unlink

Apoya a HackTricks

Código

// From https://github.com/bminor/glibc/blob/master/malloc/malloc.c

/* Take a chunk off a bin list.  */
static void
unlink_chunk (mstate av, mchunkptr p)
{
if (chunksize (p) != prev_size (next_chunk (p)))
malloc_printerr ("corrupted size vs. prev_size");

mchunkptr fd = p->fd;
mchunkptr bk = p->bk;

if (__builtin_expect (fd->bk != p || bk->fd != p, 0))
malloc_printerr ("corrupted double-linked list");

fd->bk = bk;
bk->fd = fd;
if (!in_smallbin_range (chunksize_nomask (p)) && p->fd_nextsize != NULL)
{
if (p->fd_nextsize->bk_nextsize != p
|| p->bk_nextsize->fd_nextsize != p)
malloc_printerr ("corrupted double-linked list (not small)");

// Added: If the FD is not in the nextsize list
if (fd->fd_nextsize == NULL)
{

if (p->fd_nextsize == p)
fd->fd_nextsize = fd->bk_nextsize = fd;
else
// Link the nexsize list in when removing the new chunk
{
fd->fd_nextsize = p->fd_nextsize;
fd->bk_nextsize = p->bk_nextsize;
p->fd_nextsize->bk_nextsize = fd;
p->bk_nextsize->fd_nextsize = fd;
}
}
else
{
p->fd_nextsize->bk_nextsize = p->bk_nextsize;
p->bk_nextsize->fd_nextsize = p->fd_nextsize;
}
}
}

Explicación Gráfica

Consulta esta gran explicación gráfica del proceso unlink:

Comprobaciones de Seguridad

  • Verifica si el tamaño indicado del chunk es el mismo que el prev_size indicado en el siguiente chunk

  • Verifica también que P->fd->bk == P y P->bk->fw == P

  • Si el chunk no es pequeño, verifica que P->fd_nextsize->bk_nextsize == P y P->bk_nextsize->fd_nextsize == P

Fugas

Un chunk desvinculado no limpia las direcciones asignadas, por lo que al tener acceso a él, es posible filtrar algunas direcciones interesantes:

Fugas de Libc:

  • Si P está ubicado en la cabeza de la lista doblemente enlazada, bk apuntará a malloc_state en libc

  • Si P está ubicado al final de la lista doblemente enlazada, fd apuntará a malloc_state en libc

  • Cuando la lista doblemente enlazada contiene solo un chunk libre, P está en la lista doblemente enlazada, y tanto fd como bk pueden filtrar la dirección dentro de malloc_state.

Fugas de Heap:

  • Si P está ubicado en la cabeza de la lista doblemente enlazada, fd apuntará a un chunk disponible en el heap

  • Si P está ubicado al final de la lista doblemente enlazada, bk apuntará a un chunk disponible en el heap

  • Si P está en la lista doblemente enlazada, tanto fd como bk apuntarán a un chunk disponible en el heap

Support HackTricks

Last updated