unlink

Aprenda e pratique Hacking AWS: HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Suporte ao HackTricks

Verifique os planos de assinatura!
Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe truques de hacking enviando PRs para os repositórios HackTricks e HackTricks Cloud.

Código

// From https://github.com/bminor/glibc/blob/master/malloc/malloc.c

/* Take a chunk off a bin list.  */
static void
unlink_chunk (mstate av, mchunkptr p)
{
if (chunksize (p) != prev_size (next_chunk (p)))
malloc_printerr ("corrupted size vs. prev_size");

mchunkptr fd = p->fd;
mchunkptr bk = p->bk;

if (__builtin_expect (fd->bk != p || bk->fd != p, 0))
malloc_printerr ("corrupted double-linked list");

fd->bk = bk;
bk->fd = fd;
if (!in_smallbin_range (chunksize_nomask (p)) && p->fd_nextsize != NULL)
{
if (p->fd_nextsize->bk_nextsize != p
|| p->bk_nextsize->fd_nextsize != p)
malloc_printerr ("corrupted double-linked list (not small)");

// Added: If the FD is not in the nextsize list
if (fd->fd_nextsize == NULL)
{

if (p->fd_nextsize == p)
fd->fd_nextsize = fd->bk_nextsize = fd;
else
// Link the nexsize list in when removing the new chunk
{
fd->fd_nextsize = p->fd_nextsize;
fd->bk_nextsize = p->bk_nextsize;
p->fd_nextsize->bk_nextsize = fd;
p->bk_nextsize->fd_nextsize = fd;
}
}
else
{
p->fd_nextsize->bk_nextsize = p->bk_nextsize;
p->bk_nextsize->fd_nextsize = p->fd_nextsize;
}
}
}

Explicação Gráfica

Confira esta ótima explicação gráfica do processo de unlink:

Verificações de Segurança

Verificar se o tamanho indicado do chunk é o mesmo que o prev_size indicado no próximo chunk
Verificar também se P->fd->bk == P e P->bk->fw == P
Se o chunk não for pequeno, verificar se P->fd_nextsize->bk_nextsize == P e P->bk_nextsize->fd_nextsize == P

Vazamentos

Um chunk desvinculado não limpa os endereços alocados, então, tendo acesso a ele, é possível vazar alguns endereços interessantes:

Vazamentos do Libc:

Se P estiver localizado no início da lista duplamente encadeada, bk apontará para malloc_state no libc
Se P estiver localizado no final da lista duplamente encadeada, fd apontará para malloc_state no libc
Quando a lista duplamente encadeada contém apenas um chunk livre, P está na lista duplamente encadeada, e tanto fd quanto bk podem vazar o endereço dentro de malloc_state.

Vazamentos do Heap:

Se P estiver localizado no início da lista duplamente encadeada, fd apontará para um chunk disponível no heap
Se P estiver localizado no final da lista duplamente encadeada, bk apontará para um chunk disponível no heap
Se P estiver na lista duplamente encadeada, tanto fd quanto bk apontarão para um chunk disponível no heap

Previousmalloc & sysmalloc NextHeap Functions Security Checks

Last updated 1 month ago