题目是jarvisoj的guessbook2,似乎原题目是0ctf上的
首先进入gdb,run一下程序,按照流程创建4个note之后(在这里我创建的note长度都是1,内容是a),ctrl+c跳出程序(貌似可以用ctrl+break键,但是我不知道惠普的break键是啥啊啊啊!还有就是想要继续调试就输入continue ),使用 vmmap 查看当前内存:
gdb-peda$ vmmap
Start End Perm Name
0x00400000 0x00402000 r-xp /home/xiaomoyuan/Desktop/ctf/jarvisOJ/guessbook/guestbook2
0x00601000 0x00602000 r--p /home/xiaomoyuan/Desktop/ctf/jarvisOJ/guessbook/guestbook2
0x00602000 0x00603000 rw-p /home/xiaomoyuan/Desktop/ctf/jarvisOJ/guessbook/guestbook2
0x00603000 0x00625000 rw-p [heap]
......
然后使用x/4gx 查看chunk的内容,至于x/4gx 是什么意思的,具体可以看一下gdb调试的一些知识 ,在这里就简要说明一下:x命令就是用来展现内存的内容,/后面跟的就是展现的格式 4gx 就是展现展现64位信息的16进制形式,4就是一次展现的个数
gdb-peda$ x/4gx 0x604820+0x90
0x6048b0: 0x0000000000000000 0x0000000000000091
0x6048c0: 0x0000000000000061 0x0000000000000000
gdb-peda$ x/3gx 0x604820+0x90
0x6048b0: 0x0000000000000000 0x0000000000000091
0x6048c0: 0x0000000000000061
chunk的内容:
gdb-peda$ x/4gx 0x603000
0x603000: 0x0000000000000000 0x0000000000001821
0x603010: 0x0000000000000100 0x0000000000000004
gdb-peda$ x/4gx 0x603000+0x1820
0x604820: 0x0000000000000000 0x0000000000000091
0x604830: 0x0000000000000061 0x0000000000000000
gdb-peda$ x/4gx 0x604820+0x90
0x6048b0: 0x0000000000000000 0x0000000000000091
0x6048c0: 0x0000000000000061 0x0000000000000000
gdb-peda$ x/3gx 0x604820+0x90
0x6048b0: 0x0000000000000000 0x0000000000000091
0x6048c0: 0x0000000000000061
gdb-peda$ x/4gx 0x6048b0+0x90
0x604940: 0x0000000000000000 0x0000000000000091
0x604950: 0x0000000000000061 0x0000000000000000
gdb-peda$ x/4gx 0x604940+0x90
0x6049d0: 0x0000000000000000 0x0000000000000091
0x6049e0: 0x0000000000000061 0x0000000000000000
gdb-peda$ x/4gx 0x6049d0+0x90
0x604a60: 0x0000000000000000 0x00000000000205a1
0x604a70: 0x0000000000000000 0x0000000000000000
gdb-peda$ p main_arena
$1 = {
mutex = 0x0,
flags = 0x1,
fastbinsY = {0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0}, #都是0,因为数据很小,chunk足够容纳,用不到fastbin
top = 0x604a60, # top chunk的地址
last_remainder = 0x0,
bins = {0x7ffff7dd3b58 <main_arena+88>, 0x7ffff7dd3b58 <main_arena+88>,
0x7ffff7dd3b68 <main_arena+104>, 0x7ffff7dd3b68 <main_arena+104>,
....
free掉note 0后:
gdb-peda$ p main_arena
$2 = {
mutex = 0x0,
flags = 0x1,
fastbinsY = {0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0},
top = 0x604a60,
last_remainder = 0x0,
bins = {0x604820, 0x604820, 0x7ffff7dd3b68 <main_arena+104>,
可以看到bins头两个地址就是我们note 0的地址,为什么是两个呢,因为这是个双向链表。接着,当我们free掉note 2后,
gdb-peda$ p main_arena
$2 = {
mutex = 0x0,
flags = 0x1,
fastbinsY = {0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0},
top = 0x604a60,
last_remainder = 0x0,
bins = {0x604940, 0x604820, 0x7ffff7dd3b68 <main_arena+104>,
note 2 的地址就变成了bins[0],可知后来释放的内存会被放到链表的表头。
这时候我们具体看看被释放的内存内容具体是什么:
gdb-peda$ x/20gx 0x604820 #note 0
0x604820: 0x0000000000000000 0x0000000000000091
0x604830: 0x00007ffff7dd3b58 0x0000000000604940
0x604840: 0x0000000000000000 0x0000000000000000
0x604850: 0x0000000000000000 0x0000000000000000
0x604860: 0x0000000000000000 0x0000000000000000
0x604870: 0x0000000000000000 0x0000000000000000
0x604880: 0x0000000000000000 0x0000000000000000
0x604890: 0x0000000000000000 0x0000000000000000
0x6048a0: 0x0000000000000000 0x0000000000000000 #到这里为止
0x6048b0: 0x0000000000000090 0x0000000000000090 #91变成90
gdb-peda$ x/20gx 0x604940 #note 2
0x604940: 0x0000000000000000 0x0000000000000091
0x604950: 0x0000000000604820 0x00007ffff7dd3b58
0x604960: 0x0000000000000000 0x0000000000000000
0x604970: 0x0000000000000000 0x0000000000000000
0x604980: 0x0000000000000000 0x0000000000000000
0x604990: 0x0000000000000000 0x0000000000000000
0x6049a0: 0x0000000000000000 0x0000000000000000
0x6049b0: 0x0000000000000000 0x0000000000000000
0x6049c0: 0x0000000000000000 0x0000000000000000 #到这里为止
0x6049d0: 0x0000000000000090 0x0000000000000090 #91变成90
可以知道,当我们free掉一个chunk之后第二行用来存储地址,前半部分用来存放fd (forward,前一个释放的chunk的地址),后半部分用来存放bk (后一个释放的chunk的地址)。
而且还可以看到,释放note 0,note2前,note 1, note3第一行的后半部分本来是91的,后来变成了90,为什么呢,这就涉及到关于堆内存管理的隐式链表,注意到在这里我们显示的是16进制,换句话说其实91 应当是 1001 0001,那么最后一个1就是隐式链表中用来标记上一个chunk的状态的,1表示正在使用,0表示处于释放状态,我们之前free了note 0、note2,所以note 1、note 3的标记位变成了0.
然后我们再创建note 0,这时候再看看内存:
gdb-peda$ p main_arena
$2 = {
mutex = 0x0,
flags = 0x1,
fastbinsY = {0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0},
top = 0x604a60,
last_remainder = 0x0,
bins = {0x604940, 0x604940, 0x7ffff7dd3b68 <main_arena+104>,
可以看出,note 0 被分配了原来的地址,也就是说,bins里面的空闲空间,是按照先进先出的顺序存取的,free的时候把地址放到链表头,malloc的时候再把链表尾部的地址用来返回。
下面是胡言乱语,这次动手学习后认识比较深刻的东西:
-
bins是FIFO(先进先出)
-
16进制中,两位代表2进制的8位,也就是1 byte,也就是在之前显示的内容中,如果我们填入8个字母(8byte),占用的就是一行的内容。
-
终于懂为什么题目里可以通过list打印出地址了= =
网友评论