


 1 #include <stdio.h>
 2 #include <stdlib.h>
 3 #include <string.h>
 5 int main()
 6 {
 7 printf("This file doesn‘t demonstrate an attack, but shows the nature of glibc‘s allocator.\n");
 8 printf("glibc uses a first-fit algorithm to select a free chunk.\n");
 9 printf("If a chunk is free and large enough, malloc will select this chunk.\n");
10 printf("This can be exploited in a use-after-free situation.\n");
12 printf("Allocating 2 buffers. They can be large, don‘t have to be fastbin.\n");
13 char* a = malloc(512);
14 char* b = malloc(256);
15 char* c;
17 printf("1st malloc(512): %p\n", a);
18 printf("2nd malloc(256): %p\n", b);
19 printf("we could continue mallocing here...\n");
20 printf("now let‘s put a string at a that we can read later \"this is A!\"\n");
21 strcpy(a, "this is A!");
22 printf("first allocation %p points to %s\n", a, a);
24 printf("Freeing the first one...\n");
25 free(a);
27 printf("We don‘t need to free anything again. As long as we allocate less than 512, it will end up at %p\n", a);
29 printf("So, let‘s allocate 500 bytes\n");
30 c = malloc(500);
31 printf("3rd malloc(500): %p\n", c);
32 printf("And put a different string here, \"this is C!\"\n");
33 strcpy(c, "this is C!");
34 printf("3rd allocation %p points to %s\n", c, c);
35 printf("first allocation %p points to %s\n", a, a);
36 printf("If we reuse the first allocation, it now holds the data from the third allocation.");
37 }


[email protected]:~/pwn/how2heap$ ./first_fit
This file doesn‘t demonstrate an attack, but shows the nature of glibc‘s allocator.
glibc uses a first-fit algorithm to select a free chunk.
If a chunk is free and large enough, malloc will select this chunk.
This can be exploited in a use-after-free situation.
Allocating 2 buffers. They can be large, don‘t have to be fastbin.
1st malloc(512): 0x245b420
2nd malloc(256): 0x245b630
we could continue mallocing here...
now let‘s put a string at a that we can read later "this is A!"
first allocation 0x245b420 points to this is A!
Freeing the first one...
We don‘t need to free anything again. As long as we allocate less than 512, it will end up at 0x245b420
So, let‘s allocate 500 bytes
3rd malloc(500): 0x245b420
And put a different string here, "this is C!"
3rd allocation 0x245b420 points to this is C!
first allocation 0x245b420 points to this is C!
If we reuse the first allocation, it now holds the data from the third allocation.

这个案例只是讲了glibc分配chunk时的first fit原则,可以用于use after free漏洞,比较简单,对照看看源码和输出即可,

时间: 2024-12-19 05:59:08



源码 #include <stdio.h> #include <stdlib.h> int main() { printf("This file demonstrates a simple double-free attack with fastbins.\n"); printf("Allocating 3 buffers.\n"); int *a = malloc(8); int *b = malloc(8); int *c = mallo


说到java的mvc框架,struts2和springmvc想必大家都知道,struts2的设计基本上完全脱离了Servlet容器,而springmvc是依托着Servlet容器元素来设计的,同时springmvc基于Spring框架,Spring框架想必搞java的同学都很熟悉. 一进Spring的官网就发现了这样一排醒目的文字, spring可以让我们构造简单的.便携的.又快又易于扩展的基于jvm的系统和应用程序. 没错,基于Spring的MVC框架SpringMVC同样也可以构造具有这些特

Cordova Android源码分析系列一(项目总览和CordovaActivity分析)

PhoneGap/Cordova是一个专业的移动应用开发框架,是一个全面的WEB APP开发的框架,提供了以WEB形式来访问终端设备的API的功能.这对于采用WEB APP进行开发者来说是个福音,这可以避免了原生开发的某些功能.Cordova 只是个原生外壳,app的内核是一个完整的webapp,需要调用的原生功能将以原生插件的形式实现,以暴露js接口的方式调用. Cordova Android项目是Cordova Android原生部分的Java代码实现,提供了Android原生代码和上层We

jQuery源码分析系列(33) : AJAX中的前置过滤器和请求分发器

jQuery1.5以后,AJAX模块提供了三个新的方法用于管理.扩展AJAX请求,分别是: 1.前置过滤器 jQuery. ajaxPrefilter 2.请求分发器 jQuery. ajaxTransport, 3.类型转换器 ajaxConvert 源码结构: jQuery.extend({ /** * 前置过滤器 * @type {[type]} */ ajaxPrefilter: addToPrefiltersOrTransports(prefilters), /** * 请求分发器 *


昨天写了简单的聊了下java执行程序时简单的内存划分,今天我们接着往下聊,聊聊static变量和方法的内存分析. 1.static变量和方法的第一个特性内存分析 statiic变量和方法的第一个特性能通过类名.static变量和类名.static方法的形式调用,而普通只能对象的形式调用.但具体为什么是这样的,这得分析static变量和方法他们在内存中怎样分配的,因此在这里我首先建立一个学生类,里面有一个普通成员变量和一个静态成员变量以及一个普通方法和一个成员方法,然后建立了一个测试学生的类. 1

趣味分析系列 | 文胸品牌知多少(一)

一年一度的圣诞节马上就快到了,各位男神是不是又在劳神费力地给女神们准备圣诞节礼物?今年送啥呢? 送脑白金怎么样?NO,NO,NO!脑白金是送给大妈的!!! 直接给MONEY? NO,NO,NO!太俗气!!! 送鲜花与巧克力?NO,NO,NO!不实在!!! 按我说,直接送个文胸套装,有情调又贴心!!!说不定你的女神会给你个惊喜呢! 但是问题又来了,挑选哪个品牌的文胸好呢,总不能送一个层次太LOW的吧.因此,你需要对文胸的品牌有个大概的了解.简单讲,首先你得了解女生文胸品牌有多少?品牌的排名度是怎样

jQuery源码分析系列(38) : 队列操作

Queue队列,如同data数据缓存与Deferred异步模型一样,都是jQuery库的内部实现的基础设施 Queue队列是animate动画依赖的基础设施,整个jQuery中队列仅供给动画使用 Queue队列 队列是一种特殊的线性表,只允许在表的前端(队头)进行删除操作(出队),在表的后端(队尾)进行插入操作(入队).队列的特点是先进先出(FIFO-first in first out),即最先插入的元素最先被删除. 为什么要引入队列? 我们知道代码的执行流有异步与同步之分,例如 var a

jQuery源码分析系列(36) : Ajax - 类型转化器

什么是类型转化器? jQuery支持不同格式的数据返回形式,比如dataType为 xml, json,jsonp,script, or html 但是浏览器的XMLHttpRequest对象对数据的响应只有 responseText与responseXML 二种 所以现在我要定义dataType为jsonp,那么所得的最终数据是一个json的键值对,所以jQuery内部就会默认帮你完成这个转化工作 jQuery为了处理这种执行后数据的转化,就引入了类型转化器,如果没有指定类型就依据响应头Con


"房卡"麻将研发技巧,尽在"红孩儿的游戏开发之路",欢迎关注公众号! 房卡麻将分析系列之"断线重连" 大家好,我是红孩儿,"房卡"麻将分析系列继续进行中. 在进行游戏的过程中,人们往往会遇到"断线"情况,比如坐公车,地铁下班路上玩一局,下车转站时往往先关机,过一会儿再上线继续完,如果没有自动"断线重连",则对于牌局的体验感影响会非常大,在"房卡"麻将中加入"