别再死记硬背unlink公式了！用GDB动态调试带你直观理解glibc双向链表拆解过程

用GDB动态调试彻底掌握glibc unlink操作原理

在堆漏洞利用领域，unlink操作一直是个令人头疼的概念。许多初学者会死记硬背unlink宏的公式，却难以真正理解其背后的双向链表操作逻辑。本文将带你通过GDB动态调试的方式，直观理解unlink如何操作内存中的双向链表。

1. 环境准备与实验设置

首先我们需要准备一个简单的实验环境。创建一个包含多个堆块的程序，用于模拟unlink操作：

// gcc -g unlink_demo.c -o unlink_demo #include <stdio.h> #include <stdlib.h> int main() { void *chunk1 = malloc(0x80); void *chunk2 = malloc(0x80); void *chunk3 = malloc(0x80); free(chunk1); free(chunk2); free(chunk3); return 0; }

编译时务必加上-g参数以便调试：

gcc -g unlink_demo.c -o unlink_demo

我们将使用GDB配合pwndbg插件进行调试。pwndbg提供了直观的堆可视化功能：

gdb ./unlink_demo

2. 堆块释放与双向链表形成

在GDB中设置断点在main函数返回前：

b main run

观察三个堆块释放后unsorted bin的状态：

heap

可以看到类似如下的输出：

Free chunk (unsortedbin) | PREV_INUSE Addr: 0x5555555592a0 Size: 0x90 fd: 0x7ffff7dd1b78 bk: 0x7ffff7dd1b78 Free chunk (unsortedbin) | PREV_INUSE Addr: 0x555555559330 Size: 0x90 fd: 0x5555555592a0 bk: 0x5555555593c0 Free chunk (unsortedbin) | PREV_INUSE Addr: 0x5555555593c0 Size: 0x90 fd: 0x555555559330 bk: 0x7ffff7dd1b78

这里形成了三个堆块组成的双向链表：

• chunk1的fd/bk指向main_arena
• chunk2的fd指向chunk1，bk指向chunk3
• chunk3的fd指向chunk2，bk指向main_arena

3. unlink操作的核心逻辑

unlink宏的核心操作可以用以下伪代码表示：

#define unlink(P, BK, FD) { FD = P->fd; BK = P->bk; // 安全检查 if (FD->bk != P || BK->fd != P) abort(); // 链表操作 FD->bk = BK; BK->fd = FD; }

当从双向链表中移除chunk2时：

1. 首先获取chunk2的fd和bk指针
2. 检查fd的bk和bk的fd是否都指向chunk2（防止堆破坏）
3. 将fd的bk指向bk，bk的fd指向fd

在GDB中我们可以单步跟踪这个过程：

disas __libc_free

找到_int_free函数中调用unlink的位置，设置断点：

b *0x7ffff7a8d123 // 替换为实际的unlink调用地址 continue

4. 内存变化可视化

在unlink操作前后，观察内存变化：

unlink前状态：

chunk1: fd=main_arena, bk=chunk2 chunk2: fd=chunk1, bk=chunk3 chunk3: fd=chunk2, bk=main_arena

unlink操作步骤：

1. FD = chunk2->fd = chunk1
2. BK = chunk2->bk = chunk3
3. 检查chunk1->bk == chunk2 && chunk3->fd == chunk2
4. chunk1->bk = chunk3
5. chunk3->fd = chunk1

unlink后状态：

chunk1: fd=main_arena, bk=chunk3 chunk3: fd=chunk1, bk=main_arena

可以通过GDB命令验证：

x/4gx chunk1_addr+0x80 // 查看chunk1的bk指针 x/4gx chunk3_addr // 查看chunk3的fd指针

5. 安全机制与绕过思路

unlink操作包含重要的安全检查：

if (FD->bk != P || BK->fd != P) malloc_printerr("corrupted double-linked list");

这意味着攻击者伪造fd/bk指针时需要确保：

1. FD->bk == P
2. BK->fd == P

常见的绕过方法是构造一个假的"chunk"，使其满足：

fake_chunk->fd->bk == fake_chunk fake_chunk->bk->fd == fake_chunk

这通常通过以下方式实现：

1. 在可控内存区域构造fake_chunk
2. 设置fake_chunk->fd = &fake_chunk - 3
3. 设置fake_chunk->bk = &fake_chunk - 2

注意：具体偏移量取决于架构和chunk结构定义

6. 实际漏洞利用案例

结合上述原理，我们可以构造一个实际的利用场景：

1. 通过堆溢出修改chunk的size和prev_size字段
2. 构造fake chunk满足unlink检查条件
3. 触发unlink操作实现任意地址写

典型的利用步骤：

# 构造fake chunk fake_chunk = p64(0) + p64(0x80) # prev_size, size fake_chunk += p64(target_addr-0x18) # fd fake_chunk += p64(target_addr-0x10) # bk fake_chunk += b"A"*(0x80-32) # padding # 修改相邻chunk的prev_size和PREV_INUSE位 fake_chunk += p64(0x80) # prev_size fake_chunk += p64(0x90) # size (PREV_INUSE=0)

触发unlink后，target_addr处的值将被修改为target_addr-0x18。

7. 防御措施与检测方法

现代glibc增加了多种unlink保护机制：

1. 更严格的双向链表检查
2. 新增tcache机制改变堆管理方式
3. 增加更多完整性检查

检测unlink利用的常见方法：

• 检查堆块前后是否一致
• 监控异常的内存写操作
• 分析堆布局是否合理

开发中应避免：

• 使用已释放的内存
• 缓冲区溢出覆盖堆元数据
• 不检查用户输入的大小

掌握unlink原理不仅有助于漏洞利用，更能帮助开发者编写更安全的堆管理代码。通过GDB动态调试，我们能够直观理解这一关键操作的内存变化过程。