漏洞原理

Double Free其實就是一種在free時利用偽造chunk并且欺騙操作系統，達到修改內存的目的。

基本知識點

先大概說下基本知識。 不管是在正在使用的還是釋放的chunk,其數據結構是差不多一樣的,差別在于prev_size、’fd’和’bk’，prev_size只有前一個chunk是free狀態才會放置其大小，后兩個只有當前chunk是free狀態才會有，不然只會存放數據。

struct malloc_chunk { INTERNAL_SIZE_T prev_size; /*如果前一個chunk是free狀態，則為其大小*/ INTERNAL_SIZE_T size; /*包含頭部在內的chunk的大小*/ struct malloc_chunk * fd; /*如果此chunk釋放，此為指向上一個釋放chunk的指針*/ struct malloc_chunk * bk; /*與上同樣，指向下一個釋放chunk*/ }

在64位操作系統上，由于堆的分配大小是8字節對齊的，所以pre_size和size后3bit都為0，為了節省空間，glibc把size的后三位用于3個標志位，分別表示：

• PREV_INUSE (P) –標示前一個chunk的分配在用狀態。
• IS_MMAPPED (M) – 標示通過mmap分配。
• NON_MAIN_ARENA (N) – 標示此chunk屬于線程arena。

關于堆的分配，還需要說明下，堆管理中的chunk指針是指向chunk頭部，大小也是包括頭部的，而用戶申請的大小只是數據空間的大小，返回的指針也是指向數據空間。

malloc

來分析個很簡單的程序，這邊以64位為例。

int main(int argc, char **argv) {char * buf=malloc(32);strcpy(buf,"hello world");char * buf1=malloc(504);char * buf2=malloc(512);memset(buf1,'1',504);memset(buf2,'2',512);free(buf1);free(buf2);free(buf);return 0; }

整個chunk是從0x1c06000開始的，malloc返回的是數據地址也就是0x1c06010，相差0x10，也就是pro_size和size的長度。從下圖可以看到第一個紅框0x31表示的是整個chunk長度為0x30，前一個chunck處于使用狀態

free

第一次free時，可以得到main erana的fastbin地址，這邊有點難以理解，建議先去了解malloc 過程http://blog.csdn.net/maokelong95/article/details/51989081

定位到0x7FF832A927B8+C和0x7FF832A927B8+8記錄了buf1的地址,也就是fd,bk都為buf1的chunk

第二次free，發現0x7FF832A927B8+C變為0x7FF832A927B8

分析

存在一具有寫權限的全局變量ptr指向buf1，如果讓buf1釋放后fd為指向ptr-0x18（0x234f010-3*0x8），那么在free buf2時，ptr就會指向ptr-0x18（0x234f010-3*0x8）,這時候修改*ptr不再是buf1的內容，而是ptr-0x18開始的內存。

參考資料：
https://bbs.pediy.com/thread-218395.htm
https://sploitfun.wordpress.com/2015/02/10/understanding-glibc-malloc/comment-page-1/

總結

以上是生活随笔為你收集整理的double free的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。