unlink

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Podržite HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Code

// From https://github.com/bminor/glibc/blob/master/malloc/malloc.c

/* Take a chunk off a bin list.  */
static void
unlink_chunk (mstate av, mchunkptr p)
{
if (chunksize (p) != prev_size (next_chunk (p)))
malloc_printerr ("corrupted size vs. prev_size");

mchunkptr fd = p->fd;
mchunkptr bk = p->bk;

if (__builtin_expect (fd->bk != p || bk->fd != p, 0))
malloc_printerr ("corrupted double-linked list");

fd->bk = bk;
bk->fd = fd;
if (!in_smallbin_range (chunksize_nomask (p)) && p->fd_nextsize != NULL)
{
if (p->fd_nextsize->bk_nextsize != p
|| p->bk_nextsize->fd_nextsize != p)
malloc_printerr ("corrupted double-linked list (not small)");

// Added: If the FD is not in the nextsize list
if (fd->fd_nextsize == NULL)
{

if (p->fd_nextsize == p)
fd->fd_nextsize = fd->bk_nextsize = fd;
else
// Link the nexsize list in when removing the new chunk
{
fd->fd_nextsize = p->fd_nextsize;
fd->bk_nextsize = p->bk_nextsize;
p->fd_nextsize->bk_nextsize = fd;
p->bk_nextsize->fd_nextsize = fd;
}
}
else
{
p->fd_nextsize->bk_nextsize = p->bk_nextsize;
p->bk_nextsize->fd_nextsize = p->fd_nextsize;
}
}
}

Grafičko Objašnjenje

Pogledajte ovo odlično grafičko objašnjenje procesa unlink:

Bezbednosne Provere

Proverite da li je naznačena veličina chunk-a ista kao prev_size naznačen u sledećem chunk-u
Takođe proverite da P->fd->bk == P i P->bk->fw == P
Ako chunk nije mali, proverite da P->fd_nextsize->bk_nextsize == P i P->bk_nextsize->fd_nextsize == P

Curjenja

Unlinked chunk ne čisti alocirane adrese, tako da, imajući pristup da ga pročitate, moguće je curiti neke zanimljive adrese:

Libc curenja:

Ako je P smešten u glavi dvostruko povezanog spiska, bk će pokazivati na malloc_state u libc
Ako je P smešten na kraju dvostruko povezanog spiska, fd će pokazivati na malloc_state u libc
Kada dvostruko povezani spisak sadrži samo jedan slobodan chunk, P je u dvostruko povezanom spisku, i oba fd i bk mogu curiti adresu unutar malloc_state.

Curenja iz heap-a:

Ako je P smešten u glavi dvostruko povezanog spiska, fd će pokazivati na dostupni chunk u heap-u
Ako je P smešten na kraju dvostruko povezanog spiska, bk će pokazivati na dostupni chunk u heap-u
Ako je P u dvostruko povezanom spisku, oba fd i bk će pokazivati na dostupni chunk u heap-u

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Podrška HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitter-u 🐦 @hacktricks_live.
Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Previousmalloc & sysmalloc NextHeap Functions Security Checks

Last updated 11 days ago