【tcache stash unlink +】图解

最新推荐文章于 2022-11-15 01:56:01 发布
最新推荐文章于 2022-11-15 01:56:01 发布
阅读量349 收藏
点赞数
分类专栏: CTF glibc 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/121233452
版权
CTF 同时被 2 个专栏收录
43 篇文章 0 订阅
订阅专栏
glibc
8 篇文章 0 订阅
订阅专栏

tcache stashing unlink +

  1. tcache 的入链操作

    在这里插入图片描述

  2. smallbin 入链操作

    在这里插入图片描述

  3. tcache stash

    • 源码

      #if USE_TCACHE
      /* While we're here, if we see other chunks of the same size,
         stash them in the tcache.  */
      size_t tc_idx = csize2tidx (nb);
      if (tcache && tc_idx < mp_.tcache_bins)
        {
          mchunkptr tc_victim;
          /* While bin not empty and tcache not full, copy chunks over.  */
          while (tcache->counts[tc_idx] < mp_.tcache_count
             && (tc_victim = last (bin)) != bin) //注意这个结束条件
        {
          if (tc_victim != 0)
            {
              bck = tc_victim->bk; //这里victim的bk被我们修改了,bck为我们修改的值 &victim — 0x10
              set_inuse_bit_at_offset (tc_victim, nb);
              if (av != &main_arena)
            set_non_main_arena (tc_victim);
              bin->bk = bck;//victim 成为small bin的尾节点
              bck->fd = bin;//victim的fd被设置为small bin
            //这里需要注意的是victim + 0x8需要提前设置,作为victim的bk
              tcache_put (tc_victim, tc_idx);
                }
        }

    • 实际操作

      • 第一次stash,虚线是small bin 解链,绿色是未被攻击的情况, 红色是攻击的情况

        在这里插入图片描述

      • 第二次stash,就会将victim链入tcache,此时malloc就会申请到fake chunk

huzai9527
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tcache Stashing Unlink Attack(House of Lore Attack)
tbsqigongzi的博客
08-11 529
Tcache Stashing Unlink Attack
Tcache Stashing Unlink Attack
seaaseesa的博客
05-01 1910
Tcache Stashing Unlink Attack Tcache Stashing Unlink Attack就是calloc的分配不从tcache bin里取chunk,calloc会遍历fastbin、small bin、large bin,如果在tcache bin里,对应的size的bin不为空,则会将这些bin的chunk采用头插法插入到tcache bin里。首先,我们来看一...
好好说话之Tcache Attack(3):tcache stashing unlink attack
hollk’s blog
02-03 2093
tcache stashing unlink attack这种攻击利用有一个稍微绕的点,就是small bin中的空闲块挂进tcache bin这块。弯不大,仔细想想就好了
技巧篇:Tcache stash unlink attack(ubuntu19)
qq_39948058的博客
08-27 210
前言:今天早上刷题的时候,刷到了一道关于Tcache stash unlink attack的技巧篇,其实简单来说就是tc attack,至于unlink就是为了绕过unlink检测,它还有uaf,开启了沙盒,唯一的突破点是orw,orz。。 还是老样,弄了一下别的师傅的exp,自己懒得写啦。。还得调试orz orz、、 exp: #coding:utf-8 from pwn import * #r = remote("node4.buuoj.cn", 27347) r = process("./h
TCACHE STASHING UNLINK ATTACK
qq_51474381的博客
05-08 174
1.源码分析 /* If a small request, check regular bin. Since these "smallbins" hold one size each, no searching within bins is necessary. (For a large request, we need to wait until unsorted chunks are processed to find best fit. But for s
TCache-开源
04-25
TCache,作为一款开源的高性能键/值存储组件,旨在为现有的分布式内存对象缓存系统如Memcached或Dynamo提供增强的功能,以提升动态Web应用程序的速度并减轻数据库的负载。这款工具的核心价值在于其能够有效地缓存...
Glibc 2.27关于Tcache的增强保护 .pdf
09-05
《Glibc 2.27 Tcache增强保护详解》 Glibc,作为Linux系统中最核心的C语言标准库,其安全性能对整个系统的稳定性至关重要。2.27版本的更新,特别是针对Tcache(线程缓存)分配机制的增强保护,是针对内存管理安全性...
【技术分享】glibc 2.27-2.32版本下Tcache Struct的溢出利用 .pdf
09-05
【技术分享】glibc 2.27-2.32版本下的Tcache Struct溢出利用是一种高级的堆溢出漏洞利用技术,涉及到系统安全、漏洞挖掘和应急响应。在这些glibc版本中,引入了Tcache(Thread-Cache)机制以提高内存分配的效率,但...
heap_exploit_2.31
03-21
tcache藏匿unlink攻击++ 2020 XCTF-GXZY twochunk 由空字节关闭 2019 TCTF最终版Babyheap2.29 2019 Balsn纯文字 大垃圾箱攻击 tcache dup tcache double free fastbin双免费 botcake的房子 其他堆利用技术与how...
【技术分享】house of pig一个新的堆利用详解 .pdf
09-05
此攻击方法适用于glibc 2.31及其后的版本,利用了其中的大型bin攻击(largebin attack)、FILE结构以及tcache stashing unlink攻击的组合。在某些特定情况下,即程序仅使用calloc分配内存而没有使用malloc,House of...
Tcache Stashing Unlink Attack 原理详解
qq_41252520的博客
08-06 1573
calloc\textcolor{cornflowerblue}{calloc}calloc函数是直接调用_int_malloc\textcolor{cornflowerblue}{\_int\_malloc}_int_malloc函数分配内存的,并且会清空内存 所以calloc\textcolor{cornflowerblue}{calloc}calloc可以越过 tcache取空闲内存。而malloc\textcolor{cornflowerblue}{malloc}malloc函数先是判断是否启用了
how2heap(6):tcache_stashing_unlink_attack 2.31
hollk’s blog
09-14 554
tcache_stashing_unlink_attack 主要利用的是small bin链表中摘堆块后重新排列进tcache的原理 源码 //gcc -g tcache_stashing_unlink_attack.c -o tcache_stashing_unlink_attack_231 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <assert.h> 4 5 int main()
一道Unlink pwn题 (非常好玩)
qq_41071646的博客
06-12 615
这个题目具体出处我现在还不知道 是某个学姐问我的 但是这个题确实很好玩 本来这个题我思路很多 但是 发现好多东西都限制特别多 加上我最近 很多事情都很烦心 (一堆考试 要复习 英语四级什么的还没有准备) 然后就把题 扔给 gou ri的负责人 但是不得不说这个题确实是我想复杂了 没有想到unlink 并且 unlink 我确实不太熟悉~~ 然后这个题目 运行库是 2.23 但是我...
glibc-2.29学习(上)
weixin_44145820的博客
05-28 1170
堆利用在CTF的PWN题目中一直占比较大,而最近的比赛的平台也逐渐从Ubuntu16,Ubuntu18向Ubuntu19甚至更高版本转移,为此学习一下libc-2.29中新的特性对做题还是很有帮助的 libc-2.29新变化 libc-2.29中修改了对tcache_entry的定义,通过注释我们也能看出新增加的key是为了检测double free的,如下 /* We overlay this structure on the user-data portion of a chunk when t
house of pig
m0_63437215的博客
11-15 179
house of pig
Unlink
钞sir的博客
03-03 4740
简介 unlink是在smallbin被释放的时候的一种操作,是将当前物理内存相邻的free chunk进行合并,简单的讲就是我们在free一个smallchunk的时候,如果它前面或者后面的chunk有空闲的,即in_use位为0时,就将前面或后面的chunk连在一起合成一个chunk; smallbin的数据结构:prev_size,size,fd,bk; 因为smallbin被释放后是用双...
tcache 利用 part2
zhangji
12-05 533
Challenge 2 : HITCON 2018 PWN baby_tcache 题目 题目 exp CTFtime 上提供的 基本信息 远程环境中的 libc 是 libc-2.27.so 和上面的题目一样。 zj@zj-virtual-machine:~/c_study/hitcon2018/pwn1$ checksec ./baby_tcache [*] '/home/zj/c_study...
glibc2.31下的新double free手法/字节跳动pwn题gun题解
chennbnbnb的博客
12-02 4146
回顾double free手法 在glibc2.27之前,主要是fastbin double free: fastbin在free时只会检查现在释放的chunk,是不是开头的chunk,因此可以通过free(C1), free(C2), free(C1)的手法绕过 并在在fastbin取出时,会检查size字段是不是属于这个fastbin,因此往往需要伪造一个size glibc2.27~glibc2.28,主要是tcache double free 相较于fastbin double fr
[阅读型]glibc-2.31中的tcache stashing unlink与large bin attack
easy_level1的博客
06-01 1580
文章目录前言题目的漏洞与功能tcache stashing unlinklarge bin attack有了上述方法,然后做什么 前言 有幸和校队一起参加21年5月的xctf-final。笔者爆肝连续战斗十小时,在与队友各种讨论下艰难做出了house of pig这一题。事后看出题人的wp,方法不尽相同但也是收获良多,特此记录。 笔者的这题解法是没有large bin attack的(知识盲区),利用tcache stashing unlink写global_max_fast完成house of hust,
tcache的使用方法
最新发布
07-22
`tcache`是glibc中的一种内存管理机制,用于高效地管理小块内存分配和释放。以下是`tcache`的使用方法: 1. 分配内存:使用`malloc()`函数分配内存时,glibc会自动将小于等于`tcache`的大小的内存块放入`tcache`中。例如,如果您分配了一个小于等于`0x410`字节的内存块,它将被放入`tcache`中。 2. 释放内存:使用`free()`函数释放内存时,glibc会将内存块放回对应大小的`tcache`中。如果`tcache`已满,则可能会将内存块放入fastbins或其他bin中。 3. 重复分配和释放:如果您反复分配和释放相同大小的内存块,glibc会尽可能地从`tcache`中分配和释放。这种重复利用`tcache`可以提高性能。 4. `tcache`的大小:在不同版本的glibc中,`tcache`的大小可能会有所不同。通常,较新版本的glibc将`tcache`的大小设置为64个不同的链表,每个链表对应一种特定大小的内存块。 5. 线程局部`tcache`:每个线程都有自己的`tcache`,这意味着不同线程之间的`tcache`是独立的。这可以提高多线程程序的性能。 需要注意的是,`tcache`机制是glibc特有的,并不是C标准库的一部分。因此,它的行为和实现方式可能会因glibc版本而异。如果您对特定版本的glibc中的`tcache`机制有更详细的问题或疑问,建议查阅相关文档或参考glibc源代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值