unlink

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Υποστηρίξτε το HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε 💬 στην ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα χάκερ υποβάλλοντας PRs στα αποθετήρια HackTricks και HackTricks Cloud.

Κώδικας

// From https://github.com/bminor/glibc/blob/master/malloc/malloc.c

/* Take a chunk off a bin list.  */
static void
unlink_chunk (mstate av, mchunkptr p)
{
if (chunksize (p) != prev_size (next_chunk (p)))
malloc_printerr ("corrupted size vs. prev_size");

mchunkptr fd = p->fd;
mchunkptr bk = p->bk;

if (__builtin_expect (fd->bk != p || bk->fd != p, 0))
malloc_printerr ("corrupted double-linked list");

fd->bk = bk;
bk->fd = fd;
if (!in_smallbin_range (chunksize_nomask (p)) && p->fd_nextsize != NULL)
{
if (p->fd_nextsize->bk_nextsize != p
|| p->bk_nextsize->fd_nextsize != p)
malloc_printerr ("corrupted double-linked list (not small)");

// Added: If the FD is not in the nextsize list
if (fd->fd_nextsize == NULL)
{

if (p->fd_nextsize == p)
fd->fd_nextsize = fd->bk_nextsize = fd;
else
// Link the nexsize list in when removing the new chunk
{
fd->fd_nextsize = p->fd_nextsize;
fd->bk_nextsize = p->bk_nextsize;
p->fd_nextsize->bk_nextsize = fd;
p->bk_nextsize->fd_nextsize = fd;
}
}
else
{
p->fd_nextsize->bk_nextsize = p->bk_nextsize;
p->bk_nextsize->fd_nextsize = p->fd_nextsize;
}
}
}

Γραφική Εξήγηση

Ελέγξτε αυτήν την εξαιρετική γραφική εξήγηση της διαδικασίας unlink:

Έλεγχοι Ασφαλείας

Ελέγξτε αν το υποδειγμένο μέγεθος του κομματιού είναι το ίδιο με το prev_size που υποδεικνύεται στο επόμενο κομμάτι
Ελέγξτε επίσης ότι P->fd->bk == P και P->bk->fw == P
Αν το κομμάτι δεν είναι μικρό, ελέγξτε ότι P->fd_nextsize->bk_nextsize == P και P->bk_nextsize->fd_nextsize == P

Διαρροές

Ένα αποσυνδεδεμένο κομμάτι δεν καθαρίζει τις εκχωρημένες διευθύνσεις, οπότε έχοντας πρόσβαση σε αυτό, είναι δυνατή η διαρροή ορισμένων ενδιαφερουσών διευθύνσεων:

Διαρροές Libc:

Αν το P βρίσκεται στην αρχή της διπλά συνδεδεμένης λίστας, το bk θα δείχνει στο malloc_state στο libc
Αν το P βρίσκεται στο τέλος της διπλά συνδεδεμένης λίστας, το fd θα δείχνει στο malloc_state στο libc
Όταν η διπλά συνδεδεμένη λίστα περιέχει μόνο ένα ελεύθερο κομμάτι, το P βρίσκεται στη διπλά συνδεδεμένη λίστα και τόσο το fd όσο και το bk μπορούν να διαρρεύσουν τη διεύθυνση μέσα στο malloc_state.

Διαρροές Heap:

Αν το P βρίσκεται στην αρχή της διπλά συνδεδεμένης λίστας, το fd θα δείχνει σε ένα διαθέσιμο κομμάτι στη στοίβα
Αν το P βρίσκεται στο τέλος της διπλά συνδεδεμένης λίστας, το bk θα δείχνει σε ένα διαθέσιμο κομμάτι στη στοίβα
Αν το P βρίσκεται στη διπλά συνδεδεμένη λίστα, τόσο το fd όσο και το bk θα δείχνουν σε ένα διαθέσιμο κομμάτι στη στοίβα

Previousmalloc & sysmalloc NextHeap Functions Security Checks

Last updated 1 month ago