Libc Heap

Tip

学习和实践 AWS 黑客技术：HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术：HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术：HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

• 查看 订阅计划!
• 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
• 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

堆 基础

堆（heap）基本上是程序在调用像 malloc、calloc 等函数请求存储数据时用来保存数据的地方。此外，当这段内存不再需要时，会调用函数 free 将其释放回可用。

如图所示，它位于二进制加载到内存位置之后（查看 [heap] section）：

基本 Chunk 分配

当请求在堆上存储一些数据时，会为其分配堆上的一块空间。该空间会属于某个 bin，并且只会为 chunk 保留请求的数据大小 + bin 头部空间 + 最小 bin 大小偏移。目标是尽可能少地保留内存，同时不增加查找每个 chunk 的复杂性。为此，使用 metadata 中的 chunk 信息来记录每个已用/空闲 chunk 的位置。

根据所用 bin 的不同，预留空间的方式有所不同，但一般流程如下：

• 程序开始请求一定量的内存。
• 如果在 chunk 列表中存在大小足以满足请求的可用 chunk，则会使用该 chunk。
• 这可能意味着可用 chunk 的一部分会被用于该请求，剩余部分会被加入到 chunk 列表中。
• 如果列表中没有可用的 chunk，但在已分配的 heap 内存中仍有空间，heap 管理器会创建一个新的 chunk。
• 如果没有足够的 heap 空间来分配新的 chunk，heap 管理器会向内核请求扩展分配给 heap 的内存，然后使用这块内存生成新的 chunk。
• 如果所有操作都失败，malloc 返回 null。

注意，如果请求的 内存超过阈值，则会使用 mmap 来映射所需内存。

Arenas

在 多线程（multithreaded） 应用中，heap 管理器必须防止可能导致崩溃的 竞态条件（race conditions）。最初，这是通过一个 全局 mutex 来实现的，以确保一次只有一个线程可以访问 heap，但这会由于 mutex 导致的瓶颈而产生 性能问题。

为了解决这个问题，ptmalloc2 heap allocator 引入了 “arenas”，其中 每个 arena 都充当一个 独立的 heap，拥有自己的数据结构和 mutex，从而允许多个线程在不互相干扰的情况下执行 heap 操作，只要它们使用不同的 arena。

默认的“main” arena 处理单线程应用的 heap 操作。当 新增线程 出现时，heap 管理器会为它们分配 secondary arenas 以减少争用。它会尝试先将每个新线程附加到未使用的 arena，必要时创建新的 arena，最多创建到 32-bit 系统上为 CPU 核心数的 2 倍，64-bit 系统上为 CPU 核心数的 8 倍。一旦达到限制，线程必须共享 arenas，这会导致潜在的争用。

与使用 brk 系统调用扩展的 main arena 不同，secondary arenas 使用 mmap 和 mprotect 创建 “subheaps” 来模拟 heap 行为，从而在多线程操作中对内存管理提供更大的灵活性。

Subheaps

Subheaps 作为多线程应用中 secondary arenas 的内存储备，使它们能够独立于 main heap 增长并管理自己的堆区域。以下是 subheaps 与初始 heap 的不同点以及其工作方式：

1. 初始 Heap vs Subheaps：

• 初始 heap 位于程序二进制在内存中的后方，并使用 sbrk 系统调用进行扩展。
• Subheaps（由 secondary arenas 使用）通过 mmap 创建，该系统调用映射一个指定的内存区域。

2. 使用 mmap 进行内存保留：

• 当 heap 管理器创建 subheap 时，会通过 mmap 保留一大块内存。此保留并不立即分配物理内存；它仅仅指定了一个其他系统进程或分配不应使用的区域。
• subheap 的默认保留大小为 32-bit 进程时 1 MB，64-bit 进程时 64 MB。

3. 使用 mprotect 逐步扩展：

• 保留的内存区域初始被标记为 PROT_NONE，表示内核暂时不需要为该空间分配物理内存。
• 为了“增长” subheap，heap 管理器使用 mprotect 将页面权限从 PROT_NONE 改为 PROT_READ | PROT_WRITE，促使内核为之前保留的地址分配物理内存。这种逐步方式允许 subheap 根据需要扩展。
• 一旦整个 subheap 被耗尽，heap 管理器会创建新的 subheap 以继续分配。

heap_info

该 struct 存储与 heap 相关的关键信息。此外，随着更多分配的进行，heap 内存可能不再连续，该 struct 也会记录这类信息。

// From https://github.com/bminor/glibc/blob/a07e000e82cb71238259e674529c37c12dc7d423/malloc/arena.c#L837

typedef struct _heap_info
{
mstate ar_ptr; /* Arena for this heap. */
struct _heap_info *prev; /* Previous heap. */
size_t size;   /* Current size in bytes. */
size_t mprotect_size; /* Size in bytes that has been mprotected
PROT_READ|PROT_WRITE.  */
size_t pagesize; /* Page size used when allocating the arena.  */
/* Make sure the following data is properly aligned, particularly
that sizeof (heap_info) + 2 * SIZE_SZ is a multiple of
MALLOC_ALIGNMENT. */
char pad[-3 * SIZE_SZ & MALLOC_ALIGN_MASK];
} heap_info;

malloc_state

Each heap (main arena or other threads arenas) has a malloc_state structure.
重要的是注意，main arena malloc_state 结构是 libc 中的一个全局变量（因此位于 libc 的内存空间中）。
对于线程 heap 的 malloc_state 结构，它们位于各自线程的 “heap” 内部。

从这个结构可以注意到一些有趣的点（见下面的 C 代码）：

• __libc_lock_define (, mutex); 用于确保对 heap 中该结构的访问一次只有一个线程。
• Flags:

#define NONCONTIGUOUS_BIT     (2U)

#define contiguous(M)          (((M)->flags & NONCONTIGUOUS_BIT) == 0)
#define noncontiguous(M)       (((M)->flags & NONCONTIGUOUS_BIT) != 0)
#define set_noncontiguous(M)   ((M)->flags |= NONCONTIGUOUS_BIT)
#define set_contiguous(M)      ((M)->flags &= ~NONCONTIGUOUS_BIT)

• The mchunkptr bins[NBINS * 2 - 2]; contains pointers to the first and last chunks of the small, large and unsorted bins (the -2 is because the index 0 is not used)
• Therefore, the first chunk of these bins will have a backwards pointer to this structure and the last chunk of these bins will have a forward pointer to this structure. Which basically means that if you can leak these addresses in the main arena you will have a pointer to the structure in the libc.
• The structs struct malloc_state *next; and struct malloc_state *next_free; are linked lists os arenas
• The top chunk is the last “chunk”, which is basically 所有剩余的 heap 空间。一旦 top chunk “空了”，heap 就完全被使用，需要请求更多空间。
• The last reminder chunk comes from cases where an exact size chunk is not available and therefore a bigger chunk is splitter, a pointer remaining part is placed here.

// From https://github.com/bminor/glibc/blob/a07e000e82cb71238259e674529c37c12dc7d423/malloc/malloc.c#L1812

struct malloc_state
{
/* Serialize access.  */
__libc_lock_define (, mutex);

/* Flags (formerly in max_fast).  */
int flags;

/* Set if the fastbin chunks contain recently inserted free blocks.  */
/* Note this is a bool but not all targets support atomics on booleans.  */
int have_fastchunks;

/* Fastbins */
mfastbinptr fastbinsY[NFASTBINS];

/* Base of the topmost chunk -- not otherwise kept in a bin */
mchunkptr top;

/* The remainder from the most recent split of a small request */
mchunkptr last_remainder;

/* Normal bins packed as described above */
mchunkptr bins[NBINS * 2 - 2];

/* Bitmap of bins */
unsigned int binmap[BINMAPSIZE];

/* Linked list */
struct malloc_state *next;

/* Linked list for free arenas.  Access to this field is serialized
by free_list_lock in arena.c.  */
struct malloc_state *next_free;

/* Number of threads attached to this arena.  0 if the arena is on
the free list.  Access to this field is serialized by
free_list_lock in arena.c.  */
INTERNAL_SIZE_T attached_threads;

/* Memory allocated from the system in this arena.  */
INTERNAL_SIZE_T system_mem;
INTERNAL_SIZE_T max_system_mem;
};

malloc_chunk

这个结构表示一个特定的内存 chunk。各字段在 allocated 和 unallocated chunk 中具有不同含义。

// https://github.com/bminor/glibc/blob/master/malloc/malloc.c
struct malloc_chunk {
INTERNAL_SIZE_T      mchunk_prev_size;  /* Size of previous chunk, if it is free. */
INTERNAL_SIZE_T      mchunk_size;       /* Size in bytes, including overhead. */
struct malloc_chunk* fd;                /* double links -- used only if this chunk is free. */
struct malloc_chunk* bk;
/* Only used for large blocks: pointer to next larger size.  */
struct malloc_chunk* fd_nextsize; /* double links -- used only if this chunk is free. */
struct malloc_chunk* bk_nextsize;
};

typedef struct malloc_chunk* mchunkptr;

如前所述，这些 chunks 也包含一些元数据，下图中有很好的展示：

这些元数据通常为 0x08B，表示当前 chunk 的大小，使用最低 3 位来指示：

• A: 如果为 1，表示来自 subheap；如果为 0，表示位于 main arena
• M: 如果为 1，表示该 chunk 属于使用 mmap 分配的空间，不属于 heap
• P: 如果为 1，表示前一个 chunk 正在被使用

然后是用于用户数据的空间，最后是 0x08B —— 当 chunk 可用时它表示前一个 chunk 的大小（当被分配时该位置用于存放用户数据）。

此外，当 chunk 可用时，用户数据区域还会包含一些字段：

• fd: 指向下一个 chunk 的指针
• bk: 指向上一个 chunk 的指针
• fd_nextsize: 指向列表中第一个比它小的 chunk 的指针
• bk_nextsize: 指向列表中第一个比它大的 chunk 的指针

Tip

注意，这样链接列表可以避免使用一个数组来登记每一个 chunk。

Chunk 指针

当使用 malloc 时，会返回一个指向可写内容的指针（就在 headers 之后）；但在管理 chunks 时，需要一个指向 headers（元数据）起始处的指针。
对于这些转换，使用以下函数：

// https://github.com/bminor/glibc/blob/master/malloc/malloc.c

/* Convert a chunk address to a user mem pointer without correcting the tag.  */
#define chunk2mem(p) ((void*)((char*)(p) + CHUNK_HDR_SZ))

/* Convert a user mem pointer to a chunk address and extract the right tag.  */
#define mem2chunk(mem) ((mchunkptr)tag_at (((char*)(mem) - CHUNK_HDR_SZ)))

/* The smallest possible chunk */
#define MIN_CHUNK_SIZE        (offsetof(struct malloc_chunk, fd_nextsize))

/* The smallest size we can malloc is an aligned minimal chunk */

#define MINSIZE  \
(unsigned long)(((MIN_CHUNK_SIZE+MALLOC_ALIGN_MASK) & ~MALLOC_ALIGN_MASK))

对齐与最小尺寸

指向 chunk 的指针和 0x0f 必须为 0。

// From https://github.com/bminor/glibc/blob/a07e000e82cb71238259e674529c37c12dc7d423/sysdeps/generic/malloc-size.h#L61
#define MALLOC_ALIGN_MASK (MALLOC_ALIGNMENT - 1)

// https://github.com/bminor/glibc/blob/a07e000e82cb71238259e674529c37c12dc7d423/sysdeps/i386/malloc-alignment.h
#define MALLOC_ALIGNMENT 16


// https://github.com/bminor/glibc/blob/master/malloc/malloc.c
/* Check if m has acceptable alignment */
#define aligned_OK(m)  (((unsigned long)(m) & MALLOC_ALIGN_MASK) == 0)

#define misaligned_chunk(p) \
((uintptr_t)(MALLOC_ALIGNMENT == CHUNK_HDR_SZ ? (p) : chunk2mem (p)) \
& MALLOC_ALIGN_MASK)


/* pad request bytes into a usable size -- internal version */
/* Note: This must be a macro that evaluates to a compile time constant
if passed a literal constant.  */
#define request2size(req)                                         \
(((req) + SIZE_SZ + MALLOC_ALIGN_MASK < MINSIZE)  ?             \
MINSIZE :                                                      \
((req) + SIZE_SZ + MALLOC_ALIGN_MASK) & ~MALLOC_ALIGN_MASK)

/* Check if REQ overflows when padded and aligned and if the resulting
value is less than PTRDIFF_T.  Returns the requested size or
MINSIZE in case the value is less than MINSIZE, or 0 if any of the
previous checks fail.  */
static inline size_t
checked_request2size (size_t req) __nonnull (1)
{
if (__glibc_unlikely (req > PTRDIFF_MAX))
return 0;

/* When using tagged memory, we cannot share the end of the user
block with the header for the next chunk, so ensure that we
allocate blocks that are rounded up to the granule size.  Take
care not to overflow from close to MAX_SIZE_T to a small
number.  Ideally, this would be part of request2size(), but that
must be a macro that produces a compile time constant if passed
a constant literal.  */
if (__glibc_unlikely (mtag_enabled))
{
/* Ensure this is not evaluated if !mtag_enabled, see gcc PR 99551.  */
asm ("");

req = (req + (__MTAG_GRANULE_SIZE - 1)) &
~(size_t)(__MTAG_GRANULE_SIZE - 1);
}

return request2size (req);
}

注意：在计算所需的总空间时，只将 SIZE_SZ 加入一次，因为 prev_size 字段可以用于存储数据，因此仅需要初始头部。

获取 Chunk 数据并修改元数据

这些函数通过接收指向 chunk 的指针来工作，常用于检查/设置元数据：

• 检查 chunk 标志

// From https://github.com/bminor/glibc/blob/master/malloc/malloc.c


/* size field is or'ed with PREV_INUSE when previous adjacent chunk in use */
#define PREV_INUSE 0x1

/* extract inuse bit of previous chunk */
#define prev_inuse(p)       ((p)->mchunk_size & PREV_INUSE)


/* size field is or'ed with IS_MMAPPED if the chunk was obtained with mmap() */
#define IS_MMAPPED 0x2

/* check for mmap()'ed chunk */
#define chunk_is_mmapped(p) ((p)->mchunk_size & IS_MMAPPED)


/* size field is or'ed with NON_MAIN_ARENA if the chunk was obtained
from a non-main arena.  This is only set immediately before handing
the chunk to the user, if necessary.  */
#define NON_MAIN_ARENA 0x4

/* Check for chunk from main arena.  */
#define chunk_main_arena(p) (((p)->mchunk_size & NON_MAIN_ARENA) == 0)

/* Mark a chunk as not being on the main arena.  */
#define set_non_main_arena(p) ((p)->mchunk_size |= NON_MAIN_ARENA)

• 大小和指向其他 chunks 的 pointers

/*
Bits to mask off when extracting size

Note: IS_MMAPPED is intentionally not masked off from size field in
macros for which mmapped chunks should never be seen. This should
cause helpful core dumps to occur if it is tried by accident by
people extending or adapting this malloc.
*/
#define SIZE_BITS (PREV_INUSE | IS_MMAPPED | NON_MAIN_ARENA)

/* Get size, ignoring use bits */
#define chunksize(p) (chunksize_nomask (p) & ~(SIZE_BITS))

/* Like chunksize, but do not mask SIZE_BITS.  */
#define chunksize_nomask(p)         ((p)->mchunk_size)

/* Ptr to next physical malloc_chunk. */
#define next_chunk(p) ((mchunkptr) (((char *) (p)) + chunksize (p)))

/* Size of the chunk below P.  Only valid if !prev_inuse (P).  */
#define prev_size(p) ((p)->mchunk_prev_size)

/* Set the size of the chunk below P.  Only valid if !prev_inuse (P).  */
#define set_prev_size(p, sz) ((p)->mchunk_prev_size = (sz))

/* Ptr to previous physical malloc_chunk.  Only valid if !prev_inuse (P).  */
#define prev_chunk(p) ((mchunkptr) (((char *) (p)) - prev_size (p)))

/* Treat space at ptr + offset as a chunk */
#define chunk_at_offset(p, s)  ((mchunkptr) (((char *) (p)) + (s)))

• Insue bit

/* extract p's inuse bit */
#define inuse(p)							      \
((((mchunkptr) (((char *) (p)) + chunksize (p)))->mchunk_size) & PREV_INUSE)

/* set/clear chunk as being inuse without otherwise disturbing */
#define set_inuse(p)							      \
((mchunkptr) (((char *) (p)) + chunksize (p)))->mchunk_size |= PREV_INUSE

#define clear_inuse(p)							      \
((mchunkptr) (((char *) (p)) + chunksize (p)))->mchunk_size &= ~(PREV_INUSE)


/* check/set/clear inuse bits in known places */
#define inuse_bit_at_offset(p, s)					      \
(((mchunkptr) (((char *) (p)) + (s)))->mchunk_size & PREV_INUSE)

#define set_inuse_bit_at_offset(p, s)					      \
(((mchunkptr) (((char *) (p)) + (s)))->mchunk_size |= PREV_INUSE)

#define clear_inuse_bit_at_offset(p, s)					      \
(((mchunkptr) (((char *) (p)) + (s)))->mchunk_size &= ~(PREV_INUSE))

• 设置 head 和 footer（当使用 chunk nos 时）

/* Set size at head, without disturbing its use bit */
#define set_head_size(p, s)  ((p)->mchunk_size = (((p)->mchunk_size & SIZE_BITS) | (s)))

/* Set size/use field */
#define set_head(p, s)       ((p)->mchunk_size = (s))

/* Set size at footer (only when chunk is not in use) */
#define set_foot(p, s)       (((mchunkptr) ((char *) (p) + (s)))->mchunk_prev_size = (s))

• 获取 chunk 内部真实可用数据的大小

#pragma GCC poison mchunk_size
#pragma GCC poison mchunk_prev_size

/* This is the size of the real usable data in the chunk.  Not valid for
dumped heap chunks.  */
#define memsize(p)                                                    \
(__MTAG_GRANULE_SIZE > SIZE_SZ && __glibc_unlikely (mtag_enabled) ? \
chunksize (p) - CHUNK_HDR_SZ :                                    \
chunksize (p) - CHUNK_HDR_SZ + (chunk_is_mmapped (p) ? 0 : SIZE_SZ))

/* If memory tagging is enabled the layout changes to accommodate the granule
size, this is wasteful for small allocations so not done by default.
Both the chunk header and user data has to be granule aligned.  */
_Static_assert (__MTAG_GRANULE_SIZE <= CHUNK_HDR_SZ,
"memory tagging is not supported with large granule.");

static __always_inline void *
tag_new_usable (void *ptr)
{
if (__glibc_unlikely (mtag_enabled) && ptr)
{
mchunkptr cp = mem2chunk(ptr);
ptr = __libc_mtag_tag_region (__libc_mtag_new_tag (ptr), memsize (cp));
}
return ptr;
}

示例

快速 Heap 示例

快速 Heap 示例来自 https://guyinatuxedo.github.io/25-heap/index.html，但在 arm64：

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

void main(void)
{
char *ptr;
ptr = malloc(0x10);
strcpy(ptr, "panda");
}

在 main 函数末尾设置一个断点，来找出信息被存放的位置：

可以看到字符串 panda 存放在 0xaaaaaaac12a0（这是 malloc 在 x0 中返回的地址）。在之前 0x10 字节检查，可以看到 0x0 表示 前一个 chunk 未被使用（长度 0），并且这个 chunk 的长度是 0x21。

额外保留的空间 (0x21-0x10=0x11) 来自 added headers (0x10)，而 0x1 并不表示保留了 0x21B，而是表示当前 header 的长度的最低 3 位具有一些特殊含义。由于长度在 64bits 机器上总是以 16 字节对齐，这些位实际上不会被用于长度数值。

0x1:     Previous in Use     - Specifies that the chunk before it in memory is in use
0x2:     Is MMAPPED          - Specifies that the chunk was obtained with mmap()
0x4:     Non Main Arena      - Specifies that the chunk was obtained from outside of the main arena

多线程示例

</details>

调试前面的例子可以看到一开始只有 1 个 arena:

<figure><img src="../../images/image (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

然后，在调用第一个 thread（那个调用 malloc 的线程）之后，会创建一个新的 arena：

<figure><img src="../../images/image (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

并且在其中可以找到一些 chunks：

<figure><img src="../../images/image (2) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

## Bins 与 Memory Allocations/Frees

查看 bins 是什么、它们如何组织以及内存如何被分配和释放，参见：


<a class="content_ref" href="bins-and-memory-allocations.md"><span class="content_ref_label">Bins & Memory Allocations</span></a>

## Heap Functions 安全检查

与 heap 相关的函数在执行其操作之前会进行某些检查，以尽量确保 heap 未被破坏：


<a class="content_ref" href="heap-memory-functions/heap-functions-security-checks.md"><span class="content_ref_label">Heap Functions Security Checks</span></a>

## musl mallocng exploitation notes (Alpine)

- **Slab group/slot grooming for huge linear copies:** mallocng sizeclasses use mmap()'d groups whose slots are fully `munmap()`'d when empty. 对于长的线性拷贝（~0x15555555 bytes），保持 span 映射（避免被 released groups 造成的空洞），并将 victim allocation 放置在 source slot 的相邻位置。
- **Cycling offset mitigation:** 在 slot 重用时，mallocng 可能会将 user-data 起始位置按 `UNIT` (0x10) 的倍数向前移动，当 slack 可以容纳额外的 4 字节 header 时会发生这种情况。这会改变覆盖偏移（例如，LSB pointer hits），除非你能控制重用计数或坚持使用无 slack 的步幅（例如，Lua `Table` objects 在步幅 0x50 时显示 offset 0）。使用 muslheap 的 `mchunkinfo` 检查偏移：
```gdb
pwndbg> mchunkinfo 0x7ffff7a94e40
... stride: 0x140
... cycling offset : 0x1 (userdata --> 0x7ffff7a94e40)