关于double free的一点点思考

最新推荐文章于 2025-07-01 09:44:33 发布
最新推荐文章于 2025-07-01 09:44:33 发布
阅读量4.9k 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: C Programming Language
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u010736228/article/details/9115207
本文解释了Double Free错误的概念及其产生的原因,并提供了预防措施。重点介绍了如何正确使用free函数来避免内存泄漏,包括在释放内存后将指针设置为NULL的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    double free就是程序分配一块内存之后,经过使用将这块内存释放,但并没有将指向这块内存的所有指针抹零或回收,并在其他部分再次将指向同一块内存单元的指针交给内存分配器去进行释放操作。

    经常看到类似 if (p) free(p); 的写法,目的是为了防止double free, 但是防止double free的关键不是在释放内存前判断指针是不是为空。

    请看以下代码:

#include <stdio.h>
#include <stdlib.h>

int main()
{
	char *str;

	str = (char *)malloc(100);

	free(str);

	if (str)
	{
		free(str);
	}

	return 0;
}


    这段代码在第二次释放内存前进行了判断,但是运行中还是会出现double free。原因在于free()函数只会回收指针所指的内存空间,但是在回收后不会把str置为NULL,所以在这里用if判断并没有意义。

    那么要怎么样才能防止double free呢?查看free()函数说明:



free(释放原先配置的内存)

相关函数

malloc,calloc,realloc,brk

表头文件

#include<stdlib.h>

定义函数

void free(void *ptr);

函数说明

参数ptr为指向先前由malloc()、calloc()或realloc()所返回的内存指针。调用free()后ptr所指的内存空间便会被收回。假若参数ptr所指的内存空间已被收回或是未知的内存地址,则调用free()可能会有无法预期的情况发生。若参数ptr为NULL,则free()不会有任何作用。

    注意这句:若参数ptr为NULL,则free()不会有任何作用。这样就简单了,只要每次在free()后把指针置为NULL就可以了。

    在函数中释放内存的话,切忌以下写法:

#include <stdio.h>
#include <stdlib.h>

void clear(char *str)
{
	free(str);
	str = NULL;
}

int main()
{
	char *str;

	str = (char *)malloc(100);

	clear(str);

	return 0;
}


 

   

第一章 运维必备技能:计算机硬件基础
Raymond的博客
10-21 350
计算机系统计算机硬件组成操作系统Linux相关介绍Linux哲学思想获取Linux虚拟机Linux 安装本章开篇,我们先来聊聊计算机系统的那些事儿。我们的运维课程,可是紧紧围绕着计算机系统来展开的。那么,计算机系统到底是啥?它都由哪些部分组成呢?别急,接下来我们就给大家详细介绍一下。说到计算机,硬件可是个绕不开的话题。虽然我们运维工程师现在对服务器硬件的关注度逐渐降低了,但这毕竟是基础知识,还是得了解一下。毕竟,在某些生产环境中,我们可能还是会接触到硬件服务器。
《Redis设计与实现》读书笔记(一)
luluyo的博客
05-15 732
引言 详细、系统地学习Redis,这本书无疑是最佳选择。刷再多的文章比不上看书哈哈,个人观点~ 很早就买了,可惜看的太慢了,只有四分之一吧,总结一下我看到的精华。 本文主要介绍Redis的数据结构与对象部分。Redis以5大对象来满足键的数据结构:字符串对对象,列表对象,哈希对象,集合对象,有序集合对象。这些对象的底层实现依赖特定的编码类型,而某种编码类型又对应1种或多种数据结构。下面分别介绍简单动态字符串、链表、字典、跳跃表、整数集合、压缩列表这6种基本数据结构在Redis中的实现。 文章导读
Double Free浅析
热门推荐
这里没人
05-14 1万+
最近在研究一些堆上面的漏洞。然后某一天骑自行车在路上跑的时候我突然悟出了Double Free的真谛。 2333好像太中二了一点,我是根据堆溢出的利用方法启发,再结合linux中libc的源码。研究出了double free的利用方法。虽然有关double free的利用技巧已经不是一个秘密。不过好像很少有相关的中文的介绍,所以以一个初学者的角度来讲解一下double free漏洞的利用方法。 ...
double free
浅浅徘徊的博客
03-16 6831
漏洞原理 Double Free其实就是一种在free时利用伪造chunk并且欺骗操作系统,达到修改内存的目的。 基本知识点 先大概说下基本知识。 不管是在正在使用的还是释放的chunk,其数据结构是差不多一样的,差别在于prev_size、’fd’和’bk’,prev_size只有前一个chunk是free状态才会放置其大小,后两个只有当前chunk是free状态才会有,不然只会存放数...
Day 12:多重释放(Double Free)与释放后使用(Use-After-Free
最新发布
blog.boringhex.top
07-01 589
本文深入剖析C语言内存管理中两大高危陷阱——多重释放(double free)与释放后使用(use-after-free)。它们会破坏堆结构、导致程序崩溃,甚至引发安全漏洞。常见成因包括未置空释放指针、多指针别名混乱及复杂逻辑分支遗漏。规避方法强调:释放后立即置NULL、统一管理资源所有权、使用Valgrind等检测工具。通过错误代码与修正案例对比,图解危险操作,核心建议将"free后置NULL"纳入规范,明确资源生命周期管理。遵循"谁分配谁释放谁置NULL"原则,可
【二进制安全】堆漏洞:Double Free原理
Juruo@Security
08-01 1487
【二进制安全】Double Free原理
浅析 - 阿里巴巴专家教你坚持写作
木深的博客
11-23 7129
大家好,我是木小深,高级产品经理。我们的公众号主要是分享关于产品经理个人成长和职业发展相关的话题。今天分享的产品经理个人成长中,关于为什么要坚持写作的思考。 初稿|木深、木小深 编辑|牟深、Sam、Ella 1、前言 你有写作的习惯吗?很多产品经理的回答是:我为什么要写作呢?很多人觉得写作是一件有难度的事情,其实写作的动机就藏在日常工作中,那些在酝酿中的奇思妙想,那些稍纵即逝的编程思路,那些金光闪闪的 battle 瞬间……都是写作的素材。 目前很多产品经理已经通过自己的个人博客或者公众号来进行经验..
手写内存泄漏检测组件
qq_29750559的博客
05-30 401
内存泄漏检测组件常用的内存泄露检测工具有valgrind和mtrace。我们使用这两个工具的时候一般是已经发现了内存泄漏的现象了再去检测,那么有没有一种方法在内存使用的时候,就发现内存泄漏呢。在我们第一版代码实现中,更多的是想像读者介绍一些函数。而且我们用hook的时候还遇到了递归的问题,以及__builtin_return_address的VMA的问题,对于后面这个函数,我们使用系统提供的三个宏即可解决。现在我们想一下,这个hook用在这里真的合适吗?
lua虚拟机字节码修改_云风的 BLOG: 虚拟机之比较,lua 5 的实现
weixin_30996983的博客
01-14 444
Commentsdouble占8个字节,在32位机器上可以用一个特殊的double来编码其它的TValuehttp://hi.baidu.com/pcall/blog/item/c83d917f5ae4003e0cd7dafe.html我做游戏也在自己设计指令集和虚拟机,有机会能探讨一下。也来凑两句。采用RB的虚拟机,编译的工作量是大一些,主要原因是虚拟寄存器的合理分配,云风以前好像也指出过。要实...
综合交易平台CTP Linux Double Free解决方案
03-16
CTP开发中,如果把Trade,Market的so放在一起开发,如果不做处理,会遇到double free or corruption(!prev)的错误,基本如下: *** glibc detected *** ./bin/quant_ctp_XTrader_no_debug_2017-03-16_15-36-20: double free or corruption (!prev): 0x0000000001d71120 *** ======= Backtrace: ========= /lib64/libc.so.6[0x32b4a75f3e] /lib64/libc.so.6[0x32b4a78dd0] /usr/lib64/libthosttraderapi.so(+0x184612)[0x7f3d1e503612] /lib64/libc.so.6(__cxa_finalize+0x9d)[0x32b4a35e7d] /usr/lib64/libthosttraderapi.so(+0x104b46)[0x7f3d1e483b46] 开发中我也遇到该问题,后辛苦找到解决办法。方案附送在该附件里,仅供参考。 仅供参考!仅供参考!仅供参考! 重要的事情说三遍! 使用此代码引起的任何损失,笔者不承担任何责任。
Double free(hows2heap)
fanghuapyk的博客
04-23 1851
1.fastbin_dup fast bin fast bin主要是用来存放一些小的内存,使用fastbin可以提高小内存的分配效率,在默认情况下,对于SIZE_SZ为4B(32位)的平台,小于64B(字节)的chunk分配请求,和对于SIZE_SZ为8B(64位)的平台,小于128B的chunk分配请求首先会在fast bin中查找是否有所需大小的chunk存在,如果存在,就会直接返回内存资源,如果不存在,才会到其他bins中去查找。 fastbins 可以看成一个后进先出的栈,使用单链表来实现,通过 f
Double Free(how2heap)
个人笔记
06-23 211
Double Free目的原理分析 目的 实现任意地址写的控制流程操作。 原理分析 例:fastbin_dup_into_stack.c 实现栈上写。 关键处已添加注释理解(三处)。 #include <stdio.h> #include <stdlib.h> int main() { fprintf(stderr, "This file extends on fastbin_dup.c by tricking malloc into\n" "returning
C++中的深拷贝与浅拷贝,double free问题
weixin_44767670的博客
02-05 1915
C++中的深拷贝与浅拷贝,double free问题 C++中新增了类的概念 构造函数 析构函数等也就伴随而来 在构造函数中有一类被称为“拷贝构造函数”,如使用不当,会导致coredump等较麻烦的问题。 先说一下浅拷贝和深拷贝: C++中默认构造函数主要有两类, 第一类是针对定义类对象的,定义类对象时,如果没有对应的构造函数,会默认调用一个函数体为空的无参构造函数,比较简单,本文不多赘述; 第二类是针对类对象初始化新类对象的,当用类对象初始化新的类对象时,如果没有对应的拷贝构造函数,会调用一个默认的拷贝构
pwn-double free
xy_369的博客
05-21 1369
指针情况:(只连续free两次xy1不行,有检查机制,中间必须free一个同等大小的chunk才能绕过检查机制,检查机制)一个神奇的现象:xy1 中输入的数据同时也输进了 Top chunk。1、代码及编译指令(运行环境:ubuntu16.04)
堆学习——Double Free
qq_41560595的博客
03-10 3333
Double Free,内容如其名,同一个内存块被释放两次。 示例代码 #include <stdio.h> #include <stdlib.h> #include <assert.h> int main() { fprintf(stderr, "This file demonstrates a simple double-free attack with fastbins.\n"); // 分配三个chunk:a、b、c。
Glibc堆利用-Double Free
pointerr的博客
10-24 424
Glibc堆利用-Double Free 漏洞成因:使用完一个chunk之后,只是free掉了指针,没有将内容置null 漏洞结果:可以实现任意地址的写功能。 0x01 这里我们采用了师傅的样例程序,先检查该程序: 看到:保护全开,使用ida进行反编译分析: 发现经典菜单栏:并且实现了以下功能: void __fastcall main(__int64 a1, char **a2, char **a3) { int v3; // ebx int v4; // [rsp+Ch] [rbp-44h]
PWN double free
03-21
<think>好的,我现在需要回答用户关于PWN中double free漏洞的利用方法和防御措施的问题。首先,我需要回忆一下double free的基本概念。Double free指的是在程序中多次释放同一块内存,这可能导致内存管理数据结构的破坏,进而被攻击者利用。 根据引用[1]中提到,常规题目中主函数可能存在触发shell的条件,但free函数对UAF(Use After Free)和double free(df)有防御措施,无法直接突破。然而,edit函数存在漏洞,允许控制写入字节,导致overlapping攻击。这说明即使有防御,如果其他函数存在漏洞,仍可能被利用。 接下来,引用[2]指出,double free原语几乎无懈可击,但UAF或溢出类漏洞需要精确修改结构体中的特定位置值。如果攻击者能控制写入的位置和内容,就能绕过防御,比如修改chunk的指针,构造任意地址读写。 然后,引用[3]关于堆风水的部分提到,堆排布是堆漏洞利用的关键,需要熟悉glibc的内存管理策略。破坏堆内存管理的数据结构如bin或chunk,可以导致任意内存读写或控制流劫持。防御方法包括Heap Canary、CFI、ASLR等。 现在,结合这些信息,我需要整理利用double free的步骤。首先,触发double free,连续释放同一chunk两次,这会使得bin链表出现循环。接着,通过堆排布,重新分配这些chunk,并利用edit函数修改fd或bk指针,指向伪造的chunk。然后,分配伪造的chunk,实现任意地址写,比如修改GOT表或函数指针,最后劫持控制流执行shellcode或ROP链。 防御措施方面,引用[2]和[3]提到,glibc的改进如tcache double free检测,在释放时会检查chunk是否已在链表中。此外,Heap Canary可以检测堆溢出,ASLR和DEP增加利用难度。代码审计和安全机制如CFI也能有效防御。 需要确保回答结构清晰,分点说明利用方法和防御措施,并引用提供的资料。同时,按照用户要求,生成相关问题,例如利用步骤、防御技术、绕过方法等。</think>### PWN中double free漏洞的利用与防御分析 #### 1. Double Free漏洞原理 double free指对同一块堆内存进行多次释放,破坏glibc内存管理结构(如tcache或fastbin的链表),导致内存布局可控。例如,连续释放chunk A两次后,其fd指针可能形成循环链表,后续分配时可构造重叠的chunk,最终实现任意地址读写或控制流劫持[^2][^3]。 #### 2. 利用方法及步骤 **典型利用流程**: 1. **触发double free**:通过程序逻辑连续释放同一chunk两次,例如: ```c free(ptr); free(ptr); // 触发double free ``` 2. **堆排布(Heap Feng Shui)**:通过分配特定大小的chunk,控制内存布局,使后续分配的chunk覆盖关键数据。 3. **修改链表指针**:利用存在漏洞的`edit`函数修改chunk的`fd`或`bk`指针,指向伪造的chunk(如GOT表、`__free_hook`等)[^1]。 4. **分配伪造chunk**:通过`malloc`获取指向目标地址的指针,实现任意地址写入,例如修改`__free_hook`为`system`地址。 5. **触发执行流劫持**:调用`free`或相关函数时,跳转至攻击者控制的代码(如ROP链或shellcode)[^4]。 **示例场景**: 若程序允许写入释放后的chunk,攻击者可构造如下payload: ```python # 假设chunk大小为0x20 add(0x20, "A") # chunk A free(0) free(0) # double free edit(0, p64(libc_base + 0x1eeb28)) # 修改fd指针指向__free_hook add(0x20, "B") # 分配chunk A add(0x20, "/bin/sh") # 分配chunk A的fd指向位置(即__free_hook) add(0x20, p64(system_addr)) # 将__free_hook覆盖为system free("/bin/sh") # 触发system("/bin/sh") ``` #### 3. 防御措施 1. **glibc防护机制**: - **tcache double free检测**:glibc 2.29+在释放时会检查chunk是否已在tcache链表中。 - **fastbin完整性校验**:分配时验证`fd`指针是否指向合法内存区域。 2. **堆内存保护技术**: - **Heap Canary**:检测堆溢出对管理结构的破坏。 - **Safe-Linking**(glibc 2.32+):对链表指针进行异或加密,增加伪造难度。 3. **系统级防护**: - **ASLR**:随机化地址空间,增加定位目标的难度。 - **DEP**:阻止攻击者执行堆栈中的shellcode[^3]。 4. **代码审计**: - 严格检查`free`前后指针置空情况,避免悬垂指针。 - 限制用户对chunk内容的写入范围和权限。 #### 4. 绕过防御的常见方法 - **利用其他漏洞组合**:若存在堆溢出或UAF,可覆盖`key`字段(tcache的double free检测标志)。 - **构造特定内存布局**:通过大量分配/释放操作,使伪造的chunk通过glibc的完整性检查。 - **劫持控制流的替代目标**:若`__free_hook`被保护,可转向修改`_IO_FILE`结构体或ROP链[^4]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值