PWN

• PWN的中⽂意义⼤概可以理解为⼆进制漏洞挖掘和利⽤，常⻅的⼆进制漏洞有缓冲区溢出 （栈溢出，堆溢出，bss段溢出等），格式化字符串，条件竞争，整数溢出&截断，数组越 界/Out Of Bound(oob)，空间复⽤，状态检查缺失（各类UAF都可以归为此类），内存未初 始化，未检查函数返回值，库函数⾃身不严谨，程序⾃身设计不严密导致的逻辑漏洞等。

• PWN是CTF中⼀个⽐较困难的⽅向，前期的PWN以普通的Linux下C语⾔编写的glibc程序为 主，后期深度和⼴度都会快速增⻓，⼴度可以扩展到windows/MacOS平台 && 其他编译型 语⾔（C++/Go/Rust/wasm）下，深度可以扩展到windows/Linux/MacOS内核安全 && 虚 拟化安全 && 浏览器安全领域等，也可以和逆向结合做⼀些其他好玩的事情。学好/精通⼆ 进制漏洞挖掘是⼀件需要时间和经验积累的事情。

堆利⽤

• 堆利⽤是学习glibc的⼀⼤难点，因为它考察的是程序漏洞和glibc堆管理代码 （ptmalloc2）的配合，想要利⽤堆漏洞就必须熟悉glibc的堆的分配原理。
• ⽹上有关ptmalloc2的技术⽂章有很多，也有很多⼈画了各种流程图，但是这些总归是别 ⼈对源码的理解，难免有偏差和疏漏，⽽且有时候想要了解⼀些细节偏偏没⼈写过相关的 分析⽂章。
• 所以今天的分享则是想以ptmalloc2相关的源代码作为切⼊点，带⼤家了解glibc堆管理 器，以及⼀个经典堆attack的原理。

数据结构

• ptmalloc采⽤bin来对空闲的chunk进⾏管理：
• glibc2.23 fastbin ；unsorted bin；small bin；large bin；
• glibc 2.26后引⼊了 tcache
• 使⽤fastbinY数组来维护fast bin
• ptmalloc使⽤bins数组来维护small unsorted large bin：
• bins[1]为unsorted bin
• bins[2-63]为small bin
• bins[64-126]为large bin

__libc_malloc

unsorted bin attack

glibc2.29

glibc2.xx

本次组会内容下载链接