QLayoutItem指针double free

原创 已于 2022-09-23 15:22:51 修改 · 412 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#qt #开发语言

于 2022-09-23 15:22:42 首次发布
本文深入剖析了Qt布局管理中,QLayoutItem在删除时导致程序崩溃的原因。当在QBoxLayout中添加QLayoutItem后,Qt内部会创建一个结构并保存在列表中。然而,如果在Widget析构时手动删除QLayoutItem,由于Qt无法检测到该对象已被释放,会导致双重释放,从而引起程序崩溃。理解这一问题对于避免内存管理错误至关重要。

创建了一个QLayoutItem指针,并放入一个layout之后,如果在widget析构的时候手动delete QLayoutItem对象会造成程序崩溃,原因如下:

// 步骤1

/*!
    \reimp

    将item插入layout中时,qt创建了一个struct,然后放入了一个list中
    list的定义为:QList<QBoxLayoutItem *> list;
*/
void QBoxLayout::addItem(QLayoutItem *item)
{
    Q_D(QBoxLayout);
    QBoxLayoutItem *it = new QBoxLayoutItem(item);
    d->list.append(it);
    invalidate();
}

// 步骤2

/*!
    Destroys this box layout.

    The layout's widgets aren't destroyed.

    layout的析构函数,调用deleteAll函数
*/
QBoxLayout::~QBoxLayout()
{
    Q_D(QBoxLayout);
    d->deleteAll(); // must do it before QObject deletes children, so can't be in ~QBoxLayoutPrivate
}


// 步骤3

/*
    deleteAll函数的定义
    就是把list中的对象全部取出来析构掉
*/
inline void deleteAll() { while (!list.isEmpty()) delete list.takeFirst(); }

如果在外部释放了QLayoutItem对象,那qt是不知道的(QLayoutItem没有继承QObject,无法通过QObject的destroyed信号得知对象被释放),会造成了double free,进而程序崩溃。

Qt开发教程】布局项类QLayoutItem详解及实战应用:用于管理和排列子小部件的位置和大小的重要元素。通过继承该类可以创建自定义的布局项,以更灵活地布局并控制子小部件的布局
科技改变人类,技术成就未来
07-21 1016
QLayoutItem 提供了一种强大而灵活的方式来表示和管理布局中的单个项,通过自定义布局项和布局类,可以实现复杂的界面布局和更精细的控制。合理使用对齐方式、伸缩因子、管理子布局和动态添加移除布局项,可以提升应用的布局灵活性和界面美观。在实际应用中,通过优化布局项的尺寸计算和几何形状设置,可以实现高效和准确的布局。注意设置布局项的对齐方式、尺寸计算和管理子布局,确保布局的正确性和有效性。结合其他 Qt 类和方法,可以实现更多高级功能和应用场景,提高应用的灵活性和可维护性。
Qt】浅谈QLayout
ShrekLi
10-24 1707
作为一个半路出家的程序员,对于编程这一块的学习并不系统,通常都是需要用什么,才火急火燎的学习什么。因此很容易走一些不必要的弯路,在学习Qt开发的过程中也例外,到目前为止,接触Qt开发已经有两年多了,在踩过不少坑之后,才发现布局的重要性。在Qt开发过程中,有代码生成UI和Qt Designer设计UI这两种途径,故在界面布局的时候,既可以使用代码进行布局控制,也可以通过Designer进行具体布局。在此,就先谈谈在Qt Designer中进行界面布局。
double free
weixin_46484576的博客
07-14 240
free多次 free指针设为null
PyQt之QHBoxLayout、QVBoxLayout 与QGridLayout
u011943221的专栏
07-20 1万+
一. QHBoxLayout 先来看官方对QHBoxLayout 是怎样介绍的,原文如下: The QHBoxLayout class lines up widgets horizontally. QHBoxLayout 类将各部件水平排列。 This class is used to construct horizontal box layout objects. See QBo
使用QSharedPointer报错“double free”问题记录
qq_43138799的博客
03-21 876
原代码部分: void 类B::test() { ........ QSharedPointer<类A> templist (&类B成员变量); //qDebug() << templist.data() ........ } 项目是在Linux下做的开发,一步步排除不相关代码后发现错误的原因在这里,报错为:double free or corruption(out) :0x0000000000bf5c60 ***。 开始找问题,因为类A是工程师自己定义的类,看着应该是没
Qt QLayoutItem
m0_73443478的博客
02-01 723
Qt QLayoutItem
STL容器保存智能指针并将this指针通过emplace传入STL容器所造成的致命问题(【double free or corruption (out)】和【bad_weak_ptr】)
MYMarcoreus的博客
03-02 441
而最上面的代码却通过emplace(this),使用原生指针构造了一个智能指针,而这个智能指针不与任何指针共享引用计数,最后便会产生double free错误。这个问题相信用智能指针的人都知道不能这么做,应该在。,而不是像上面这样,会使得引用计数为1而不是为2。却可以,因此便使得问题在。不可以通过编译,而使用。
【Linux堆利用】Fastbin Double Free
、moddemod
06-16 717
Double Free是针对fastbin的攻击,字面意思就是重复释放内存,也就是两次free()同一块内存导致的漏洞。 由于fastbin的机制,在满足fastbin的chunk在被释放后它下一个chunk的P位不会被置为0,也就是说即使当前chunk被释放掉了,但是他的next_chunk的P为还依然为1(1表示前一个chunk正在使用中),但他却是已经被free()掉了,这样做的目的是为了防止chunk被合并(因为现实证明,就是程序通常会申请小内存块比较频繁,如果每次申请释放都重复分割合并,会导致性能
堆学习——Double Free
qq_41560595的博客
03-10 3892
Double Free,内容如其名,同一个内存块被释放两次。 示例代码 #include <stdio.h> #include <stdlib.h> #include <assert.h> int main() { fprintf(stderr, "This file demonstrates a simple double-free attack with fastbins.\n"); // 分配三个chunk:a、b、c。
glibc2.31下的新double free手法/字节跳动pwn题gun题解
chennbnbnb的博客
12-02 4894
回顾double free手法 在glibc2.27之前,主要是fastbin double free: fastbin在free时只会检查现在释放的chunk,是不是开头的chunk,因此可以通过free(C1), free(C2), free(C1)的手法绕过 并在在fastbin取出时,会检查size字段是不是属于这个fastbin,因此往往需要伪造一个size glibc2.27~glibc2.28,主要是tcache double free 相较于fastbin double fr
double free/use after free/memory leak
qq_36281031的博客
12-06 1500
一、Double Free 双重释放,程序对同一个指针指向的内存重复释放free()了两次。 利用原理 Linux下堆分配器ptmalloc2主要由两个结构管理堆内存,一种是堆块头部形成的隐式链表(chunk结构内的隐式指向),另一种是管理空闲堆块的显式链表(Glibc中的bins数据结构)。 free函数在释放堆块时,会通过隐式链表判断相邻前、后堆块是否为空闲堆块;如果堆块为空闲就会进行合并,然后利用Unlink机制将该空闲堆块从Unsorted bin中取下。 unlink就是把一个双向链表中的空
QT::QLayoutItem
Free_Program_1314的专栏
06-24 3883
QLayoutItem类参考 QLayoutItem为布局操作提供了抽象条款。 #include Inherited by: QLayout, QSpacerItem, and QWidgetItem.      Public Functions QLayoutItem ( Qt::Alignment alignment = 0 ) virtual ~
double freeing of freed memory
littlefat_sun的博客
05-15 2077
 最近在客户那里改用klockwork分析出的问题,遇到了这个问题:Double freeing of freed memory may be in class 'DriverInfo'. copy constructor and operator= is not defined。 自己写了个例子 #include class MyData {  public:  MyData
QtQLayoutItem
C/C++软件工程师、嵌入式软件工程师、物联网研发工程师、C/C++讲师、物联网讲师、嵌入式讲师、鸿蒙讲师---欢迎大家一起交流(私信添加博主微信)
03-30 2066
00. 目录 文章目录00. 目录01. 概述02. 公有成员方法03. QLayoutItem详细说明04. 成员方法详解05. 预留06. 附录 01. 概述 对于一个完善的软件,布局管理是必不可少的。 无论是想要界面中部件有一个很整齐的排列,还是想要界面能适应窗口的大小变化,都要进行布局管理。Qt 提供了 QLayout 类及其子类来作为布局管理器,它们可以实现常用的布局管理功能。 QLayoutItem类提供了QLayout操纵的抽象项。 02. 公有成员方法 [外链图片转存失败,源站可能有防盗链机
QLayoutItem
友善啊,朋友的博客
01-23 1394
一、描述 QLayoutItem 类提供了一个 QLayout 操作的抽象项。 二、函数成员 1、void setAlignment(Qt::Alignment alignment) /Qt::Alignment alignment() 设置项目的对齐方式。 除了为布局提供空白空间的 QSpacerItem 之外,所有继承 QLayoutItem 的公共 Qt 类都支持项对齐。 2、QSizePolicy::ControlTypes controlTypes() 返回布局项的控件类型。.
qt QLayoutItem详解
ckg3824278的博客
11-22 550
QLayoutItemQt 框架中用于自定义布局的关键类,它提供了尺寸计算、对齐、空间管理等功能。该类是一个抽象基类,描述了在 QLayout 布局中的项目信息。通过继承 QLayoutItem 类,开发者可以创建自定义的布局项,以更灵活地布局并控制子小部件的位置和大小。
【个人纪录】double free引起的崩溃问题
weixin_42129473的博客
06-14 423
调用三方代码编译成的库时,由于代码设计问题在极端场景下会存在同时调用库中的资源申请释放接口,由于接口设计是不可重入的,且上层调用未加锁处理,且接口内部free指针后未置空,导致第二次调用该接口判断指针非空对指针进行了第二次free,若此时对应的地址已经被其他线程申请到,则会导致崩溃。排查流程:由于非自身崩溃,且多线程同时运行,不确定申请到内存的线程是哪一个,崩溃位置较随机。查看日志发现崩溃时有同名线程在一起运行,属于非正常现象,进一步阅读代码排查逻辑发现实现存在漏洞。
Qt布局管理(5):自定义布局器(QLayout和QLayoutItem类)
热门推荐
黄邦勇帅的博客
10-12 1万+
Qt布局管理(5):自定义布局器(QLayout、QLayoutItem、QSpacerItem、QWidgetItem) 若对C++语法不熟悉,建议参阅《C++语法详解》一书,电子工业出版社出版 自定义布局需要使用QLayout和QLayoutItem类(布局项目),其中QLayoutItem类描述了QLayout布局中的项目信息。 5.5.1 QLayout抽象类中的公有成员函数 QLayou...
PWN double free
最新发布
03-21
<think>好的,我现在需要回答用户关于PWN中double free漏洞的利用方法和防御措施的问题。首先,我需要回忆一下double free的基本概念。Double free指的是在程序中多次释放同一块内存,这可能导致内存管理数据结构的破坏,进而被攻击者利用。 根据引用[1]中提到,常规题目中主函数可能存在触发shell的条件,但free函数对UAF(Use After Free)和double free(df)有防御措施,无法直接突破。然而,edit函数存在漏洞,允许控制写入字节,导致overlapping攻击。这说明即使有防御,如果其他函数存在漏洞,仍可能被利用。 接下来,引用[2]指出,double free原语几乎无懈可击,但UAF或溢出类漏洞需要精确修改结构体中的特定位置值。如果攻击者能控制写入的位置和内容,就能绕过防御,比如修改chunk的指针,构造任意地址读写。 然后,引用[3]关于堆风水的部分提到,堆排布是堆漏洞利用的关键,需要熟悉glibc的内存管理策略。破坏堆内存管理的数据结构如bin或chunk,可以导致任意内存读写或控制流劫持。防御方法包括Heap Canary、CFI、ASLR等。 现在,结合这些信息,我需要整理利用double free的步骤。首先,触发double free,连续释放同一chunk两次,这会使得bin链表出现循环。接着,通过堆排布,重新分配这些chunk,并利用edit函数修改fd或bk指针,指向伪造的chunk。然后,分配伪造的chunk,实现任意地址写,比如修改GOT表或函数指针,最后劫持控制流执行shellcode或ROP链。 防御措施方面,引用[2]和[3]提到,glibc的改进如tcache double free检测,在释放时会检查chunk是否已在链表中。此外,Heap Canary可以检测堆溢出,ASLR和DEP增加利用难度。代码审计和安全机制如CFI也能有效防御。 需要确保回答结构清晰,分点说明利用方法和防御措施,并引用提供的资料。同时,按照用户要求,生成相关问题,例如利用步骤、防御技术、绕过方法等。</think>### PWN中double free漏洞的利用与防御分析 #### 1. Double Free漏洞原理 double free指对同一块堆内存进行多次释放,破坏glibc内存管理结构(如tcache或fastbin的链表),导致内存布局可控。例如,连续释放chunk A两次后,其fd指针可能形成循环链表,后续分配时可构造重叠的chunk,最终实现任意地址读写或控制流劫持[^2][^3]。 #### 2. 利用方法及步骤 **典型利用流程**: 1. **触发double free**:通过程序逻辑连续释放同一chunk两次,例如: ```c free(ptr); free(ptr); // 触发double free ``` 2. **堆排布(Heap Feng Shui)**:通过分配特定大小的chunk,控制内存布局,使后续分配的chunk覆盖关键数据。 3. **修改链表指针**:利用存在漏洞的`edit`函数修改chunk的`fd`或`bk`指针,指向伪造的chunk(如GOT表、`__free_hook`等)[^1]。 4. **分配伪造chunk**:通过`malloc`获取指向目标地址的指针,实现任意地址写入,例如修改`__free_hook`为`system`地址。 5. **触发执行流劫持**:调用`free`或相关函数时,跳转至攻击者控制的代码(如ROP链或shellcode)[^4]。 **示例场景**: 若程序允许写入释放后的chunk,攻击者可构造如下payload: ```python # 假设chunk大小为0x20 add(0x20, "A") # chunk A free(0) free(0) # double free edit(0, p64(libc_base + 0x1eeb28)) # 修改fd指针指向__free_hook add(0x20, "B") # 分配chunk A add(0x20, "/bin/sh") # 分配chunk A的fd指向位置(即__free_hook) add(0x20, p64(system_addr)) # 将__free_hook覆盖为system free("/bin/sh") # 触发system("/bin/sh") ``` #### 3. 防御措施 1. **glibc防护机制**: - **tcache double free检测**:glibc 2.29+在释放时会检查chunk是否已在tcache链表中。 - **fastbin完整性校验**:分配时验证`fd`指针是否指向合法内存区域。 2. **堆内存保护技术**: - **Heap Canary**:检测堆溢出对管理结构的破坏。 - **Safe-Linking**(glibc 2.32+):对链表指针进行异或加密,增加伪造难度。 3. **系统级防护**: - **ASLR**:随机化地址空间,增加定位目标的难度。 - **DEP**:阻止攻击者执行堆栈中的shellcode[^3]。 4. **代码审计**: - 严格检查`free`前后指针置空情况,避免悬垂指针。 - 限制用户对chunk内容的写入范围和权限。 #### 4. 绕过防御的常见方法 - **利用其他漏洞组合**:若存在堆溢出或UAF,可覆盖`key`字段(tcache的double free检测标志)。 - **构造特定内存布局**:通过大量分配/释放操作,使伪造的chunk通过glibc的完整性检查。 - **劫持控制流的替代目标**:若`__free_hook`被保护,可转向修改`_IO_FILE`结构体或ROP链[^4]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值