MFC 画笔画一个圆形
- python小白系列2
- 数据库系统(DBS)2