Kiprey's Blog

存放free chunks的链表 ——— bins !

1. bin链的介绍

• bin链是由struct chunk组成的链表
• 不同的chunk根据不同的特点将它们区分开，为了便于分开管理，glibc引入了bin链这个概念
• bin链上的chunk都是free chunk
• bin链都是由当前线程的arena管理的

2. bin链的分类

1. Fast bin
2. Small bin
3. Unsorted bin
4. Large bin

堆块最小分配的单位 —— malloc_chunk !

1. chunk的结构体

1
2
3
4
5
6
7
8
9
10
11
12

struct malloc_chunk {

  INTERNAL_SIZE_T      prev_size;  /* Size of previous chunk (if free).  */
  INTERNAL_SIZE_T      size;       /* Size in bytes, including overhead. */

  struct malloc_chunk* fd;         /* double links -- used only if free. */
  struct malloc_chunk* bk;

  /* Only used for large blocks: pointer to next larger size.  */
  struct malloc_chunk* fd_nextsize; /* double links -- used only if free. */
  struct malloc_chunk* bk_nextsize;
};

堆的 管理者

1. 什么是 arena

堆，是内存分配所用的内存，在计算机世界中是一种比较复杂的部件，里面有大量的信息需要被管理
而arena，就是管理堆的一个结构

2. arena 的特点

一个线程只有一个arena，这些arena是互不相同的。
主线程的arena称为main_arena，子线程的arena称为thread_arena。

pwnable.tw 部分详细题解

1. start

点击 这里 下载题目

易知信息

• 所有保护都被禁用
• 有明显的栈溢出
• sys_read和sys_write所操作的内存空间都是esp指向的位置

分析

• 程序没有开启NX保护，所以我们可以通过写入并执行shellcode来获得shell
• 但在执行shellcode之前，我们需要先得到esp的具体值，从而计算出shellcode在栈上的具体地址
  • 分析汇编代码和栈结构，我们可以发现，old esp被存到了栈的底部。
  • 所以只要我们将这个地址泄露出来，那么就可以得知栈顶地址。
  • 而当程序第一次ret后，esp就指向old esp
  • 所以我们可以通过ret至sys_write，将old esp泄露，同时还可以进行二次栈溢出，写入并跳转至shellcode。

HNUCTF2020新生赛 部分pwn题题解

1. calculator

点击 这里 下载题目

查看保护

1
2
3
4
5
6
7

root@Kiprey:~/Desktop/HNUCTF/pwn# checksec pwn6
[*] '/root/Desktop/HNUCTF/pwn/pwn6'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)