unlink

Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstütze HackTricks

Überprüfe die Abonnementpläne!
Tritt der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folge uns auf Twitter 🐦 @hacktricks_live.
Teile Hacking-Tricks, indem du PRs zu den HackTricks und HackTricks Cloud GitHub-Repos einreichst.

Code

// From https://github.com/bminor/glibc/blob/master/malloc/malloc.c

/* Take a chunk off a bin list.  */
static void
unlink_chunk (mstate av, mchunkptr p)
{
if (chunksize (p) != prev_size (next_chunk (p)))
malloc_printerr ("corrupted size vs. prev_size");

mchunkptr fd = p->fd;
mchunkptr bk = p->bk;

if (__builtin_expect (fd->bk != p || bk->fd != p, 0))
malloc_printerr ("corrupted double-linked list");

fd->bk = bk;
bk->fd = fd;
if (!in_smallbin_range (chunksize_nomask (p)) && p->fd_nextsize != NULL)
{
if (p->fd_nextsize->bk_nextsize != p
|| p->bk_nextsize->fd_nextsize != p)
malloc_printerr ("corrupted double-linked list (not small)");

// Added: If the FD is not in the nextsize list
if (fd->fd_nextsize == NULL)
{

if (p->fd_nextsize == p)
fd->fd_nextsize = fd->bk_nextsize = fd;
else
// Link the nexsize list in when removing the new chunk
{
fd->fd_nextsize = p->fd_nextsize;
fd->bk_nextsize = p->bk_nextsize;
p->fd_nextsize->bk_nextsize = fd;
p->bk_nextsize->fd_nextsize = fd;
}
}
else
{
p->fd_nextsize->bk_nextsize = p->bk_nextsize;
p->bk_nextsize->fd_nextsize = p->fd_nextsize;
}
}
}

Grafische Erklärung

Überprüfen Sie diese großartige grafische Erklärung des Unlink-Prozesses:

Sicherheitsprüfungen

Überprüfen Sie, ob die angegebene Größe des Chunks mit der prev_size übereinstimmt, die im nächsten Chunk angegeben ist
Überprüfen Sie auch, dass P->fd->bk == P und P->bk->fw == P
Wenn der Chunk nicht klein ist, überprüfen Sie, dass P->fd_nextsize->bk_nextsize == P und P->bk_nextsize->fd_nextsize == P

Leaks

Ein unlinked Chunk reinigt die zugewiesenen Adressen nicht, daher ist es möglich, einige interessante Adressen zu leaken, wenn man Zugriff darauf hat:

Libc Leaks:

Wenn P sich am Kopf der doppelt verketteten Liste befindet, zeigt bk auf malloc_state in libc
Wenn P am Ende der doppelt verketteten Liste liegt, zeigt fd auf malloc_state in libc
Wenn die doppelt verkettete Liste nur einen freien Chunk enthält, befindet sich P in der doppelt verketteten Liste, und sowohl fd als auch bk können die Adresse innerhalb von malloc_state leaken.

Heap-Leaks:

Wenn P sich am Kopf der doppelt verketteten Liste befindet, zeigt fd auf einen verfügbaren Chunk im Heap
Wenn P am Ende der doppelt verketteten Liste liegt, zeigt bk auf einen verfügbaren Chunk im Heap
Wenn P in der doppelt verketteten Liste ist, zeigen sowohl fd als auch bk auf einen verfügbaren Chunk im Heap

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Überprüfen Sie die Abonnementpläne!
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

Previousmalloc & sysmalloc NextHeap Functions Security Checks

Last updated 5 days ago