Chunk Extend & Overlap

2021-09-01

Chunk Extend & Overlap

顾名思义，堆扩展和堆重叠

我的理解是堆扩展是为堆重叠服务的，chunk overlap之后我们可以控制堆的内容

overlap在先前Unlink一文中已经提及过向前overlap，向前也是主要的利用方法，因为它更容易实现

extend的原理比较简单不再赘述，主要讲overlap

Principle

ptmalloc 通过 chunk header 的数据判断 chunk 的使用情况和对 chunk 的前后块进行定位。简而言之，chunk extend 就是通过控制 size 和 pre_size 域来实现跨越块操作从而导致 overlapping 的。

通常是因为堆溢出（off-by居多）导致的overlap（自己的经验）

DEMO

向前Overlap

向前overlap需要fake后一堆块的pre_size和 pre_inuse

和之前unlink中的操作一致

/*demo2.c
演示向前堆叠
*/
#include<stdio.h>
#include<stdlib.h>
int main(void)
{
    void *ptr1,*ptr2,*ptr3,*ptr4;
    ptr1=malloc(128);//smallbin1
    ptr2=malloc(0x10);//fastbin1
    ptr3=malloc(0x10);//fastbin2
    ptr4=malloc(128);//smallbin2
    malloc(0x10);//防止与top合并
    free(ptr1);
    *(int *)((long long)ptr4-0x8)=0x90;//修改pre_inuse域，prev_inuse
    *(int *)((long long)ptr4-0x10)=0xd0;//修改pre_size域，prev_size
    free(ptr4);//unlink进行前向extend
    malloc(0x150);//占位块
}

向后Overlap

/*demo1.c
演示向后堆叠
*/
#include<stdio.h>
#include<stdlib.h>

int main()
{
    setbuf(stdin, 0);
    setbuf(stdout, 0);
    setbuf(stderr, 0);
    char *ptr1,*ptr2;
    ptr1 = malloc(0x10);//分配第1个 0x80 的chunk1
    printf("original chunk is %p\n",ptr1);
    ptr2 = malloc(0x10); //分配第2个 0x10 的chunk2
    printf("chunk2 is %p\nwrite something into it\n",ptr2);
    read(0,ptr2,10);
    printf("Content of chunk2 is %s",ptr2);
    malloc(0x10); //分配第3个 0x10 的chunk3
    malloc(0x10); //分配第4个 0x10 的chunk4    
    *(int *)((int)ptr1-0x8)=0x61;
    free(ptr1);
    ptr1=malloc(0x50);
    printf("new chunk is %p\nwrite something into it\n",ptr1);
    read(0,ptr1,50);
    printf("Content of new chunk is %s\n",ptr1);
    printf("Content of chunk2 is %s\nWrite something in to chunk2\n",ptr2);
    read(0,ptr2,10);
    printf("Content of new chunk is %s\n",ptr1);
}