ctf堆概述

最新推荐文章于 2024-10-18 19:55:45 发布
最新推荐文章于 2024-10-18 19:55:45 发布
阅读量388 收藏
点赞数
分类专栏: CTF-PWN-堆 文章标签: linux 运维 服务器 堆栈
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_49959202/article/details/121052800
版权
本文介绍了CTF中关于堆的基础知识,包括堆的概念、堆管理器的作用,重点讲解了Linux堆分配器ptmalloc2,以及malloc、free等基本操作背后的brk和mmap系统调用。还探讨了多线程环境下堆的管理策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

堆概述

参考:https://ctf-wiki.org/pwn/linux/user-mode/heap/ptmalloc2/heap-overview/

1.堆概述

1.1 堆

在程序运行过程中,堆可以提供动态分配的内存,允许程序申请大小未知的内存。堆其实就是程序虚拟地址空间的一块连续的线性区域,它由低地址向高地址方向增长。

1.2 堆管理器

我们一般称管理堆的那部分程序为堆管理器。

堆管理器处于用户程序与内核中间,主要做以下工作

  1. 响应用户的申请内存请求,向操作系统申请内存,然后将其返回给用户程序。同时,为了保持内存管理的高效性,内核一般都会预先分配很大的一块连续的内存,然后让堆管理器通过某种算法管理这块内存。只有当出现了堆空间不足的情况,堆管理器才会再次与操作系统进行交互。
  2. 管理用户所释放的内存。一般来说,用户释放的内存并不是直接返还给操作系统的,而是由堆管理器进行管理。这些释放的内存可以来响应用户新申请的内存的请求。

Linux 中早期的堆分配与回收由 Doug Lea 实现,但它在并行处理多个线程时,会共享进程的堆内存空间。因此,为了安全性,一个线程使用堆时,会进行加锁。然而,与此同时,加锁会导致其它线程无法使用堆,降低了内存分配和回收的高效性。同时,如果在多线程使用时,没能正确控制,也可能影响内存分配和回收的正确性。Wolfram Gloger 在 Doug Lea 的基础上进行改进使其可以支持多线程,这个堆分配器就是 ptmalloc 。在 glibc-2.3.x. 之后,glibc 中集成了 ptmalloc2。

目前 Linux 标准发行版中使用的堆分配器是 glibc 中的堆分配器:ptmalloc2。ptmalloc2 主要是通过 malloc/free 函数来分配和释放内存块。

需要注意的是,在内存分配与使用的过程中,Linux 有这样的一个基本内存管理思想,只有当真正访问一个地址的时候,系统才会建立虚拟页面与物理页面的映射关系。 所以虽然操作系统已经给程序分配了很大的一块内存,但是这块内存其实只是虚拟内存。只有当用户使用到相应的内存时,系统才会真正分配物理页面给用户使用。

所有堆管理器:

•dlmalloc – General purpose allocator

•ptmalloc2 – glibc (敲黑板)

•jemalloc – FreeBSD and Firefox

•tcmalloc – Google libumem – Solaris

堆管理器并非由操作系统实现,而是由libc.so.6链接库实现。 封装了一些系统调用,为用户提供方便的动态内存分配接口的同时,力求高效地管理由系统调用申请来的内存。

1.3 概念示图

2.堆的基本操作

2.1 申请内存malloc

malloc__libc_malloc 的别名:

strong_alias (__libc_malloc, __malloc) strong_alias (__libc_malloc, malloc)

函数原型:

void *__libc_malloc (size_t bytes) 
param1: 申请的堆块的大小
return: 指向申请的堆块的数据部分的起始位置
备注:   还对一些特殊情况进行处理:
    	bytes = 0, 返回一个最小的chunk,大部分32位系统最小chunk为16字节,64位系统返回24或者32位。
    	bytes < 0, 由于大部分系统,size_t是无符号数,那么程序就会申请很大的空间,但是系统没有那么多的内存可以分配,因此大多数情况都会失败

示例图:

2.2 释放内存free

free()__libc_free() 的别名:

strong_alias
最低0.47元/天 解锁文章
CTF pwn题入门 -- Fast bin
lifanxin的博客
04-07 2640
这里写目录标题概述攻击方式实现任意地址分配fast bin poisoninghouse of spirit总结 概述   Fast bin是利用中最常遇见的情况,常见于libc2.23版本的pwn题中,在那个版本中还没有Tcache机制,在那个版本中漏洞利用还很轻松(????)。   这里简单总结一下fast bin的性质,64位机器下fast bin大小为0x20 – 0x80字节,每个bin链表之间以0x10字节递增;32位机器下为0x10 – 0x40,每个bin链表之间以0x8字节递增(上面的大
CTF溢出-unlink原理探究
BadRer的博客
06-12 1万+
来干!来干! 转战溢出,这东东确实接触的很少,听说很神奇很细腻。我也是初次接触就和大家一起共同学习下,也填补下这方面的空白。 https://sploitfun.wordpress.com/2015/02/26/heap-overflow-using-unlink/ 这篇文章讲的就是溢出的原理,不过全是英文,估计。。。慢慢看,不急。我就结合着它给的示例程序来分析下原理,以及如何利用溢出。
ctf——pwn的基础知识
m0_64195960的博客
04-24 3923
1前言 一、笔者想说 笔者是一个不大聪明的pwn的新手,这是我根据《ctf权威竞赛指南》,b站课程,一些师傅的博客,ctfviki做的笔记,便于学习和复习 如果有错误的地方还请给位师傅指正 二、调试 下面所展示的gdb调试是根据一下调试的 注意: 1、调试记得执行到malloc后再去查看 2、记得编译 一、glibc概述 1)概述 是程序虚拟内存中由低地址向高地址增长的线性区域,出于效率和页对齐的考虑,通常会分配相当大的连续内存。程序再次申请时便会从这片内存中分配,直到空间
malloc 底层实现及原理
zj
10-22 1817
原文:malloc 底层实现及原理 - 爱笑的张飞 - 博客园 文章目录结论具体内容内存分配的原理具体分配过程情况一:malloc 小于 128K 的内存,使用 brk 分配情况二:malloc 大于 128K 的内存,使用 mmap 分配(munmap 释放) 摘要:偶尔看到面试题会问到 malloc 的底层原理,今天就来记录一下,毕竟学习要“知其所以然”,这样才会胸有成竹。 注:下面分析均是基于 linux 环境下的 malloc 实现。步骤是:先总结结论,再逐步展开 结论 1)当开辟的空间小于 12
CTF-PWN 的相关数据结构
zwb2603096342的博客
07-27 1175
此部分讲解的相关数据结构
CTF概述
qq_45680743的博客
11-10 2575
CTF介绍: CTF(Capture The Flag)中文译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。 CTF 为团队赛,通常以三人为限,要想在比赛中取得胜利,要求团队中每个人在各种类别的题目中至少精通一类,三人优势互补,取得团队的胜利。同时,准备和参与 CTF 比赛是一种有效将计算机科学的离散面、聚焦于计算机安全领域的方法。 赛事介绍: CTF是一种流行的...
CTF pwn题入门 -- Unsorted bin
lifanxin的博客
04-08 3498
Unsorted bin概述攻击方式泄露libc地址总结 概述   Unsorted bin也是题中常见的,当一个块被释放时,且该块大小不属于fast bin(libc-2.26之后要填满tcache),那么在进入small bin和large bin之前,都是先加入到unsorted bin的。之后当我们再次分配内存到unsorted bin上寻找时,如果申请的内存块小于寻找的unsorted bin,那么会将该内存块切割后返回给用户,剩下的仍然保存在unsorted bin上;如果申请的内存
CTF pwn题入门 -- Large bin
lifanxin的博客
04-07 1998
Large bin概述攻击方式分配到目的地址house of force总结 概述   large bin采用双链表结构,libc-2.23版本下64位机器上,最小为0x400(1024字节),里面的chunk从头结点的fd指针开始,按大小顺序排列。不同于fast bin, small bin, unsorted bin的结构,当属于large bin的chunk被释放时,chunk中还会有fd_nextsize和bk_nextsize指针,分别指向前后第一个与本身chunk大小不同的chunk。当然也就
ctfwiki笔记--Linux基础
I have a dream
04-30 2807
参考链接:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/heap_overview/#_5 1、Linux在内存分配与使用的过程中,核心思想是:只有当真正访问一个地址的时候,系统才会建立虚拟页面与物理页面的映射关系。所以虽然操作系统已经给程序分配了很大的内存空间,但是这块内存其实只是虚拟内存。只有当用户使用相应的内存时,系统才会真...
ctfwiki溢出总结
eeeeeight的博客
04-12 916
溢出小总结 Column: Apr 12, 2021 Tags: Pwn, summary 开头的一些碎碎念: 除了fastbin大小的chunk,其余物理相邻topchunk的chunk在free之后都会合并进topchunk 利用malloc_hook通常是在main_arena-0x23-8的位置有个0x7f可以被识别为fakechunk(free_hook还不会,悲) Uaf: 被free之后,指向其的指针未被置空导致fd与bk之类的关键信息可以被编辑, 还有一种就是double free之类的
ctfwiki--的基础操作
I have a dream
06-20 2156
参考链接:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/implementation/basic-zh/#__comments 的基础操作 unlink unlink 用来将一个双向链表(只存储空闲的 chunk)中的一个元素取出来,可能在其他地方使用。 (1)malloc 从恰好合适的 large bin 中获取 chunk...
ctf-pwn-—IO_FILE
xy_369的博客
05-26 470
ctf-pwn-—文件IO 教程
CTF-PWN--【malloc和free的工作流程】
llovewuzhengzi的博客
12-03 1337
以下都是基于glibc-2.19版本,其他版本会有变动,但依然可提供参考。
CTF-PWN-
llovewuzhengzi的博客
10-24 308
4.然后再次malloc此时出来的的是之前fakechunk的fd位置的chunk,内容为随意,然后free该chunk两次,再次malloc此时内容为_free_hook的地址,然后再次malloc,内容随意,再次malloc此时内容为getshell的函数地址且得到的是以_free_hook地址为userdata地址的chunk。利用重写第一个chunk时溢出覆盖到第三个chunk的fd的值(修改为第五个chunk的地址)同时利用重写第四个chunk溢出覆盖到第五个chunk的size值为合适的值。
CTF-PWN--【溢出相关概括基本流程及first-fit演示与】
llovewuzhengzi的博客
11-17 529
中写入的字节数超过本身可使用的字节数(可使用的字节数不一定等于申请的字节数,是因为管理器会对用户所申请的字节数进行调整,这也导致可利用的字节数都不小于用户申请的字节数),所以可能覆盖到相邻高地址的下一个块。chunkdata段地址对应的chunk与topchunk不相邻,相当于free(chunkdata段地址),malloc(size)相差容得下一个最小chunk,则切割chunk两部分,free掉chunkdata段地址对应的chunk的size-size的部分。一个三目运算符 a?
CTF-WiKi溢出--pwngdb原理讲解
最新发布
QX_XDE的博客
10-18 1091
利用pwngdb讲解溢出是如何产生以及利用的
CTF-浅尝64位栈溢出PWN
热门推荐
BadRer的博客
06-04 1万+
干了一早上终于把这道’难题’做出来了,实在是不容易。头一次完完全全的做出64位的pwn题,如果就栈溢出来说的话,其实感觉和32位的也差不多。至少这方面没有遇到太大的困难,做64位的题对汇编指令的要求就更高了。正好一边做题,一边多学点汇编。 收获是很大的。正文刚开始被一个逻辑漏洞cmp给卡着,一直没有跳到真正产生漏洞的地方,好不容易跳过去了,结果被我自己坑了(写脚本的时候,没有考虑缓冲区的影响,经常
基础知识小结
chenzhenyu1983的博客
05-11 427
1、chunk 结构未分配的chunk|    prev_size       ||    size    |P=0||      fd     | |    bk           || unused     |pre_size: 上一个物理相邻(低地址)的chunk的大小P: 上一个物理相邻(低地址)的是否被分配fd:管理中下一个chunk的头部地址bk:管理中上一个c...
CTF(pwn) 利用 之 unlink 介绍
半岛铁盒的博客
07-01 997
unlink是链表中常见的操作,而我们需要利用这个过程 通过改变链表指针,使中间块拿出来 当前的unlink会有一个对链表的完整性检查的 // 由于 P 已经在双向链表中,所以有两个地方记录其大小,所以检查一下其大小是否一致(size检查) if (__builtin_expect (chunksize(P) != prev_size (next_chunk(P)), 0)) \ malloc_printerr ("corrupted size vs. prev_size");
ctf入门基础知识
08-23
CTF入门基础知识是指在CTF(Capture The Flag)比赛中,掌握关于(heap)的一些基础知识。是计算机内存的一部分,用于存储动态分配的数据。在中,数据可以通过malloc()和free()这样的函数进行分配和释放。 为了应对CTF相关的问题和挑战,以下是几个基础知识点: 1. 管理:了解内存的布局,包括段(heap segment)的起始地址、结束地址以及分配的内存块。此外,还需要了解块(heap chunk)的结构,包括块的头部和尾部。块中的元数据通常用于管理分配和释放。对于不同的管理器,其块结构可能有所不同。 2. 溢出漏洞:溢出是一种常见的漏洞类型。当程序没有正确地管理内存时,会导致溢出漏洞。攻击者可以通过溢出篡改重要的数据或劫持程序流程。学习如何利用溢出漏洞可以帮助我们理解程序的弱点以及如何加强安全性。 3. 分配技巧:在CTF中,有时需要进行分配,比如分配特定大小的块或者创建一定数量的块。掌握一些分配技巧可以帮助我们解决一些相关的CTF问题。 4. 利用技术:了解利用技术是掌握CTF基础的重要部分。常见的利用技术包括重叠块、fastbin攻击、unsorted bin攻击等。通过这些技术,攻击者可以在利用溢出漏洞时实现特定的攻击目标。 以上是CTF入门基础知识的一些关键点。通过学习和实践,逐渐掌握这些知识可以帮助我们在CTF比赛中更好地理解和解决相关的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值