jemalloc内存分配器利用技术详解<\/h1>

1. jemalloc概述<\/h2>

jemalloc是一个高性能的用户空间内存分配器，被广泛应用于多个重要项目中：<\/p>

Mozilla Firefox在Windows、Mac OS X和Linux平台上使用<\/li>
FreeBSD和NetBSD操作系统的默认系统分配器<\/li>

Facebook在其Web服务组件中使用<\/li> <\/ul>

jemalloc的设计重点在于：<\/p>

基于局部性原则（分配在一起的项目一起使用），尽量连续分配内存<\/li>
通过多arena设计减少多线程环境下的锁竞争问题<\/li>

提高从RAM中检索数据的性能，而非最小化页面利用率<\/li> <\/ul>

2. jemalloc核心架构<\/h2>

2.1 主要数据结构<\/h3>

Chunks<\/h4>

大块虚拟内存区域，大小固定（Firefox中为1MB，FreeBSD libc中为2MB）<\/li>
由arena_chunk_t<\/code>结构描述<\/li>

用于存储所有其他数据结构及用户请求的内存<\/li>
<\/ul>
Arenas<\/h4>

管理chunks和底层页面的内存区域<\/li>
用于缓解多线程间的锁竞争问题<\/li>
线程的分配\/释放总是在同一个arena中进行<\/li>
数量取决于系统配置（单CPU系统1个，SMP系统为CPU核心数的2-4倍）<\/li>
Firefox中只有一个arena<\/li>
<\/ul>
Runs<\/h4>

chunks的进一步划分单位<\/li>
一组连续页面（至少1页），与页面大小倍数对齐<\/li>
负责跟踪regions（用户内存分配）的状态（空闲\/使用）<\/li>
使用位掩码跟踪状态（位掩码是run元数据的一部分）<\/li>
<\/ul>
Regions<\/h4>

malloc()返回给用户的内存区域<\/li>
按大小分为三类：

Small\/medium：小于页面大小<\/li>
Large：大于页面但小于chunk大小减去头部<\/li>
Huge：大于chunk大小减去头部<\/li>
<\/ul>
<\/li>
<\/ul>
Bins<\/h4>

组织空闲regions的结构<\/li>
通过runs管理空闲regions<\/li>
每个bin关联特定大小类，管理该大小的regions<\/li>
包含"current run"（最近使用的run）和空闲regions的runs树<\/li>
<\/ul>
2.2 数据结构关系<\/h3>
Arenas → Chunks → Runs → Regions
              ↑
              Bins
<\/code><\/pre>
3. 利用原语<\/h2>
jemalloc没有使用传统的"unlinking"或"frontlinking"机制，因此需要开发新的利用方法：<\/p>
3.1 相邻区域覆盖<\/h3>
原理<\/strong>：<\/p>

相同大小类的regions放在同一bin的同一run中，且之间无元数据<\/li>
通过堆风水(Heap Feng Shui)控制堆布局<\/li>
将目标对象与易受攻击对象放在同一run中相邻位置<\/li>
<\/ul>
步骤<\/strong>：<\/p>

执行大量分配以覆盖现有run中的空闲区域或获取新run<\/li>
执行受控分配（目标对象）<\/li>
每隔一个释放目标对象，在run中创建"洞"<\/li>
触发堆溢出，使易受攻击对象溢出到目标对象<\/li>
<\/ol>
3.2 Run头损坏<\/h3>
场景<\/strong>：<\/p>

溢出run的最后一项，覆盖下一个run的头部<\/li>
溢出run应服务于任何可用bins的regions<\/li>
<\/ul>
利用<\/strong>：<\/p>

溢出run#1的最后一项，覆盖run#2头部<\/li>
分配大小等于run#2服务的大小的内存<\/li>
返回的指针将指向run#1的内存区域<\/li>
<\/ol>
3.3 Chunk头损坏<\/h3>
场景<\/strong>：<\/p>

通过控制堆分配强制分配新arena<\/li>
在前一个arena的最后一个region（与新arena相邻）触发溢出<\/li>
破坏chunk头的元数据<\/li>
<\/ul>
效果<\/strong>：<\/p>

释放新arena的任何region时，堆管理信息被更改<\/li>
下次malloc()返回的region将指向前一个arena的已分配空间<\/li>
<\/ul>
4. Firefox案例研究<\/h2>
4.1 调试工具unmask_jemalloc<\/h3>

基于GDB Python脚本实现<\/li>
支持Linux 32\/64位Firefox目标<\/li>
功能包括查看arenas、chunks、runs、bins等内部状态<\/li>
<\/ul>
4.2 堆操作技术<\/h3>
JavaScript堆喷示例<\/strong>：<\/p>
function<\/span> jemalloc_spray<\/span>(blocks<\/span>, size<\/span>) {
<\/span><\/span>    var<\/span> block_size<\/span> =<\/span> size<\/span> \/<\/span> 2<\/span>;
<\/span><\/span>    var<\/span> marker<\/span> =<\/span> unescape<\/span>("%ubeef%udead"<\/span>);
<\/span><\/span>    marker<\/span> +=<\/span> marker<\/span>;
<\/span><\/span>    var<\/span> content<\/span> =<\/span> unescape<\/span>("%u6666%u6666"<\/span>);
<\/span><\/span>    while<\/span>(content<\/span>.length<\/span> <<\/span> (block_size<\/span>\/<\/span>2<\/span>)) { content<\/span> +=<\/span> content<\/span>; }
<\/span><\/span>    
<\/span><\/span>    var<\/span> arr<\/span> =<\/span> [];
<\/span><\/span>    for<\/span>(i<\/span>=<\/span>0<\/span>; i<\/span><<\/span>blocks<\/span>; i<\/span>++<\/span>) {
<\/span><\/span>        \/\/ 构造随机填充块
<\/span><\/span><\/span><\/span>        var<\/span> rndstr<\/span> =<\/span> "%u"<\/span> +<\/span> rnd1<\/span>.toString<\/span>() +<\/span> rnd2<\/span>.toString<\/span>();
<\/span><\/span>        rndstr<\/span> +=<\/span> "%u"<\/span> +<\/span> rnd3<\/span>.toString<\/span>() +<\/span> rnd4<\/span>.toString<\/span>();
<\/span><\/span>        var<\/span> padding<\/span> =<\/span> unescape<\/span>(rndstr<\/span>);
<\/span><\/span>        
<\/span><\/span>        \/\/ 构造块并喷入堆
<\/span><\/span><\/span><\/span>        var<\/span> block<\/span> =<\/span> marker<\/span> +<\/span> content<\/span> +<\/span> padding<\/span>;
<\/span><\/span>        arr<\/span>[i<\/span>] =<\/span> block<\/span>.substr<\/span>(0<\/span>);
<\/span><\/span>    }
<\/span><\/span>    
<\/span><\/span>    \/\/ 每隔一个释放块
<\/span><\/span><\/span><\/span>    for<\/span>(i<\/span>=<\/span>0<\/span>; i<\/span><<\/span>blocks<\/span>; i<\/span>+=<\/span>2<\/span>) {
<\/span><\/span>        delete<\/span>(arr<\/span>[i<\/span>]);
<\/span><\/span>        arr<\/span>[i<\/span>] =<\/span> null<\/span>;
<\/span><\/span>    }
<\/span><\/span>    
<\/span><\/span>    \/\/ 触发垃圾回收
<\/span><\/span><\/span><\/span>    var<\/span> ret<\/span> =<\/span> trigger_gc<\/span>();
<\/span><\/span>    
<\/span><\/span>    \/\/ 重新填充释放的块
<\/span><\/span><\/span><\/span>    \/\/ ...
<\/span><\/span><\/span><\/span>    return<\/span> arr<\/span>;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>关键点<\/strong>：<\/p>

使用未转义字符串和数组进行受控分配<\/li>
实现随机填充以绕过传统堆喷缓解<\/li>
通过delete和null显式释放内存<\/li>
强制垃圾回收以稳定堆状态<\/li>
<\/ul>
5. 结论<\/h2>
jemalloc利用技术的关键在于：<\/p>

理解其多arena、chunk-run-region的层次结构<\/li>
通过堆风水控制内存布局<\/li>
利用相邻区域覆盖、run头损坏或chunk头损坏实现利用<\/li>
在Firefox中结合JavaScript堆操作技术实现可靠利用<\/li>
<\/ol>
unmask_jemalloc工具可帮助研究人员深入分析jemalloc内部状态，辅助漏洞利用开发。<\/p>

jemalloc内存分配器利用技术详解<\/h1>

2. jemalloc核心架构<\/h2>

2.1 主要数据结构<\/h3>

3. 利用原语<\/h2> jemalloc没有使用传统的"unlinking"或"frontlinking"机制，因此需要开发新的利用方法：<\/p>

4. Firefox案例研究<\/h2>

3. 利用原语<\/h2>
jemalloc没有使用传统的"unlinking"或"frontlinking"机制，因此需要开发新的利用方法：<\/p>