unlink

AWS Hacking'i öğrenin ve uygulayın: HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve uygulayın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)

HackTricks'i Destekleyin

Abonelik planlarını kontrol edin!
💬 Discord grubuna katılın veya telegram grubuna katılın veya bizi Twitter 🐦 @hacktricks_live** takip edin.**
Hacking püf noktalarını paylaşarak PR'ler göndererek HackTricks ve HackTricks Cloud github depolarına katkıda bulunun.

Kod

// From https://github.com/bminor/glibc/blob/master/malloc/malloc.c

/* Take a chunk off a bin list.  */
static void
unlink_chunk (mstate av, mchunkptr p)
{
if (chunksize (p) != prev_size (next_chunk (p)))
malloc_printerr ("corrupted size vs. prev_size");

mchunkptr fd = p->fd;
mchunkptr bk = p->bk;

if (__builtin_expect (fd->bk != p || bk->fd != p, 0))
malloc_printerr ("corrupted double-linked list");

fd->bk = bk;
bk->fd = fd;
if (!in_smallbin_range (chunksize_nomask (p)) && p->fd_nextsize != NULL)
{
if (p->fd_nextsize->bk_nextsize != p
|| p->bk_nextsize->fd_nextsize != p)
malloc_printerr ("corrupted double-linked list (not small)");

// Added: If the FD is not in the nextsize list
if (fd->fd_nextsize == NULL)
{

if (p->fd_nextsize == p)
fd->fd_nextsize = fd->bk_nextsize = fd;
else
// Link the nexsize list in when removing the new chunk
{
fd->fd_nextsize = p->fd_nextsize;
fd->bk_nextsize = p->bk_nextsize;
p->fd_nextsize->bk_nextsize = fd;
p->bk_nextsize->fd_nextsize = fd;
}
}
else
{
p->fd_nextsize->bk_nextsize = p->bk_nextsize;
p->bk_nextsize->fd_nextsize = p->fd_nextsize;
}
}
}

Grafiksel Açıklama

Unlink işlemine dair harika bir grafiksel açıklamayı kontrol edin:

Güvenlik Kontrolleri

Belirtilen parçanın boyutunun, bir sonraki parçada belirtilen prev_size ile aynı olup olmadığını kontrol edin
Ayrıca P->fd->bk == P ve P->bk->fw == P olduğunu kontrol edin
Parça küçük değilse, P->fd_nextsize->bk_nextsize == P ve P->bk_nextsize->fd_nextsize == P olduğunu kontrol edin

Sızıntılar

Bağlantısı kesilmiş bir parça, ayrılan adresleri temizlemediği için, ona erişim sağlamak, bazı ilginç adresleri sızdırmak mümkündür:

Libc Sızıntıları:

P, çift yönlü bağlı listedeki başta bulunuyorsa, bk libc'te malloc_state'e işaret edecektir
P, çift yönlü bağlı listedeki sonunda bulunuyorsa, fd libc'te malloc_state'e işaret edecektir
Çift yönlü bağlı listede yalnızca bir boş parça bulunduğunda, P çift yönlü bağlı listede bulunur ve hem fd hem de bk, malloc_state içindeki adresi sızdırabilir.

Heap Sızıntıları:

P, çift yönlü bağlı listedeki başta bulunuyorsa, fd heap'te bir kullanılabilir parçaya işaret edecektir
P, çift yönlü bağlı listedeki sonunda bulunuyorsa, bk heap'te bir kullanılabilir parçaya işaret edecektir
P, çift yönlü bağlı listede bulunuyorsa, hem fd hem de bk, heap'te bir kullanılabilir parçaya işaret edecektir

Previousmalloc & sysmalloc NextHeap Functions Security Checks

Last updated 2 months ago