free()：删除列表时在tcache 2中检测到双重释放

free()是C语言中的一个函数，用于释放动态分配的内存空间。当使用malloc()、calloc()或realloc()等函数动态分配内存后，需要使用free()函数将其释放，以避免内存泄漏。

在tcache 2中检测到双重释放是指在tcache（Thread Cache）中检测到了对同一块内存进行了两次释放操作。tcache是glibc中的一种内存管理机制，用于高效地管理小块内存的分配和释放。

双重释放可能导致程序崩溃或安全漏洞，因为第一次释放后，该内存块的指针已经无效，再次释放会导致未定义行为。为了避免双重释放，可以在释放内存后将指针设置为NULL，以确保不会再次释放。

在云计算领域中，内存管理是一个重要的话题。云计算平台通常需要处理大量的并发请求，合理管理内存资源可以提高系统的性能和稳定性。腾讯云提供了多种云计算产品，如云服务器、云数据库、云原生应用引擎等，可以帮助开发者构建高效可靠的云计算应用。

相关·内容

ptmalloc与glibc堆漏洞利用

对于这种情况，我只想说：这个月，该我了 :) 前言大家都知道在Linux中，或者说glibc中，动态分配/释放内存使用的是malloc/free函数。那么malloc中获得的内存，是从哪来的呢？...释放时在填满tcache之后才进入传统的释放过程，分配时也先从tcache中搜索。.... */ 由于tcache的增加和删除非常简洁，因此速度很快，但另一方面这也意味着缺乏各种安全检查和mitigation，在利用时候也格外方便。...溢出的思路有以下几种：一、拓展被释放块：当溢出的下一个chunk已经被释放并且存放在unsorted bin中时，通修改一字节将其扩大，这样下一次分配该chunk时后面的块就会被包含从而造成进一步溢出...，使其在之后分裂此块时将无法正确更新后一块的prev_size，导致释放时出现重叠的堆块。

6193 0

re-alloc - realloc() 技巧利用

等价于malloc(size) 第一个参数不为空时若mem_address被检测到不是堆上的地址，会直接报错若mem_address为合法堆地址若第二个参数size=0，则realloc相当于...的验证机制，那就是在free掉的tcache chunk的next域后增加一个key域，写入tcache arena所在位置地址。...如果free时检测到这个key值，就会在对应tcache bin中遍历查看是否存在相同堆块。...（这点很重要，涉及到如何tcache double free）关于glibc2.29 tcache机制部分源码： _int_malloc part 这里我在本地和远程的环境出现了不同，远程中没有在取出...tcache时判断同一条bin上剩余tcache chunk的数量，所以无需先伪造足够长度的bin再进行tcache attack。

6722 0

how2heap学习（下）

how2heap 是 shellphish 团队在 github 上面分享的用来学习各种堆利用手法的项目我主要是把 how2heap 代码里面的文字说明用谷歌结合调试时的理解给翻译了一下 large_bin_attack...chunk 的大小强制 malloc 把将要释放的第三个 large chunk 插入到 largebin 列表的头部（largebin 会按照大小排序）。...tcache 有剩余（不够 7 个）的时候，smallbin 中的相同大小空闲块会放入 tcache 中，这时候也会出现 unlink 操作 calloc 在分配时不会用 tcache bin 的首先把...printf("接下来要释放的这个 %p 因为 tcache 已经满了，所以不会放到 tcache 里边，进入 fastbin 的链中\n\n",victim); free(victim);...它包含一个指向列表中下一个块的指针，这就是为什么将堆指针写入堆栈的原因。前面我们说过，如果释放少于6个额外的指向fastbin的指针，但仅当堆栈上的值为零时，攻击也将起作用。

5684 1

ciscn_2019_final_3 writeup

两次，因为有 tcache 机制，所以可以 free，且会放在同一个 tcache 链表中 0x555555768e70 接下来申请回来 0x50，反手把 fd 指针改掉，改成： 0x555555768e70...了两次，所以应该还指向第 0 个，但是第 0 个的 fd 指针已经改变了然后再去申请一个的话 tcache 就指向更改的那个 0x0000555555757010 了我们再通过申请时写入到 0x555555757050...使得前面有个地方改成 0x0000555555768ec0 （这时候突然意识到 tcache 是每种大小的在一个链表），exp 中后面再去 malloc 的是 0x10，往后数一下，我们之前看到的 0x555555757070...0x555555757050 去找指针而我们写入的那个 0x0000555555768ec0 正好是第 1 个 chunk 的 chunk 头，也就是说这样我们就能控制第 1 个 chunk 的 size 了，我们在申请时将它的...0x61（'a'）了，所以即使 0x100 也会放入 unsorted bin 中然后去 malloc 一个的同时把第 0 个的 fd 指针又改为了刚才释放的那一个，强行排队2333 这样再去申请第三次的时候就会申请到

7487 1

how2heap 系列记录

free后chunk b 和fake_chunk进行合并，成为新的top chunk，top chunk的地址在栈上，所以再分配时就会得到在栈上的chunk。...\n", malloc(8), malloc(8)); return 0; } 在glibc 2.29版本以下未对tcache进行double free 检查，（glibc 2.29会对tcache...通过覆盖tcache bin中chunk的fd指针，将其指向目标地址，从而改变tcache_entry的next指针，在malloc时在目标地址得到 chunk。...tcache 在释放堆块时没有对其前后堆块进行合法性校验，只需要本块对齐（2*SIZE_SZ）就可以将堆块释放到 tcache 中，而在申请时，tcache 对内部大小合适的堆块也是直接分配的，导致常见的...释放后，伪造的chunk就被放入tcache bin中： ?

1.4K3 0

Safe-Linking机制分析

type) \ PROTECT_PTR(pos, ptr, type) 将指针的地址右移PAGE_SHIFT 再和指针本身异或，如下，L为指针的地址，P为指针本身，该操作是可逆的，取指针时再做一次操作就可以还原得到原来的指针...object的地址 = random ^ 当前free object的地址 ^ 当前free object 原本fd处的值在 kmem_cache 增加了一个unsigned long类型的变量random...Safe-Linking 机制绕过主要就是泄漏L>>12的值，通过构造堆块，使得chunkC被包含在一个大堆块中，有两个指针同时指向chunkC，造成UAF，释放一个chunkC指针到tcache中，...(tcache_allocs[i]); } SAFE_FREE(chunkB); memcpy(chunkC, payload, 0x99); chunkD[0x98...(tcache_allocs[0]); SAFE_FREE(chunkC3); *(uint64_t *) chunkC = masked_ptr; char *junk2

1.3K6 0

Linux进程内存管理（二）

tcache : 每个线程对应一个 tcache ，负责当前线程使用内存块的快速申请和释放，避免线程间锁的竞争和同步。...large object : 当 size tcache_maxclass 时，为 huge object。...small object 和 large object 回收的时候，先放回 tcache。 huge object 回收的时候，直接调用 munmap 将内存释放给内核就行。...tcahe 缓存的内存满时会触发释放到 arena；arena 缓存的内存满时会触发释放到 system memory。更多细节可以参考代码实现 je_free 。

2.8K4 0

ptmalloc cheatsheet

实际测试一下可能更清楚一些，在 unsorted bin 为空时，有以下属性: pwndbg> p *main_arena.bins[0] $1 = { mchunk_prev_size = 94692393318320...既然是 FIFO，而且在插入时候从表头的 fd 插入，那么取出时自然就优先从链表末尾即 bk 拿出了，取出的相关操作如下: while ((victim = unsorted_chunks (av)->...早期什么检查都没有，但每一代都会新增一些校验，导致 tcache 已经不是那么好利用了，所以现在基本上都是先将其填满，然后再去利用常规方法进行利用。算法这里简单把堆分配和释放的过程记录下来。...中分裂出新的块并返回；关于 tcache 的横刀夺爱: 在第 2 和第 3 步，相同大小的其他块也会取出放到对应的 tcache bin 中；在 5.3 步，并不直接返回，而是先放到 tcache...bin 中然后继续遍历；在 unsorted bin 每次循环的末尾会检查 tcache 有没有拿够，拿够了就放人； free 接着看内存释放的过程: 如果对应的 tcache bin 有空位，直接放进去

2133 0

ptmalloc、tcmalloc与jemalloc对比分析

在释放操作中，线程同样试图获得待释放内存块所在分配区的锁，如果该分配区正在被别的线程使用，则需要等待直到其他线程释放该分配区的互斥锁之后才可以进行释放操作。...线程中内存管理对于空闲的chunk，ptmalloc采用分箱式内存管理方式，每一个内存分配区中维护着[bins]的列表数据结构，用于保存free chunks。...最大的 chunk 保存顶端，而最小的 chunk 保存在尾端；查找较慢，且释放时两个相邻的空闲 chunk 会被合并。...jemalloc同样有一层线程缓存的内存名字叫tcache，当分配的内存大小小于tcache_maxclass时，jemalloc会首先在tcache的small object以及large object...当申请大小大于tcache_maxclass且大小小于huge大小的内存块时，则直接从arena开始分配。

7581 0

DASCTF｜2022DASCTF May出题人挑战赛官方Write

点击之后看到一些内容，返回一些对应的文件和回显 4.发现users.go无法被解析 5.最下面的点击后会进入upload目录，可以上传文件，根据描述要上传go文件 6.但是如果上传常规文件无法被解析，说明上述文件列表为白名单...free_hook,malloc_hook,exit_hook的情况下劫持程序流、orw绕沙箱、malloc申请不会初始化堆空间，可以泄露地址、malloc申请较大堆块时，会使用mmap分配，可以在原先...mmap的区域前面开辟一块合法空间、堆块idx负数溢出、tcache double free 解题步骤：堆块结构和利用方法： 1.程序实现了add,delete和show的功能，add时不会初始化...，在上面写入需要double free的堆地址 6.然后布置house of kiwi劫持程序流所需的数据 7.利用tcache double free覆盖_IO_file_sync为setcontext...、低版本libc在free报错时会输出文件名解题步骤： 1.栈上存在堆地址，里面有flag，利用name跟堆地址相邻，覆盖\x00连带泄露堆地址 2.输入yes时，后面的栈空间可以存放堆地址-8，便于之后格式化字符串漏洞修改

1.5K4 0

Rust生态安全漏洞总结系列 | Part 2

parse_duration 通过用太大的指数解析 Payload 来拒绝服务(DOS) RUSTSEC-2021-0053：算法库中 merge_sort::merge() 导致实现 Drop 的类型双重释放...这对另一个优化产生了糟糕的影响：当我们知道产生32位值的指令实际上将其目标寄存器的高32位置零时，指令选择器将选择一个32到64位的零扩展运算符。...RUSTSEC-2021-0053：算法库中 merge_sort::merge() 导致实现 Drop 的类型双重释放（ double-free）漏洞类型：Vulnerability 漏洞分类：memory-corruption...该库中的归并排序的实现中，merge 函数导致对列表元素持有双份所有权，所以会双重释放（double free）。注意下面源码中，为 unsafe rust 实现。...(arr); } 输出： free(): double free detected in tcache 2 Terminated with signal 6 (SIGABRT) 该 Bug 还未得到修复

7607 0

原创 Paper | CVE-2024-2961 漏洞分析

如果是在一个CTF题目中，我们可以用以下利用思路：分配x个相同大小并且地址连续的堆，然后释放它们，那么它们会被放入tcache中形成链表。...控制0x40348地址的值为free_hook地址对齐后地址，或者其他想要任意写的任意地址。 3. 释放它们形成tcache链表 0x40100->0x40200->0x40300 4....再分配一个堆，tcache链表变成了： 0x40348->free_hook 7. 重复第6步，tcache链表变成了： free_hook 8....在CTF中，常能够轻松利用的原因是我们可以相对容易地控制堆的分配和释放。因此，现在我们需要研究如何在php中实现对堆的分配和释放的控制。...由于触发漏洞时，iconv返回-1，所以0x7ffff5288200堆在溢出后会被释放，这个时候free链表为：0x7ffff5288200->0x300->0x148...。

2961 0

CISCN2022-Duck

该题目附件我已经上传到Github，有需要的可以下载，复现这题时，我是使用的NSSCTF提供的远程环境。...fd指针都采用了异或加密，在申请chunk时便会异或解密，所以当我们改写fd指针时，只需要将泄露出的堆的基地址右移12位后与当前地址异或即可。...这道题逆向难度并不大，通过IDA静态分析就可以很明显的看出，在free时存在UAF，所以可以很轻松的泄露堆的基地址（用于异或加密）与libc。...先多申请几个chunk（大于8个），把最后一个留下其余的全部释放，并用0号来泄露堆的基址，将泄露的地址左移12位即可得到堆的基地址。...由于chunk的大小为0x110，所以在填满tcache后，剩下的不与top chunk相邻的chunk将放入unsorted bin中，这也是前面要申请大于8个chunk的原因，然后再通过UAF泄露main

3093 0

Pwn - BabyFMT

babyFMT 以为是个普通的格式化串题，结果是出题人自己实现了一个格式化输入（babyscanf）和输出（babyprintf）漏洞点：一个是在show()里面可以自定义输出用的格式化串，但是光有这个是无法利用的...，需要结合另一个漏洞点另一个是在babyprintf()中，这里最开始缓冲区大小的确定方式是：首先获取格式化串原长（用的strlen），先进行一次遍历，每遍历到一个%就把需要的长度+0x10，最后交给...于是当我们使用%r——类似scanf中的%s时就会造成以外的堆溢出覆盖利用：溢出理论可行，但是格式化串的buffer在解析完后会释放，所以要准确控制堆溢出位置还是有点麻烦的我采用的堆风水思路是控制...这里之所以选择一个较大的堆块（0x50）去做控制是因为在__free_hook被修改为system之后并不能立马发生system("/bin/sh")，需要手动去执行一次show()逻辑，在最后释放格式化串..."libc_leak:", hex(libc_leak)) print("libc_base:", hex(libc_base)) ## attack tcache #

3441 0

内存泄漏以及常见的解决方法

以下从三个方面来解决内存泄露：第一，良好的编码习惯，尽量在涉及内存的程序段，检測出内存泄露。当程式稳定之后，在来检測内存泄露时，无疑添加�了排除的困难和复杂度。...对于基于引用计数的系统对象尤其要注意，由于仅仅有其引用计数为0时，该对象才干正确被删除。而其使用过程中有其生成的新的系统资源，使用完成后，假设没有及时删除，都会影响其引用计数。...的引用计数就是你最后没有删除掉的字体的个数。...，程序结束时可检查改链表，当中记录了内存泄露的文件，所在文件的行数以及泄露的大小哦。...特别是在for 循环语句中，循环次数非常easy搞错，导致数组操作越界。使用free 或delete 释放了内存后，没有将指针设置为NULL。导致产生“野指针”。

1.4K1 0

如履薄冰 —— Redis懒惰删除的巨大牺牲

异步线程在Redis内部有一个特别的名称，它就是BIO，全称是Background IO，意思是在背后默默干活的IO线程。不过内存回收本身并不是什么IO操作，只是CPU的计算消耗可能会比较大而已。...懒惰删除的最初实现不是异步线程 Antirez实现懒惰删除时，它并不是一开始就想到了异步线程。最初的尝试是使用类似于字典渐进式搬迁那样来实现渐进式删除回收，在主线程里。...这样也可以达到删除大对象时不阻塞主线程的效果。...执行懒惰删除时，redis将删除操作的相关参数封装成一个bio_job结构，然后追加到链表尾部。异步线程通过遍历链表摘取job元素来挨个执行异步任务。...->ptr); break; case OBJ_ENCODING_ZIPLIST: // 如果是压缩列表可以直接释放 // 因为压缩列表是一整块字节数组

4681 0

redis4.0 内存碎片整理源码解析

redis 并没有维护自己的内存池，而是直接通过操作系统中 malloc 族的各个函数来实现在堆内存上的动态分配和释放，这就增加了 redis 对内存管理的复杂度，尤其是在频繁插入数据和删除数据的场景下...很简单，只要重启 redis 服务，redis 会释放全部内存，并在重新启动时读取持久化文件，进行批量内存分配，内存碎片的问题也就不存在了。...make sure not to use the thread cache. so that we don't get back the same * pointers we try to free...); zfree_no_tcache(ptr); return newptr; } 可以看到，在 activeDefragAlloc 函数中，通过 zmalloc_no_tcache 函数分配了全新的连续空间...，并且通过 memcpy 拷贝，然后释放掉了旧的空间，从而实现碎片整理的功能。

1.1K1 0

如何对二进制代码进行定向模糊测试以扫描用后释放漏洞

为此，我们开发出了UAFuzz，它是一个在二进制代码级别上专门针对用后释放漏洞（UAF）的定向模糊测试工具。该工具可以通过仔细调整定向模糊测试的关键组件来满足这个类型漏洞的特定特性。...在释放堆元素之后，如果再次使用堆元素时便会触发用后释放漏洞。...大家都知道，检测UAF漏洞是比较困难且复杂的，因为PoC输入需要在同一内存位置触发三个事件序列（分配、释放和使用），这里涉及到目标程序的多个功能。...针对这个漏洞，无论是AFL-QEMU，甚至是带有源代码级目标的定向模糊测试工具AFLGo都无法在6小时内检测到它，而UAFuzz可以在Valgrind的帮助下在几分钟内检测到它。...这个GNU补丁中存在一个双重释放漏洞，不过开发人员已经在9c98635中修复了该漏洞。

1.5K1 0

Rust生态安全漏洞总结系列 | Part 3

然后，当控制权在垃圾收集后被传递给Wasm时，Wasm可以使用第一个externref，但这时它已经被释放了。...运行使用externrefs的Wasm时，存在一个无效释放和越界读写的错误。...这就会导致释放一些不应该释放的内存，以及潜在的越界读写。...CVE-2021-31162: Vulnerability in std[35] 在 Rust 1.52.0之前的Rust标准库中，如果释放元素时出现panic ，在Vec::from_iter函数中会出现...(): double free detected in tcache 2 因为枚举MyEnum在析构的时候panic，导致资源泄漏，而引发了双重 free 的问题。

8653 0

【数据结构】双链表

Node *start; //&start传递的就是指针的地址 initNode(&start); } 个人建议使用第一种方式，对我这种基础薄弱的，指针已经很难理解了，又加了双重指针...，有点要命了遍历遍历没什么好说的，一直遍历节点next，直到为空停止该函数传递的是头指针的next，然后进行遍历，不存在空指针的错误 //列表的遍历 Node list(Node *l) {...添加一个节点涉及到四次赋值，分别是将p的next赋给n的next，将p的next的prior赋值为n，这一步可能出现空指针异常，p的next赋值为n，n的prior赋值为p 可能出现空指针异常的地方在p...别忘记释放资源 //删除一个节点 void delete(Node *p){ if(p->next!...=NULL){ p->next->prior=p->prior; } p->prior->next=p->next; //释放资源 free(p); }

1531 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云