unlink

htARTE（HackTricks AWS Red Team Expert）を使用して、ゼロからヒーローまでAWSハッキングを学びましょう！

他のHackTricksのサポート方法：

HackTricksで企業を宣伝したい、またはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
公式PEASS＆HackTricksのグッズを入手する
The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
**💬 Discordグループ**に参加するか、telegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローする
ハッキングテクニックを共有するために、PRを HackTricks および HackTricks Cloud のGitHubリポジトリに提出してください。

コード

// From https://github.com/bminor/glibc/blob/master/malloc/malloc.c

/* Take a chunk off a bin list.  */
static void
unlink_chunk (mstate av, mchunkptr p)
{
if (chunksize (p) != prev_size (next_chunk (p)))
malloc_printerr ("corrupted size vs. prev_size");

mchunkptr fd = p->fd;
mchunkptr bk = p->bk;

if (__builtin_expect (fd->bk != p || bk->fd != p, 0))
malloc_printerr ("corrupted double-linked list");

fd->bk = bk;
bk->fd = fd;
if (!in_smallbin_range (chunksize_nomask (p)) && p->fd_nextsize != NULL)
{
if (p->fd_nextsize->bk_nextsize != p
|| p->bk_nextsize->fd_nextsize != p)
malloc_printerr ("corrupted double-linked list (not small)");

// Added: If the FD is not in the nextsize list
if (fd->fd_nextsize == NULL)
{

if (p->fd_nextsize == p)
fd->fd_nextsize = fd->bk_nextsize = fd;
else
// Link the nexsize list in when removing the new chunk
{
fd->fd_nextsize = p->fd_nextsize;
fd->bk_nextsize = p->bk_nextsize;
p->fd_nextsize->bk_nextsize = fd;
p->bk_nextsize->fd_nextsize = fd;
}
}
else
{
p->fd_nextsize->bk_nextsize = p->bk_nextsize;
p->bk_nextsize->fd_nextsize = p->fd_nextsize;
}
}
}

グラフィカルな説明

unlinkプロセスの素晴らしいグラフィカルな説明をチェックしてください：

セキュリティチェック

チャンクの指定されたサイズが次のチャンクで指定されたprev_sizeと同じかどうかをチェックする
また、P->fd->bk == P および P->bk->fw == P が成立しているかを確認する
チャンクが小さくない場合は、P->fd_nextsize->bk_nextsize == P および P->bk_nextsize->fd_nextsize == P を確認する

リーク

unlinkされたチャンクは割り当てられたアドレスをクリーンアップしないため、それにアクセスできると、いくつかの興味深いアドレスをリークさせることができます：

Libcリーク：

Pが双方向リンクリストの先頭にある場合、bk はlibc内の malloc_state を指しています
Pが双方向リンクリストの末尾にある場合、fd はlibc内の malloc_state を指しています
双方向リンクリストに空きチャンクが1つだけ含まれている場合、Pは双方向リンクリストにあり、fd と bk の両方が malloc_state 内のアドレスをリークさせることができます。

ヒープリーク：

Pが双方向リンクリストの先頭にある場合、fd はヒープ内の利用可能なチャンクを指しています
Pが双方向リンクリストの末尾にある場合、bk はヒープ内の利用可能なチャンクを指しています
Pが双方向リンクリストにある場合、fd と bk はヒープ内の利用可能なチャンクを指しています

ゼロからヒーローまでのAWSハッキングを学ぶ htARTE（HackTricks AWS Red Team Expert）！

HackTricksをサポートする他の方法：

HackTricksで企業を宣伝したい または HackTricksをPDFでダウンロードしたい 場合は、SUBSCRIPTION PLANS をチェックしてください！
公式PEASS＆HackTricksのグッズを手に入れる
The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
💬 Discordグループ に参加するか、telegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローする
HackTricks および HackTricks Cloud のgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。

Previousmalloc & sysmalloc NextHeap Functions Security Checks

Last updated 13 days ago