glibc2.26下针对Tcache的利用手段

最新推荐文章于 2024-08-28 18:17:21 发布
最新推荐文章于 2024-08-28 18:17:21 发布
阅读量452 收藏
点赞数 2
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40890756/article/details/102573383
版权
本文介绍了glibc2.26引入的Tcache机制及其带来的安全问题,包括Double Free、House of Spirit、Overlap Chunk和Poison Next Pointer等利用手段,并探讨了整数溢出的隐患。通过示例代码和分析,揭示了Tcache如何在提高效率的同时降低了安全性。
摘要由CSDN通过智能技术生成

Tcache机制出现是在glibc版本为2.26的时候 glibc引入tcache的原因是为了更进一步加快chunk的分配 但一方面却在安全性上大打折扣
示例代码取自ctf-all-in-one

Tcache Double Free In Glibc2.26

#include <stdlib.h>
#include <stdio.h>

int main() {
   
    void *p1 = malloc(0x10);
    free(p1);
    free(p1);
    return 0;
}

没错 直接free两次就可以实现double free 因为在Tcache中free的时候是直接挂入到tcache的 没有任何check 所以连续两次free同一个chunk 是完全可行的

House Of Spirit In Tcache In Glibc2.26

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

int main() {
   
    malloc(1);  // init heap
    unsigned long long *a, *b;
    unsigned long long fake_chunk[64] __attribute__ ((aligned (16)
最低0.47元/天 解锁文章
Lun3r-
关注
专栏目录
glibc Tcache机制
For Geek
10-15 3291
Tcache的简述 在Glibc2.26中 新增了Tcache机制 这是ptmalloc2的缓存机制 Tcacheglibc中是默认开启的,在Tcache被开启的时候会定义如下东西 #if USE_TCACHE /* We want 64 entries. This is an arbitrary limit, which tunables can reduce. */ # define ...
glibc下malloc与free的实现原理(四):tcache机制
weixin_44215692的博客
04-11 1397
glibc下malloc与free的实现原理(四): tcache 一、概述 tcacheglibc某个版本后引入的新机制,目的是提高堆管理的性能。 事实上,在我们现在用pwndbg调试与堆有关的程序时,就会发现许多free chunk被归入了tcache 许多漏洞的利用也和tcache机制有关,因此研究tcache的机制是有必要的。 我们先不论tcache机制到底是什么(按照字面意思,有“高速缓存”之意),先就从tcache相关的新增代码的分析入手,最后就能总结出tcache机制究竟是什么。 二、新的相
c++ free(): double free detected in tcache 2
最新发布
xiaozhi
08-28 753
c++ free(): double free detected in tcache 2
关于如何理解Glibc堆管理器(Ⅶ——Tcache Bins!!)
Tokameine的博客
08-06 959
本篇实为个人笔记,可能存在些许错误;若各位师傅发现哪里存在错误,还望指正。感激不尽。 若有图片及文稿引用,将在本篇结尾处著名来源(也有置于篇首的情况)。 笔者本该将这一节的内容与第二节合并的,因为Tcache的并入并没有带来非常多的内容。但从结构上考虑,笔者一直以来都在使用glibc-2.23进行说明,在该版本下尚且没有引入Tcache Bins,因此这一节的内容一直拖欠到今。直到glibc-2.27开始,官方才引入了Tcache Bins结构,因此本节内容也将在该版本下进行说明(不...
pwndbg 基本操作指令
键盘的起始页
04-17 362
/生成50个用来溢出的字符,如:aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaama。//显示rdi寄存器的值,注意和x的区别,这只是显示rdi的值,而不是rdi指向的值。//查看0x123456地址的值,//计算0x10-0x08的结果。//打印fun_name的地址,//显示arena的详细信息。//打印包含返回地址的栈地址。//像IDA那样显示数据,//直接看canary的值。//显示rdi指向的值。//查看变量a的地址。,会跟提示所有操作堆的地方。
free(): double free detected in tcache 2 如何解决
热门推荐
qq_49101164的博客
04-19 3万+
free(): double free detected in tcache 2 如何解决 原因 free():在tcache 2中检测到双空闲,在执行程序的过程中对同一块内存单元进行了两次free()操作。 在循环中包含free();语句,容易出现这类问题。 解决方法 可以设置两个指针,进行操作,下面给出示范 出现double free() 的报错 只设置了一个指针变量n,在循环的过程中,会再次对n进行free();操作因此会出现此次问题 double free()得到解决 设置两个指针变量,
利用 TCache attack(libc2.26
c_z_y_c_z_x的博客
05-08 304
在TCache机制中,它为每个线程创建一个缓存,里面包含一些小堆块,无需对arena上锁即可使用,这种无锁分配算法能有不错的效率提升。在Glibc2.26中 新增了Tcache机制 这是ptmalloc2的Tcacheglibc中是默认开启的,在Tcache被开启的时候会定义如下东西Tcache为每个线程都预留了这样一个特殊的bins, bin的数量是64个 每个bin中最多缓存7个chunk。在64位系统上以0x10的字节递增,。32位系统上则,所以Tcache缓存的是。
glibc2.29堆溢出tcache利用方式及原理
Hello World.c
03-06 8184
ibc2.29 堆溢出tcache利用方式及原理 Dancing With Heap 与堆共舞 二进制学习之旅 参考资料: ctf-pwn https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/tcache_attack/#tcache-poisoning glibc wiki https://sourceware.org/glib...
glibc-2.27.tar.gz
07-22
glibc 2.27是这个库的一个特定版本,包含了自2.26以来的一系列更新和改进。对于想要深入理解操作系统与应用程序之间交互,以及如何优化程序性能的开发者来说,研究glibc源码是至关重要的一步。 在glibc 2.27中,你...
动手实现一个小内存管理库
weixin_42136255的博客
12-23 1498
自己动手实现一个小内存管理库
解决方案之一:free(): double free detected in tcache 2
活在当下
11-08 773
1. 检查对象中的成员,尤其是智能指针,是否指向了单一资源,而改资源在其他地方已经释放,这样会导致在本类析构时,再次释放改智能指针,导致该异常。
C: Coredump-N:重复释放 double free/deallocation detected in tcache 2
mzhan017的博客
12-02 2062
#0 0xf7eea129 in __kernel_vsyscall () #1 0xf6f200f6 in raise () from /lib/libc.so.6 #2 0xf6f09dd4 in abort () from /lib/libc.so.6 #3 0xf6f64a7c in __libc_message () from /lib/libc.so.6 #4 0xf6f6c57f in malloc_printerr () from /lib/libc.so.6 #5 0xf6f6
GLIBC(2.29)内存管理
Amazing
04-02 1894
1. GLIBC tcache机制 GLIBC自从2.26版本开始,增加了tcache(thread local caching)机制,旨在提高GLIBC内存管理性能。tcache机制利用了线程私有数据结构,以达到无锁状态下快速内存管理。tcache机制在编译时通过USE_TCACHE进行控制,默认是打开的。 在GLIBC中,将会为每个线程均维持一个tcache结构,...
【Python】解决无法找到GLIBC_2.25的问题
weixin_44479465的博客
01-16 2万+
问题 [4984] Error loading Python lib '/tmp/_MEIDEBji0/libpython3.6m.so.1.0': dlopen: /lib/x86_64-linux-gnu/libc.so.6: version `GLIBC_2.25' not found (required by /tmp/_MEIDEBji0/libpython3.6m.so.1.0)
【LEDE】x86软路由之路-07-GCC编译失败(glibc2.26
wang805447391的博客
10-25 5447
架构x86_64 在使用OpenWrt SDK编译gcc package的时候,报如下错误: i486-openwrt-linux-gnu-gcc -g -O2 -g -Os -O2 -g -O2 -g -Os -DIN_GCC -W -Wall -Wno-narrowing -Wwrite-strings -Wcast-qual -Wstrict-prototypes -Wmissing-...
由一道CTF pwn题深入理解libc2.26中的tcache机制
weixin_30363981的博客
04-20 545
本文首发安全客:https://www.anquanke.com/post/id/104760 在刚结束的HITB-XCTF有一道pwn题gundam使用了2.26版本的libc.因为2.26版本中加入了一些新的机制,自己一开始没有找到利用方式,后来经大佬提醒,才明白2.26版本中新加了一种名叫tcache(thread local caching)的缓存机制。 本文将依据2.26源码探讨tcac...
libc2.26以下的单一堆溢出漏洞利用——0ctf_2017_babyheap
PLpa的博客
08-03 599
前言: 此题为libc2.26以下的libc环境,在libc2.27及以上不一定行得通。 解题思路: 查看保护: 保护全开的64位程序。 观察IDA伪代码: 我们进入IDA看看程序(在此之前建议先运行一遍程序,看看程序的逻辑)。 标准的菜单题,题目先申请了一块堆结构来保存接下来我们要申请的堆地址,在开了保护的情况下,我们并不能很容易的找到这块堆地址在哪,这样我们就很难把堆块劫持到这个上面。 我们看看各个功能: 增 本题采用了calloc来申请堆块,这样对于申请的堆块来说,原有的数据就会被清除掉,这样我
深入glibc堆内存原理及利用
《Heap Exploitation(简体中文)》是一本旨在帮助读者了解“堆内存”内部工作原理的书籍,尤其是针对glibc的malloc和free函数的使用。本书并非官方译本,目的是帮助读者更好地理解堆内存的工作原理。 在本书中,作者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值