glibc2.29堆溢出tcache的利用方式及原理

最新推荐文章于 2024-07-13 08:33:29 发布
最新推荐文章于 2024-07-13 08:33:29 发布
阅读量8.1k 收藏 14
点赞数 3
分类专栏: C Reverse Pwn C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jazrynwong/article/details/88240182
版权
本文详细介绍了glibc2.29中堆溢出利用tcache的原理和方法,包括tcache poisoning、tcache perthread corruption和tcache house of spirit。通过分析malloc和free的源码,揭示了tcache机制的潜在安全问题,给出了漏洞利用示例,并强调了了解最新libc源码的重要性。
摘要由CSDN通过智能技术生成

glibc2.29 堆溢出tcache的利用方式及原理

Dancing With Heap 与堆共舞

二进制学习之旅

参考资料:
ctf-pwn https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/tcache_attack/#tcache-poisoning
glibc wiki https://sourceware.org/glibc/wiki/MallocInternals
glibc document http://www.gnu.org/software/libc/documentation.html
glibc2.29 source http://ftp.gnu.org/gnu/glibc/glibc-2.29.tar.gz

写在前面:
tcache 和 fastbin在free中并没有被清除inuse标志,所以他们被认为是处于使用状态,不会被合并,普通chunk被添加到unsorted bin,直到malloc时有机会使用它们,才会放入normal bin

libc经常更新,安全小白刚开始入门pwn了解堆溢出的资料有很多比较过时,于是查阅资料,写博客记录,分享知识给其他需要的同学。建议阅读libc最新源码以了解关于堆分配器的新机制,或是利用方式。

机器的测试结果,与利用方式均受机器字长的影响,关于malloc源码的概述和特殊结构体以及宏可以参考我的其他相关博客

tcache poisoning

tcache机制允许,将空闲的chunk以链表的形式缓存在线程各自tcache的bin中。下一次malloc时可以优先在tcache中寻找符合的chunk并提取出来。他缺少充分的安全检查,如果有机会构造内部chunk数据结构的特殊字段,我们可以有机会获得任意想要的地址。
###tcache_entry

typedef struct tcache_entry
{
	//指向chunk当中的用户内存区,第一个变量是一个指针,指向tcache的下一个chunk,
	//就是单链表访问
  struct tcache_entry *next;
  /* 这个字段是用来检测双重free释放的  */
  struct tcache_perthread_struct *key;
} tcache_entry;

在malloc中对tcache几乎没有什么检查,如果能给有机会覆写tcache中的next字段并且将next字段,覆写为任意指定的的地址,malloc就会直接返回这个地址的指针给应用程序,之后便可以恶意利用这个地址的内容,写入也好,读取也好。
来稍微看下malloc中tcache流程

void *
__libc_malloc (size_t bytes)
{
	.......

	#if USE_TCACHE
  //检查bytes合法性,并获取请求的标准chunk大小
  checked_request2size (bytes, tbytes);
  //获得tcache对应请求大小bin的索引
  size_t tc_idx = csize2tidx (tbytes);
//如果没有初始化tcache,那么我们初始化tcache
  MAYBE_INIT_TCACHE ();

  DIAG_PUSH_NEEDS_COMMENT;
  //检查tcache给定索引是否有chunk满足条件,有就直接取出来
  //索引大小不能超过index,并且tcache存在,并且tcache对应索引有块,初始化时不为0
  if (tc_idx < mp_.tcache_bins
      /*&& tc_idx < TCACHE_MAX_BINS*/ /* to appease gcc */
      && tcache
      && tcache->entries[tc_idx] != NULL)
    {
      return tcache_get (tc_idx);//获取tcache
    }
  DIAG_POP_NEEDS_COMMENT;
	#endif

	.......

}

来看下获取tcache的宏

static __always_inline void *
tcache_get (size_t tc_idx)
{
tcache_entry *e = tcache->entries[tc_idx];
  //idx防止越界
  assert (tc_idx < TCACHE_MAX_BINS);
  //确实有块
  assert (tcache->entries[tc_idx] > 0);
  //取出第一个块
  tcache->entries[tc_idx] = e->next;
  //计数减少
  --(tcache->counts[tc_idx]);
  //key设置为null
  e->key = NULL;
  //返回chunk
  return (void *) e;
}

这个宏只做了请求索引越界,确定bin中有块的检测,malloc中也做了请求大小检测,请求索引检测,没有别的操作,检测完后他就简单从tcache对应大小的entry中取出头部第一个chunk,返回他的地址给应用程序。

再来看一下free中是怎么处理添加chunk到tcache的
不同于malloc_libc_free对外的接口不直接处理tcache,而是在_int_free这个模块内部例程中处理有关tcache的操作

static void//arena     chunk ptr      lock state
_int_free (mstate av, mchunkptr p,
最低0.47元/天 解锁文章
「已注销」
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
glibc-2.29
10-23
**glibc 2.29 知识点详解** glibc,全称为GNU C Library,是Linux操作系统下最重要的库之一,由GNU项目开发并维护。它提供了C编程语言的运行时环境,包括标准I/O、字符串处理、内存管理、网络编程等大量功能,是...
C语言----动态内存分配(malloc calloc relloc free)超全知识点
weixin_69884785的博客
08-06 2126
C语言----动态内存分配(malloc calloc relloc free)超全知识点
C语言动态内存分配原理以及区的使用(malloc、calloc、realloc、free)
dulu_LAY的博客
01-25 1247
C语言动态内存分配 文章目录C语言动态内存分配和栈动态内存调用释放的函数malloccallocreallocfree内存管理内存泄漏动态内存分配原理(32bit操作系统为例)内存碎片什么时候使用动态内存 和栈 区 – 动态内存 手动申请使用,使用完之后,手动释放。 栈区 – 自动内存 程序允许时,操作系统自动分配。 通常存放普通局部变量 函数调用 动态内存调用释放的函数 #include <stdio.h> void *malloc(size_t size); void
Tcache_attack的学习
最新发布
has_zaoganmaqule的博客
07-13 703
之前找专业学长买的ctfshow的pwn题目,在学校的时候把栈方面打完了。因为本人是个懒猪所以一拖再拖,也就留到了现在。前面几个heap题目比较简单等我有时间在写。首先我们得了解什么是Tcache?Tcache(Thread Cache)是glibc从2.26版本开始引入得一个特性,旨在提升内存分配性能。学过机组得都知道这个就是哪个缓存,一般计算机在读取数据的时候有好几层缓存。但这也加大了对攻击的难度。
线程停止的方法详解
qq_43109561的博客
05-29 441
线程停止的方法 总结: 1.设置标志位(无法处理线程阻塞时停止的问题) 2.调用Thread类提供的stop方法强行关闭线程。(本方法现在已经不推荐使用,因为会产生不完整数据) 3.调用Thread类提供的interrupt(): (1)若线程中没有使用类似sleep/wait/join时,调用此线程对象的interrupt方法并不会真正中断线程,只是简单地将线程的状态置为interr...
TCMalloc源码学习(三)(小块内存分配)
weixin_30642267的博客
11-27 219
线程本地cache 线程本地cache对应的是类 ThreadCache,每一个thread一个实例,初始化代码在static函数CreateCacheIfNecessary中, 在该线程第一次申请内存的时候初始化,调用栈是 : 1 tcmalloc::ThreadCache::CreateCacheIfNecessary() 2 tcmalloc::Thread...
一道题目学习glibc 2.32
qq_40712959的博客
04-14 1523
一道题目学习glibc 2.32 safe-linking glibc2.32引入的新的防御机制-safe-linking(异或加密),其核心思想是:将指针的地址右移12位再和指针本身异或,如下,L为指针的地址,P为指针本身,该操作是可逆的,取指针时再做一次操作就可以还原得到原来的指针: 该操作是在chunk被放入tcache bin和从tcache bin中取出时进行 #define PROTECT_PTR(pos, ptr) \ ((__typeof (ptr)) ((((size_t) pos)
glibc-2.29-5_C-C++_glibc2.29_glibc2.29源码_
10-01
《深入解析glibc 2.29:C与C++编程的基础与实践》 glibc,全称为GNU C Library,是Linux系统中最核心的库之一,为C和C++编程提供了一系列的基础服务。glibc 2.29是其一个重要的版本,包含了丰富的功能和优化,对于...
Linux GLIBC 2.29 编译产物
07-14
基于CentOS 系统,完成 GLIBC 2.29 编译。 MD5: D2EE49E69B8BD7197780F46F7F46B005 SHA1: 0192AA464AEDED419CF74EDC28F93C68750646EF CRC32: FCEB6ACD
linux系统glibc-2.29
08-30
linux系统libc库glibc-2.29glibcglibc-2.29
glibc-2.29.zip
08-25
glibc是GNU发布的libc库,即c运行库。glibc是linux系统中最底层的api,几乎其它任何运行库都会依赖于glibc, 在制作docker alpine镜像可以需要用到他
Linux C系统编程-线程退出(二)
JINGDIANSHUANGXI的博客
04-23 252
线程的取消。 功能:send a cancellation request to a thread thread: 需要取消的子线程的ID号 默认创建的子线程都是可以响应取消请求。 例题: 主线程发送取消请求给子线程,看看子线程情况。 #include “head.h” 下面展示一些 内联代码片。 void *routine(void *arg) { int i; for(i=0;i<...
c# 结构体 4字节对齐_二进制安全之溢出(系列)——基础 & 结构(二)...
weixin_39936380的博客
10-27 244
哈喽啊这里是二进制安全之溢出(系列)第二期“基础 & 结构”第二节!!话不多说,直接上干货!微观结构函数执行流程void *malloc (size_t bytes) void *__libc_malloc (size_t bytes) //对于_int_malloc做简单封装 __malloc_hook //类似于虚函数,派生接口,指定一个malloc的方式 _int_mall...
Tcache机制绕过
Jamorant12138的博客
11-10 604
基于glibc2.26-2.27的Tcache机制绕过
关于如何理解Glibc管理器(Ⅷ——从源代码理解malloc)
Tokameine的博客
08-07 1447
本篇实为个人笔记,可能存在些许错误;若各位师傅发现哪里存在错误,还望指正。感激不尽。 若有图片及文稿引用,将在本篇结尾处著名来源(也有置于篇首的情况)。 关于glibc管理器Ptmalloc2的实际讨论在前几节已经大致结束了,但是笔者仍觉得对其分配机制缺少完整的认识,于是最后两节将直接通过源代码来对其分配和释放规则进行分析 尽管笔者所用的Ubuntu18.04使用glibc-2.27,但笔者在对照源代码后发现,实际的操作和官方放出的glibc2.29更加接近,因此...
linux下 c中怎么让才能安全关闭线程
bbs598598的专栏
05-05 1万+
多线程退出有三种方式: (1)执行完成后隐式退出; (2)由线程本身显示调用pthread_exit 函数退出;     pthread_exit (void * retval) ;  (3)被其他线程用pthread_cance函数终止:     pthread_cance (pthread_t thread) ;  用event来实现。 在子线程中,在
glibc TCache机制
huzai9527的博客
01-20 1167
TCache机制 相关的宏 #if USE_TCACHE /* We want 64 entries. This is an arbitrary limit, which tunables can reduce. */ # define TCACHE_MAX_BINS 64 # define MAX_TCACHE_SIZE tidx2usize (TCACHE_MAX_BINS-1) /* Only used to pre-fill the tunables. */ # define tidx
高并发编程-Thread_正确关闭线程的三种方式
热门推荐
小工匠
09-22 1万+
文章目录概述 概述 通过阅读源码或者官方的API,可以知道 Thread#stop() 方法已经被废弃了。 大致意思 这种方法本质上是不安全的。 使用Thread.stop停止线程会导致它解锁所有已锁定的监视 如果先前由这些监视器保护的任何对象处于不一致状态,则损坏的对象将对其他线程可见,从而可能导致任意行为。 stop的许多用法应由仅修改某些变量以指示目标线程应停止运行的代码代替。...
【CTF资料-0x0002】PWN简易Linux利用入门教程by arttnba3
arttnba3的博客
02-25 5723
【CTF资料-0x0002】简易Linux利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
深入glibc内存原理利用
《Heap Exploitation(简体中文)》是一本旨在帮助读者了解“内存”内部工作原理的书籍,尤其是针对glibc的malloc和free函数的使用。本书并非官方译本,目的是帮助读者更好地理解内存的工作原理。 在本书中,作者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值