Abort Called C中损坏的大小与prev_size错误 - 腾讯云开发者社区

__lll_mutex_lock_wait的错误原因.pdf 1. x86_64栈（glib 2.4）： free时： (gdb) bt #0 0x00002b9405ea1c38 in...的size成员 18 delete []p2; 19 delete []p1; 20 return 0; 21 } 当将上述代码中的“close(STDERR_FILENO)...) at b.cpp:18 如果将上面代码中的“delete [] p1;”和“delete [] p2;”先后顺序对调一下： // g++ -g -o b b.cpp #include #include...prev): 0x0000000000501670 *** 5. malloc_chunk结构（可以glibc的malloc.c中找到）：有两种结构： malloc_chunk相关的源代码...的chunk大小和状态 [c32]size: 2064/2064, used(1) [c32]Forward pointer: (nil) [c32]Back pointer: (nil) 11.

2.1K4 0

Linux (x86) Exploit 开发系列教程之十一 Off-By-One 漏洞（基于堆）

每个块有自己的块头部（由malloc_chunk表示）。malloc_chunk结构包含下面四个元素： prev_size – 如果前一个块空闲，这个字段包含前一个块的大小。...当大小为 1020 字节（p2）的块由单个字节溢出时，下一个块（p3）的头部中的size的最低字节会被 NULL 字节覆盖，并不是prev_size的最低字节。...checked_request2size将用户请求的大小转换为可用大小（内部表示的大小），因为需要一些额外空间来储存malloc_chunk，并且也出于对齐目的。...但是在同一篇文章中，我们也看到，unlink 技巧已经废弃，因为 glibc 近几年来变得更加可靠。具体来说，因为“双向链表损坏”的条件，任意代码执行时不可能的。...但是在 2014 年末，Google 的 Project Zero 小组找到了一种方式，来成功绕过“双向链表损坏”的条件，通过 unlink large 块。

5121 0

您找到你想要的搜索结果了吗？

是的

没有找到

Exim Off-by-one(CVE-2018-6789)漏洞复现分析

不过虽然有影响，但是只是影响构造的细节，总体的构造思路还是按照meh写的paper中那样。...0x4040大小的chunk，在执行完EHLO命令后被释放, 然后0x1d191c0是inuse的sender_host_name，这两部分就构成一个0x6060的chunk STEP 2 现在的情况是...EHLO释放之前的sender_host_name，然后重新设置，让sender_host_name位于0x6060大小chunk的中部 p.sendline("EHLO %s"%("c"*(0x2000...：第一块未被使用的0x2020大小的chunk 第二块正在被使用0x2000大小的sender_host_name 第三块未被使用，并且和之后堆块合并, 0x6060大小的chunk 我们现在再回过头来想想各个...另外，通过与github上的exp进行对比，发现不同版本的exim，acl_check_xxx的堆偏移也有差别，所以如果需要RCE exim，需要满足下面的条件：包含漏洞的版本(小于等于commit

7982 0

Linux (x86) Exploit 开发系列教程之九使用 unlink 的堆溢出

例如，从 binlist unlink（移除）前一个块，将前一个块的大小与当前块相加，并将块指针指向前一个快。但是我们这里，前一个快是分配的，因此 unlink 不会调用。...因此下一个块second不是空闲的。如果是空闲的，合并它。例如，从它的 binlist 中 unlink（移除）下一个块，并将下一个块的大小添加到当前大小。...例如，从 binlist unlink（移除）前一个块，将前一个块的大小与当前块相加，并将块指针指向前一个快。但是我们这里，前一个快是分配的，因此 unlink 不会调用。...例如，从它的 binlist 中 unlink（移除）下一个块，并将下一个块的大小添加到当前大小。...当攻击者将second块的大小赋为 -4 时，glibc malloc 就会抛出下一个块大小无效的错误。

6383 0

关于OpenResty里的ngx.on_abort

关于 OpenResty 里的 ngx.on_abort，官方文档里是这样说明的： Registers a user Lua function as the callback which gets called...因为我在代码里设置了 sleep，所以 curl 无疑会卡住，通过执行 Ctrl+c 强行终止，以此构造出一个客户端提前关闭连接的场景，此时我们在 tail 窗口就能看到输出了 log，由此可知当客户端提前关闭连接的时候...has been called)....也就是说，当客户端提前关闭连接的时候，如果 ngx.req.socket 中的数据没有被读取，那么 ngx.on_abort 里注册的函数不会被触发。...把这个报错信息重新加工了一下，所以不能按等于判断，必须按包含判断，可见通过判断错误信息等于什么来判断错误类型的方式有点不靠谱，其实在 websocket 场景，如果要求不是特别严格的话，那么只要 fatal

6491 0

一篇文章彻底讲懂malloc的实现（ptmalloc）

prev_size主要用于相邻空闲chunk的合并）　　size ：当前 chunk 的大小，并且记录了当前 chunk 和前一个 chunk 的一些属性，包括前一个 chunk 是否在使用中，当前...故而实际上, 一个使用中的 chunk 的大小的计算公式应该是: in_use_size = ( 用户请求大小 + 8 - 4 ) align to 8 bytes 这里加8是因为需要存储 prev_size...六、sbrk与mmap 　　在堆区中， start_brk 指向 heap 的开始，而 brk 指向 heap 的顶部。...使用 mmap()直接映射的 chunk 在释放时直接解除映射，而不再属于进程的内存空间。任何对该内存的访问都会产生段错误。...判断chunk是否与top chunk相邻，如果相邻，则直接和top chunk合并（和top chunk相邻相当于和分配区中的空闲内存块相邻）。

1.3K1 0

PWN：House Of Einherjar

然后申请一个 chunk b，因为前面申请的 chunk 的大小是 0x38，所以 chunk a 共用了 chunk b 的 chunk 头的 0x8，也就是说我们写 chunk a 的最后 0x8...然后我们释放掉 b，这时候 b 因为与 top chunk 挨着，会跟 top chunk 合并，然后因为 prev_inuse 是 0，所以会根据 prev_size 去找前面的 free chunk...程序在 0x602140 这里记录了申请的 chunk 的 size 与指针 ?...tinypd+0x20 的地址的偏移（实际上是 heap_addr 与 tinypad 的偏移），然后伪造了一个 fake chunk，它的大小是 0x101，fd 跟 bk 都是 tinypad +...的那里下个断点，然后 c 运行到那里） ?

4575 1

Exim Off-by-one(CVE-2018-6789)漏洞复现分析

不过虽然有影响，但是只是影响构造的细节，总体的构造思路还是按照meh写的paper中那样。...0x4040大小的chunk，在执行完EHLO命令后被释放, 然后0x1d191c0是inuse的sender_host_name，这两部分就构成一个0x6060的chunk STEP 2 现在的情况是...EHLO释放之前的sender_host_name，然后重新设置，让sender_host_name位于0x6060大小chunk的中部 p.sendline("EHLO %s"%("c"*(0x2000...：第一块未被使用的0x2020大小的chunk 第二块正在被使用0x2000大小的sender_host_name 第三块未被使用，并且和之后堆块合并, 0x6060大小的chunk 我们现在再回过头来想想各个...write的理解有问题吧另外，通过与github上的exp进行对比，发现不同版本的exim，acl_check_xxx的堆偏移也有差别，所以如果需要RCE exim，需要满足下面的条件：包含漏洞的版本

1.3K7 0

Dance In Heap（三）：一些堆利用的方法（中）

在内的size，而实际可用的size与此不同，它是减去chunk header后的大小。...= 0x181 // 0x01标识a为inuse状态现在我们malloc一个0x180的 chunk，系统就会将从b开始的0x180大小的空间返还，这其中包括c d = malloc(0x180-8)...; ok，现在我们就可以更改利用d更改c中的内容，如果c中包含某个函数指针，我们也可以去改变它,当然 0x03 overlapping chunk 2 我们在前面先释放再修改size来获得了一个覆盖掉后面...chunk的size，所以我们预留了d，并且防止free后直接与top chunk合并，之后我们free掉b，然后再次malloc就又包括了c free(p); e = malloc(0x200-8);...了解chunk复用的原理，就是去改变 size 位来使系统对错误的长度进行 malloc、free，这就是我们的目的。

6277 0

nodejs创建线程问题

我们知道在nodejs中可以使用new Worker创建线程。今天有个同学恰好问到，怎么判断创建线程成功，这也是最近开发线程池的时候遇到的问题。nodejs文档里也没有提到如何捕获创建失败这种情况。...不过坏消息是，我们无法捕获这个这个错误。下面看一下源码。我们直接从c++层开始分析。...当我们调用new Worker的时候，最后会调用c++的StartThread函数（node_worker.cc）创建一个线程。...我们回头看一下返回非0时，c++的处理。我们对c++层的CHECK_EQ(uv_thread_create_ex(…), 0)进行宏展开。...对于业务错误我们可以注册error事件处理，在new Worker的时候，我们可以加try catch。可以捕获一下参数错误的情况。

9472 0

大厂生产环境的RocketMQ都是这样部署的

缺点：Master宕机磁盘损坏的情况下会丢失少量消息。...数据与服务都无单点故障，Master宕机情况下，消息无延迟，服务可用性与数据可用性都非常高；缺点：性能比异步复制模式略低（大约低10%左右），发送单个消息的RT会略高，且目前版本在主节点宕机后，备机不能自动切换为主机...文件存储路径 abortFile=/usr/local/rocketmq/store/abort #限制的消息大小 maxMessageSize=65536 #flushCommitLogLeastPages...文件存储路径 abortFile=/usr/local/rocketmq/store/abort #限制的消息大小 maxMessageSize=65536 #flushCommitLogLeastPages...由于版本更新问题，少部分命令可能未及时更新，遇到错误请直接阅读相关命令源码相关的命令比较多可以在官网查看。

8943 0

how2heap 系列记录

unsort bin 中去，然后下一次分配的大小如果比它大，那么将从 top chunk 上分配相应大小，而该 chunk 会被取下link到相应的 bin 中。...该攻击方式可实现两次往任意的地址写堆地址的能力，设任意地址为evil_addr，问题出现在当前的largebin插入为堆头的过程，在此过程中假设我们可控largebin中的bk_nextsize与bk。...中的PREV_INUSE位 size_t fake_size = (size_t)((b-sizeof(size_t)*2) - (uint8_t*)fake_chunk); //计算与目标地址的偏移...此外，需要注意的是，在一些特殊大小的堆块中，off by one不仅可以修改下一个堆块的 prev_size，还可以修改下一个堆块的PREV_INUSE比特位。...如果要触发sysmalloc中_int_free，那么本次申请的堆大小也不能超过mp_.mmap_threshold，因为代码中也会根据请求值来做出不同的处理。

1.4K3 0

Oracle 普通数据文件备份与恢复

恢复这样的数据文件可以采用高可用策略，在数据库OPEN状态下进行 10.1 普通数据文件损坏的后果普通数据文件损坏后，只是用户的业务数据不同程度上无法访问（查询与修改），报错 ORA-01578，执行命令的会话不会被中断...由于检查点失败导致文件下线的错误记录，访问该数据文件ORA-00376错误，实例不再试图访问该文件，此时实例也能重启成功。...数据文件头部损坏的情况可能需要特殊处理。 10.3.1 恢复前的准备与关键数据文件的恢复一样，进入mount状态时恢复的前提，确保参数文件和控制文件正常。...10.3.2 非文件头部损坏后的恢复只要文件头部没有损坏（包括文件丢失），文件就不会被自动下线，也不会出现ORA-01210错误，可以使用此节的步骤进行恢复，数据库处于mount状态为低可用恢复策略，....dbf文件将意外引发RMAN-06010错误，原因是控制文件表示该文件已下线，restore发现yhqt01.dbf存在，通道还是会访问yhqt01.dbf文件头部，以确认其信息是否与控制文件中的一致

8622 0

how2heap学习（下）

然后我们释放掉 b，这时候 b 因为与 top chunk 挨着，会跟 top chunk 合并，然后因为 prev_inuse 是 0，所以会根据 prev_size 去找前面的 free chunk...bin 的地址，然后因为我们把 old top chunk 的 size 改为了 0x61 属于 smallbin，恰好这个大小的 smallbin 相对 unsorted bin 的偏移与 _chain...，smallbin 中的相同大小空闲块会放入 tcache 中，这时候也会出现 unlink 操作 calloc 在分配时不会用 tcache bin 的首先把 7 个放到 tcache bin 中，...这时候去申请一个 0xa0 大小的 chunk，那俩在 unsorted bin 中的 chunk 整理放在了 small bin 中 ?...如果要覆盖的堆栈地址不为零，则需要再释放6个指针，否则攻击将导致分段错误。但是，如果堆栈上的值为零，那么一个空闲就足够了。

5764 1

ptmalloc与glibc堆漏洞利用

数据结构与dlmalloc核心元素类似，ptmalloc中有类似的chunk和bin的概念，实现中涉及到的数据结构主要有三个，下文分别介绍。...bins：包含了除fastbin以外的所有bin。与dlmalloc一样，小于512字节的bin包含的是同样大小的chunk，bin之间的大小为8字节递增。...Large Bin largebin中保存的是大于等于MIN_LARGE_SIZE字节的chunk，与smallbin不一样的是，largebin中的chunk大小在同一个范围，但并不是完全相同的。...----| | A | B | C | 溢出 B 的 size 为 0x180 (C->prev_size) |-------|-------|-------| | A...C 块的 size 为 0x200，并使其 prev_size 为 0x200 |-------|-------|-------| | A | B | C | 释放 C |-

6253 0

【DB笔试面试534】在Oracle中，数据库的启动经历几个过程？

（c）启动后台进程，例如PMON、SMON等。（d）打开并修改告警日志文件及跟踪文件。 MOUNT阶段完成的任务如下所示：（a）利用参数文件中的CONTROL_FILES的值，打开并锁定控制文件。...即使有一个控制文件缺失或损坏，实例也会向DBA返回错误（指明控制文件缺失或状态不同步）并保持NOMOUNT状态。（b）将数据库与实例关联起来。...（c）读取控制文件并获取数据文件和Redo日志文件的名称和状态信息，但不检查数据和日志文件是否存在。需要注意的是，这一步会读取控制文件，如果这一步有任何一个控制文件被损坏，那么数据库就无法正常启动。...如果缺失了任何数据文件，那么数据库会向DBA返回一个错误，指出第一个缺失的文件，此时实例保持MOUNT状态。当实例发现缺失文件时，错误消息中只显示导致问题的第一个文件。...如果任何文件需要进行介质恢复，那么数据库会向DBA返回一条错误消息，指出第一个需要恢复的文件，此时实例保持MOUNT状态。（c）打开联机Redo日志文件。

8542 0

「玩转Lighthouse」Linux（CentOS7）配置RocketMQ集群

摘要 RocketMQ是阿里巴巴开源的分布式消息中间件。支持事务消息、顺序消息、批量消息、定时消息、消息回溯等。它里面有几个区别于标准消息中件间的概念，如Group、Topic、Queue等。...磁盘损坏情况下会丢失少量消息。...：数据与服务都无单点故障，Master宕机情况下，消息无延迟，服务可用性与数据可用性都非常高； - 缺点：性能比异步复制模式略低（大约低10%左右），发送单个消息的RT会略高，且目前版本在主节点宕机后，...文件存储路径 abortFile=/usr/local/rocketmq/store/abort #限制的消息大小 maxMessageSize=65536 #flushCommitLogLeastPages...文件存储路径 abortFile=/usr/local/rocketmq/store/abort #限制的消息大小 maxMessageSize=65536 #flushCommitLogLeastPages

1.9K5 0

【二进制安全】House Of Eingherjar

中的隐式链表技术，把 P 指针指向了要 free 堆块的前一个堆块（q），然后进行 unlink 操作。...对于关键点，我觉得 wiki 上总结的很好。 * 需要有溢出漏洞可以写物理相邻的高地址的 prev_size 与 PREV_INUSE 部分。...* 我们需要计算目的 chunk 与 p1 地址之间的差，所以需要泄漏地址。 * 我们需要在目的 chunk 附近构造相应的 fake chunk，从而绕过 unlink 的检测。...来求出 free 的堆块的地址，然后就可以根据地址差来计算 pre_size，同时也使得我们在 ptr_array 的 fake_chunk 中可以事先写入堆块指针 p 的地址来绕过 unlink....3.free 之后我们的堆块指针成功转移，那么我们可以根据预先设定的 fake_chunk 的大小将其申请出来，那么我们就可以对 ptr_array 实现任意写了。

4002 0

重识Nginx - 15 使用信号管理Nginx的父子进程

SIGILL 4 Core 非法指令 SIGABRT 6 Core 来自abort的异常信号 SIGFPE 8 Core 浮点例外 SIGKILL 9 Term 杀死 SIGSEGV 11 Core...段非法错误(内存引用无效) SIGPIPE 13 Term 管道损坏：向一个没有读进程的管道写数据 SIGALRM 14 Term 来自alarm的计时器到时信号 SIGTERM 15 Term 终止...Core 总线错误（内存访问错误） SIGPOLL Term Pollable事件发生(Sys V)，与SIGIO同义 SIGPROF 27,27,29 Term 统计分布图用计时器到时 SIGSYS...-,18 Ign 与SIGCHLD同义 SIGPWR 29,30,19 Term 电力故障(System V) SIGINFO 29,-,- 与SIGPWR同义 SIGLOST -,-,- Term...文件锁丢失 SIGWINCH 28,28,20 Ign 窗口大小改变(4.3BSD, Sun) SIGUNUSED -,31,- Term 未使用信号(will be SIGSYS)

6194 0

Postgresql源码（109）并行框架实例与分析

这会导致启动的后端在下一个 CHECK_FOR_INTERRUPTS() 中读取并重新抛出消息。大部分情况下，这使得并行模式下的错误报告“正常工作”。...没有通用机制可以确保每个工作进程中的全局变量与启动后端中的值相同；即使我们可以确保这一点，我们调用的某些函数在每次调用后可能会更新变量，并且只有执行更新的后端才会看到新值。...为了在并行模式下使尽可能多的操作安全，我们尝试从启动后端复制最重要的状态片段到每个并行工作进程中。这包括： dfmgr.c动态加载的库集合。已认证的用户ID和当前数据库。...()和TransactionIdIsCurrentTransactionId()返回与启动后台进程中相同值的方式存储。...在并行操作结束时，可能是因为操作成功完成，也可能是因为被错误中断，与该操作相关联的并行工作者退出。在出现错误的情况下，主导并行事务中的事务中止处理会终止剩余的工作者，并等待它们退出。

3143 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

__lll_mutex_lock_wait的错误原因

Linux (x86) Exploit 开发系列教程之十一 Off-By-One 漏洞（基于堆）

Exim Off-by-one(CVE-2018-6789)漏洞复现分析

Linux (x86) Exploit 开发系列教程之九使用 unlink 的堆溢出

关于OpenResty里的ngx.on_abort

一篇文章彻底讲懂malloc的实现（ptmalloc）

PWN：House Of Einherjar

Exim Off-by-one(CVE-2018-6789)漏洞复现分析

Dance In Heap（三）：一些堆利用的方法（中）

nodejs创建线程问题

大厂生产环境的RocketMQ都是这样部署的

how2heap 系列记录

Oracle 普通数据文件备份与恢复

how2heap学习（下）

ptmalloc与glibc堆漏洞利用

【DB笔试面试534】在Oracle中，数据库的启动经历几个过程？

「玩转Lighthouse」Linux（CentOS7）配置RocketMQ集群

【二进制安全】House Of Eingherjar

重识Nginx - 15 使用信号管理Nginx的父子进程

Postgresql源码（109）并行框架实例与分析

扫码

相关资讯

热门标签

活动推荐

运营活动

社区

活动

资源

关于

腾讯云开发者

热门产品

热门推荐

更多推荐