glibc2.29堆溢出tcache的利用方式及原理

最新推荐文章于 2024-09-21 22:04:43 发布
最新推荐文章于 2024-09-21 22:04:43 发布
阅读量8.2k 收藏 14
点赞数 3
分类专栏: C Reverse Pwn C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jazrynwong/article/details/88240182
版权
本文详细介绍了glibc2.29中堆溢出利用tcache的原理和方法,包括tcache poisoning、tcache perthread corruption和tcache house of spirit。通过分析malloc和free的源码,揭示了tcache机制的潜在安全问题,给出了漏洞利用示例,并强调了了解最新libc源码的重要性。
摘要由CSDN通过智能技术生成

glibc2.29 堆溢出tcache的利用方式及原理

Dancing With Heap 与堆共舞

二进制学习之旅

参考资料:
ctf-pwn https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/tcache_attack/#tcache-poisoning
glibc wiki https://sourceware.org/glibc/wiki/MallocInternals
glibc document http://www.gnu.org/software/libc/documentation.html
glibc2.29 source http://ftp.gnu.org/gnu/glibc/glibc-2.29.tar.gz

写在前面:
tcache 和 fastbin在free中并没有被清除inuse标志,所以他们被认为是处于使用状态,不会被合并,普通chunk被添加到unsorted bin,直到malloc时有机会使用它们,才会放入normal bin

libc经常更新,安全小白刚开始入门pwn了解堆溢出的资料有很多比较过时,于是查阅资料,写博客记录,分享知识给其他需要的同学。建议阅读libc最新源码以了解关于堆分配器的新机制,或是利用方式。

机器的测试结果,与利用方式均受机器字长的影响,关于malloc源码的概述和特殊结构体以及宏可以参考我的其他相关博客

tcache poisoning

tcache机制允许,将空闲的chunk以链表的形式缓存在线程各自tcache的bin中。下一次malloc时可以优先在tcache中寻找符合的chunk并提取出来。他缺少充分的安全检查,如果有机会构造内部chunk数据结构的特殊字段,我们可以有机会获得任意想要的地址。
###tcache_entry

typedef struct tcache_entry
{
	//指向chunk当中的用户内存区,第一个变量是一个指针,指向tcache的下一个chunk,
	//就是单链表访问
  struct tcache_entry *next;
  /* 这个字段是用来检测双重free释放的  */
  struct tcache_perthread_struct *key;
} tcache_entry;

在malloc中对tcache几乎没有什么检查,如果能给有机会覆写tcache中的next字段并且将next字段,覆写为任意指定的的地址,malloc就会直接返回这个地址的指针给应用程序,之后便可以恶意利用这个地址的内容,写入也好,读取也好。
来稍微看下malloc中tcache流程

void *
__libc_malloc (size_t bytes)
{
	.......

	#if USE_TCACHE
  //检查bytes合法性,并获取请求的标准chunk大小
  checked_request2size (bytes, tbytes);
  //获得tcache对应请求大小bin的索引
  size_t tc_idx = csize2tidx (tbytes);
//如果没有初始化tcache,那么我们初始化tcache
  MAYBE_INIT_TCACHE ();

  DIAG_PUSH_NEEDS_COMMENT;
  //检查tcache给定索引是否有chunk满足条件,有就直接取出来
  //索引大小不能超过index,并且tcache存在,并且tcache对应索引有块,初始化时不为0
  if (tc_idx < mp_.tcache_bins
      /*&& tc_idx < TCACHE_MAX_BINS*/ /* to appease gcc */
      && tcache
      && tcache->entries[tc_idx] != NULL)
    {
      return tcache_get (tc_idx);//获取tcache
    }
  DIAG_POP_NEEDS_COMMENT;
	#endif

	.......

}

来看下获取tcache的宏

static __always_inline void *
tcache_get (size_t tc_idx)
{
tcache_entry *e = tcache->entries[tc_idx];
  //idx防止越界
  assert (tc_idx < TCACHE_MAX_BINS);
  //确实有块
  assert (tcache->entries[tc_idx] > 0);
  //取出第一个块
  tcache->entries[tc_idx] = e->next;
  //计数减少
  --(tcache->counts[tc_idx]);
  //key设置为null
  e->key = NULL;
  //返回chunk
  return (void *) e;
}

这个宏只做了请求索引越界,确定bin中有块的检测,malloc中也做了请求大小检测,请求索引检测,没有别的操作,检测完后他就简单从tcache对应大小的entry中取出头部第一个chunk,返回他的地址给应用程序。

再来看一下free中是怎么处理添加chunk到tcache的
不同于malloc_libc_free对外的接口不直接处理tcache,而是在_int_free这个模块内部例程中处理有关tcache的操作

static void//arena     chunk ptr      lock state
_int_free (mstate av, mchunkptr p,
最低0.47元/天 解锁文章
「已注销」
关注
专栏目录
glibc-2.29学习(上)
weixin_44145820的博客
05-28 1234
利用在CTF的PWN题目中一直占比较大,而最近的比赛的平台也逐渐从Ubuntu16,Ubuntu18向Ubuntu19甚至更高版本转移,为此学习一下libc-2.29中新的特性对做题还是很有帮助的 libc-2.29新变化 libc-2.29中修改了对tcache_entry的定义,通过注释我们也能看出新增加的key是为了检测double free的,如下 /* We overlay this structure on the user-data portion of a chunk when t
线程停止的方法详解
qq_43109561的博客
05-29 470
线程停止的方法 总结: 1.设置标志位(无法处理线程阻塞时停止的问题) 2.调用Thread类提供的stop方法强行关闭线程。(本方法现在已经不推荐使用,因为会产生不完整数据) 3.调用Thread类提供的interrupt(): (1)若线程中没有使用类似sleep/wait/join时,调用此线程对象的interrupt方法并不会真正中断线程,只是简单地将线程的状态置为interr...
【我的 PWN 学习手札】House of Karui —— tcache key 绕过
Mr_Fmnwon的博客
09-21 601
早期版本的 tcachebin 由于毫无保护,导致攻击利用非常容易,成为重灾区。tcache dup,也即 tcachebin 中的 double free 利用手法,是攻击者常常选用的攻击方式。然而,在glibc-2.29开始,添加了对 tcache key,对 double free 进行了检查。本篇介绍的 House of Karui 即是一种非常简单的通过溢出来实现绕过,造成double free的方法。
C语言----动态内存分配(malloc calloc relloc free)超全知识点
weixin_69884785的博客
08-06 2247
C语言----动态内存分配(malloc calloc relloc free)超全知识点
TCMalloc源码学习(三)(小块内存分配)
weixin_30642267的博客
11-27 227
线程本地cache 线程本地cache对应的是类 ThreadCache,每一个thread一个实例,初始化代码在static函数CreateCacheIfNecessary中, 在该线程第一次申请内存的时候初始化,调用栈是 : 1 tcmalloc::ThreadCache::CreateCacheIfNecessary() 2 tcmalloc::Thread...
glibc-2.29
10-23
**glibc 2.29 知识点详解** glibc,全称为GNU C Library,是Linux操作系统下最重要的库之一,由GNU项目开发并维护。它提供了C编程语言的运行时环境,包括标准I/O、字符串处理、内存管理、网络编程等大量功能,是...
glibc-2.29-5_C-C++_glibc2.29_glibc2.29源码_
10-01
《深入解析glibc 2.29:C与C++编程的基础与实践》 glibc,全称为GNU C Library,是Linux系统中最核心的库之一,为C和C++编程提供了一系列的基础服务。glibc 2.29是其一个重要的版本,包含了丰富的功能和优化,对于...
linux系统glibc-2.29
08-30
linux系统libc库glibc-2.29glibcglibc-2.29
glibc-2.29.zip
06-26
本文将通过分析glibc-2.29的源码,帮助读者深入理解Linux系统调用的工作原理,并探讨其在实际应用中的重要性。 首先,我们要明确的是,glibc是Linux下的标准C库,它包含了大量的C语言函数实现,如内存管理、I/O操作...
c# 结构体 4字节对齐_二进制安全之溢出(系列)——基础 & 结构(二)...
weixin_39936380的博客
10-27 259
哈喽啊这里是二进制安全之溢出(系列)第二期“基础 & 结构”第二节!!话不多说,直接上干货!微观结构函数执行流程void *malloc (size_t bytes) void *__libc_malloc (size_t bytes) //对于_int_malloc做简单封装 __malloc_hook //类似于虚函数,派生接口,指定一个malloc的方式 _int_mall...
linux下 c中怎么让才能安全关闭线程
bbs598598的专栏
05-05 1万+
多线程退出有三种方式: (1)执行完成后隐式退出; (2)由线程本身显示调用pthread_exit 函数退出;     pthread_exit (void * retval) ;  (3)被其他线程用pthread_cance函数终止:     pthread_cance (pthread_t thread) ;  用event来实现。 在子线程中,在
【我的 PWN 学习手札】tcache stash with fastbin double free —— tcache key 绕过
最新发布
Mr_Fmnwon的博客
09-21 1098
tcache key 的引入使得 tcache dup 利用出现了困难。除了简单利用 UAF 覆写 key 或者之外,还可以利用 ptmalloc 中的其他机制进行绕过。
高并发编程-Thread_正确关闭线程的三种方式
热门推荐
小工匠
09-22 1万+
文章目录概述 概述 通过阅读源码或者官方的API,可以知道 Thread#stop() 方法已经被废弃了。 大致意思 这种方法本质上是不安全的。 使用Thread.stop停止线程会导致它解锁所有已锁定的监视 如果先前由这些监视器保护的任何对象处于不一致状态,则损坏的对象将对其他线程可见,从而可能导致任意行为。 stop的许多用法应由仅修改某些变量以指示目标线程应停止运行的代码代替。...
【CTF资料-0x0002】PWN简易Linux利用入门教程by arttnba3
arttnba3的博客
02-25 5893
【CTF资料-0x0002】简易Linux利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
高版本glibc的tcache和fastbin指针加密机制
qq_51474381的博客
04-18 2092
先贴一下源码 tcache: static __always_inline void tcache_put (mchunkptr chunk, size_t tc_idx) { tcache_entry *e = (tcache_entry *) chunk2mem (chunk); /* Mark this chunk as "in the tcache" so the test in _int_free will detect a
CTF pwn题入门 -- Tcache bin
lifanxin的博客
04-06 4119
Tcache attack序言概述攻击方式绕过Tcache分配到目的地址tcache poisoningtcache house of spirit总结 序言 无奈于pwn题中与相关的东西实在是比较多,加上到了2021年的现在,ctf比赛中一来就是题,还都是新版本libc,对我这种新手中的新手实在不太友好,以此写下这个系列文章,记录自己学习漏洞利用过程中的点滴,同时也是个总结吧。结合自己做题的理解,将攻击常见的手段和方式按照一定的规律记录下来。本文章系列将分成五大块,即tcache attack
C语言漏洞学习-漏洞(一)
qq_44370676的博客
07-24 1565
漏洞 understanding-glibc-malloc
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值