unlink

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks का समर्थन करें

सदस्यता योजनाएँ देखें!
हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमारे Twitter 🐦 @hacktricks_live** का पालन करें।**
हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PR सबमिट करें।

Code

// From https://github.com/bminor/glibc/blob/master/malloc/malloc.c

/* Take a chunk off a bin list.  */
static void
unlink_chunk (mstate av, mchunkptr p)
{
if (chunksize (p) != prev_size (next_chunk (p)))
malloc_printerr ("corrupted size vs. prev_size");

mchunkptr fd = p->fd;
mchunkptr bk = p->bk;

if (__builtin_expect (fd->bk != p || bk->fd != p, 0))
malloc_printerr ("corrupted double-linked list");

fd->bk = bk;
bk->fd = fd;
if (!in_smallbin_range (chunksize_nomask (p)) && p->fd_nextsize != NULL)
{
if (p->fd_nextsize->bk_nextsize != p
|| p->bk_nextsize->fd_nextsize != p)
malloc_printerr ("corrupted double-linked list (not small)");

// Added: If the FD is not in the nextsize list
if (fd->fd_nextsize == NULL)
{

if (p->fd_nextsize == p)
fd->fd_nextsize = fd->bk_nextsize = fd;
else
// Link the nexsize list in when removing the new chunk
{
fd->fd_nextsize = p->fd_nextsize;
fd->bk_nextsize = p->bk_nextsize;
p->fd_nextsize->bk_nextsize = fd;
p->bk_nextsize->fd_nextsize = fd;
}
}
else
{
p->fd_nextsize->bk_nextsize = p->bk_nextsize;
p->bk_nextsize->fd_nextsize = p->fd_nextsize;
}
}
}

Graphical Explanation

Check this great graphical explanation of the unlink process:

Security Checks

Check if the indicated size of the chunk is the same as the prev_size indicated in the next chunk
Check also that P->fd->bk == P and P->bk->fw == P
If the chunk is not small, check that P->fd_nextsize->bk_nextsize == P and P->bk_nextsize->fd_nextsize == P

Leaks

एक अनलिंक किया गया चंक आवंटित पते को साफ नहीं कर रहा है, इसलिए इसे पढ़ने के लिए पहुंच होने पर, कुछ दिलचस्प पते लीक करना संभव है:

Libc Leaks:

यदि P डबल लिंक्ड लिस्ट के सिर में स्थित है, तो bk libc में malloc_state की ओर इशारा करेगा
यदि P डबल लिंक्ड लिस्ट के अंत में स्थित है, तो fd libc में malloc_state की ओर इशारा करेगा
जब डबल लिंक्ड लिस्ट में केवल एक फ्री चंक होता है, P डबल लिंक्ड लिस्ट में है, और दोनों fd और bk malloc_state के अंदर का पता लीक कर सकते हैं।

Heap leaks:

यदि P डबल लिंक्ड लिस्ट के सिर में स्थित है, तो fd हीप में एक उपलब्ध चंक की ओर इशारा करेगा
यदि P डबल लिंक्ड लिस्ट के अंत में स्थित है, तो bk हीप में एक उपलब्ध चंक की ओर इशारा करेगा
यदि P डबल लिंक्ड लिस्ट में है, तो दोनों fd और bk हीप में एक उपलब्ध चंक की ओर इशारा करेंगे

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Previousmalloc & sysmalloc NextHeap Functions Security Checks

Last updated 6 days ago

// From https://github.com/bminor/glibc/blob/master/malloc/malloc.c /* Take a chunk off a bin list. */ static void unlink_chunk (mstate av, mchunkptr p) { if (chunksize (p) != prev_size (next_chunk (p))) malloc_printerr ("corrupted size vs. prev_size"); mchunkptr fd = p->fd; mchunkptr bk = p->bk; if (__builtin_expect (fd->bk != p || bk->fd != p, 0)) malloc_printerr ("corrupted double-linked list"); fd->bk = bk; bk->fd = fd; if (!in_smallbin_range (chunksize_nomask (p)) && p->fd_nextsize != NULL) { if (p->fd_nextsize->bk_nextsize != p || p->bk_nextsize->fd_nextsize != p) malloc_printerr ("corrupted double-linked list (not small)"); // Added: If the FD is not in the nextsize list if (fd->fd_nextsize == NULL) { if (p->fd_nextsize == p) fd->fd_nextsize = fd->bk_nextsize = fd; else // Link the nexsize list in when removing the new chunk { fd->fd_nextsize = p->fd_nextsize; fd->bk_nextsize = p->bk_nextsize; p->fd_nextsize->bk_nextsize = fd; p->bk_nextsize->fd_nextsize = fd; } } else { p->fd_nextsize->bk_nextsize = p->bk_nextsize; p->bk_nextsize->fd_nextsize = p->fd_nextsize; } } }