glibc中realloc函数源码分析与利用<\/h1>

1. realloc函数概述<\/h2>

realloc函数是C标准库中用于重新分配内存块大小的函数，其原型为：<\/p>

void<\/span> *<\/span>realloc<\/span>(void<\/span> *<\/span>ptr, size_t size);
<\/span><\/span><\/code><\/pre>realloc函数的行为取决于传入的参数组合：<\/p>

当ptr<\/code>为NULL时，等同于malloc(size)<\/code><\/li>
当size<\/code>为0且ptr<\/code>不为NULL时，等同于free(ptr)<\/code><\/li>
当ptr<\/code>不为NULL且size<\/code>大于0时，尝试调整内存块大小<\/li>
<\/ol>
2. realloc源码分析<\/h2>
2.1 基本流程<\/h3>
realloc函数的核心逻辑在_int_realloc<\/code>函数中实现，主要处理以下几种情况：<\/p>
情况1：oldmem为空 (ptr == NULL)<\/h4>

直接调用malloc分配新chunk<\/li>
等同于malloc(size)<\/li>
<\/ul>
情况2：oldmem不为空且size == 0<\/h4>

调用free释放ptr指向的chunk<\/li>
返回NULL<\/li>
等同于free(ptr)<\/li>
<\/ul>
情况3：oldmem不为空且size > oldsize<\/h4>

尝试扩展现有chunk<\/li>
如果相邻高地址有足够空间（top chunk或free chunk），则合并扩展<\/li>
否则分配新chunk并复制数据<\/li>
<\/ul>
情况4：oldmem不为空且size < oldsize<\/h4>

尝试分割现有chunk<\/li>
如果剩余空间足够大，则分割并释放剩余部分<\/li>
否则保持原chunk不变<\/li>
<\/ul>
2.2 关键代码路径<\/h3>

检查realloc_hook指针（与malloc和free类似）<\/li>
进入_int_realloc<\/code>函数，参数为oldsize和nb（请求大小）<\/li>
判断下一个chunk是否是top chunk：

如果是top chunk且空间足够，则从top chunk分割<\/li>
更新size字段和main_arena的top指针<\/li>
<\/ul>
<\/li>
如果相邻chunk是free chunk：

检查是否可以合并（unlink操作）<\/li>
合并后分割，释放剩余部分<\/li>
<\/ul>
<\/li>
<\/ol>
3. realloc的利用技术<\/h2>
3.1 利用场景<\/h3>


从top chunk分割<\/strong>：<\/p>

当请求大小大于原chunk且相邻top chunk有足够空间时<\/li>
可用于构造特定大小的chunk<\/li>
<\/ul>
<\/li>

unlink合并操作<\/strong>：<\/p>

当相邻高地址chunk为free状态时<\/li>
可触发unlink操作，造成堆块重叠<\/li>
需要伪造prev_size和size字段<\/li>
<\/ul>
<\/li>

off-by-one漏洞利用<\/strong>：<\/p>

通过修改size字段最低字节<\/li>
可构造伪造的chunk结构<\/li>
<\/ul>
<\/li>
<\/ol>
3.2 具体利用方法<\/h3>
方法1：利用unlink造成overlapping<\/h4>


构造场景：<\/p>

chunk1（可控）<\/li>
chunk2（目标）<\/li>
通过off-by-one修改chunk1的size字段，使其包含伪造的fake_chunk<\/li>
<\/ul>
<\/li>

伪造结构：<\/p>

修改chunk1的size和prev_size字段<\/li>
在chunk2中伪造fake_chunk结构，满足unlink检查<\/li>
<\/ul>
<\/li>

触发realloc：<\/p>

对chunk1进行realloc，size大于修改后的size<\/li>
触发unlink操作，合并fake_chunk<\/li>
造成chunk2的fd\/bk指针被覆盖<\/li>
<\/ul>
<\/li>
<\/ol>
方法2：直接修改size字段<\/h4>

构造多个chunk<\/li>
利用漏洞（如off-by-one）修改中间chunk的size字段<\/li>
通过realloc操作获得修改后的chunk<\/li>
覆盖后续chunk的关键字段（如fd\/bk）<\/li>
<\/ol>
3.3 例题分析：[广东强网杯 2021 团队组]GirlFriend<\/h3>


漏洞点<\/strong>：<\/p>

off-by-one漏洞，可修改size字段最低字节<\/li>
add操作限制16次<\/li>
show函数仅一次机会<\/li>
<\/ul>
<\/li>

利用步骤<\/strong>：<\/p>

申请三个chunk<\/li>
利用第一个chunk修改第二个chunk的size字段<\/li>
释放并重新申请，获得修改后的chunk<\/li>
覆盖第三个chunk的fd指针为free_hook<\/li>
申请free_hook并写入setcontext+51进行栈迁移<\/li>
在libc上布置ORW链<\/li>
<\/ul>
<\/li>

关键点<\/strong>：<\/p>

libc-2.27中tcache仅检查头指针是否为空，不检查count<\/li>
可直接申请到free_hook而不受count限制<\/li>
<\/ul>
<\/li>
<\/ol>
4. 防御与绕过<\/h2>


unlink检查<\/strong>：<\/p>

现代glibc加强了unlink的双向链表检查<\/li>
需要精心构造fake_chunk满足检查<\/li>
<\/ul>
<\/li>

tcache机制<\/strong>：<\/p>

libc-2.30后tcache会检查count<\/li>
需要确保tcache中有可用chunk<\/li>
<\/ul>
<\/li>

size字段检查<\/strong>：<\/p>

对size字段的合法性检查更严格<\/li>
off-by-one利用难度增加<\/li>
<\/ul>
<\/li>
<\/ol>
5. 总结<\/h2>
realloc函数的利用关键在于：<\/p>

理解不同参数组合下的行为差异<\/li>
掌握_int_realloc<\/code>中的合并与分割逻辑<\/li>
利用unlink操作造成堆块重叠<\/li>
结合其他漏洞（如off-by-one）修改关键字段<\/li>
<\/ol>
与malloc\/free相比，realloc的利用更复杂但也更灵活，特别是在只有单个指针控制的场景下，通过精心构造可以绕过一些常规防护措施。<\/p>

glibc中realloc函数源码分析与利用<\/h1>

2. realloc源码分析<\/h2>

2.1 基本流程<\/h3> realloc函数的核心逻辑在_int_realloc<\/code>函数中实现，主要处理以下几种情况：<\/p>

3. realloc的利用技术<\/h2>

3.2 具体利用方法<\/h3>

2.1 基本流程<\/h3>
realloc函数的核心逻辑在`_int_realloc<\/code>函数中实现，主要处理以下几种情况：<\/p>`