好好说话之Tcache Attack(1):tcache基础与tcache poisoning

已于 2022-03-18 10:04:53 修改
阅读量4.2k 收藏 34
点赞数 49
分类专栏: 堆溢出 文章标签: pwn 堆溢出 tcache attack tcachepoisoning tcache基础
于 2021-02-01 19:05:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41202237/article/details/113400567
版权

进入到了Tcache的部分,我还是觉得有必要多写一写基础的东西。以往的各种攻击手法都是假定没有tcache的,从练习二进制漏洞挖掘的角度来看其实我们一直模拟的都是很老的环境,那么这样一来其实和真正的生产环境就产生了较大的差距,这导致了CTF-PWN就是CTF-PWN,除了比赛有用之外让人看不出实际的生产转化。以上均属个人想法,如果你觉得纯理论的东西没什么意思,完全可以跳过这前面部分直接看后面的例题

编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ

往期回顾:
好好说话之Large Bin Attack
好好说话之Unsorted Bin Attack
好好说话之Fastbin Attack(4):Arbitrary Alloc
(补题)2015 9447 CTF : Search Engine
好好说话之Fastbin Attack(3):Alloc to Stack
好好说话之Fastbin Attack(2):House Of Spirit
好好说话之Fastbin Attack(1):Fastbin Double Free
好好说话之Use After Free
好好说话之unlink

Tcache overview(部分引用CTF-Wiki

tcache是glibc 2.26(Ubuntu 17.10)之后引入的一种技术,其目的是为了提升堆管理的性能。我们都知道,一旦某个整体的应用添加了更加复杂的执行流程,那么就意味着整体执行的速度就会降低,那么为了弥补这一部分的欠缺,就不得不有所牺牲。所以虽然提升了整体的性能,但却舍弃了很多安全检查,这就意味着更多新的漏洞就伴随而来,也增添了很多利用方式

相关结构

tcache引入了两个新的结构体:tcache_entrytcache_perthread_struct。增添的两个结构体其实与fastbin有些类似,但是也有一定的区别

tcache_entry

tcache_entry结构体如下:

typedef struct tcache_entry
{
  struct tcache_entry *next;
} tcache_entry;

tcache_entry用于链接空闲的chunk结构体,其中next指针指向下一个大小相同的chunk。

在这里插入图片描述

这里需要注意的是next指向chunk的data部分,这和fastbin有一些不同,fastbin的fd指向的是下一个chunk的头指针。tcache_entry会复用空闲chunk的data部分

tcache_perthread_struct

tcache_perthread_struct结构体如下

typedef struct tcache_perthread_struct
{
  char counts[TCACHE_MAX_BINS];
  tcache_entry *entries[TCACHE_MAX_BINS];
} tcache_perthread_struct;

# define TCACHE_MAX_BINS                64

static __thread tcache_perthread_struct *tcache = NULL;

tcache_perthread_struct是用来管理tcache链表的,这个结构体位于heap段的起始位置,size大小为0x251。每一个thread都会维护一个tcache_perthread_struct结构体,一共有TCACHE_MAX_BINS个计数器TCACHE_MAX_BINS项tcache_entry。其中:

  • tcache_entry 用单向链表的方式链接了相同大小的处于空闲状态(free 后)的 chunk
  • counts 记录了 tcache_entry 链上空闲 chunk 的数目,每条链上最多可以有 7 个 chunk

tcache_perthread_struct、tcache_entry和malloc_chunk三者的关系如下:

在这里插入图片描述

tcache_perthread_struct结构体的entries成员变量指向tcache_entry结构体的next成员变量地址,tcache_entry结构体的next成员变量指向空闲的malloc_chunk的malloc地址。可以形象的理解为tcache_perthread_struct结构体是大总管,tcache_entry结构体是经理,空闲chunk为员工

Tcache usage

tcache执行流程如下:

  • 第一次malloc时,回显malloc一块内存用来存放tcache_perthread_struct,这块内存size一般为0x251
  • 释放chunk时,如果chunk的size小于small bin size,在进入tcache之前会先放进fastbin或者unsorted bin中
  • 放入tcache后
    • 先放到对应的tcache中,直到tcache被填满(7个)
    • tcache被填满后,接下来再释放chunk,就会直接放进fastbin或者unsorted bin中
    • tcache中的chunk不会发生合并,不取消inuse bit
  • 重新申请chunk,并且申请的size符合tcache的范围,则先从tcache中取chunk,直到tcache为空
  • tcache为空后,从bin中找
  • tcache为空时,如果fastbin、small bin、unsorted bin中有size符合的chunk,会先把fastbin、small bin、unsorted bin中的chunk放到tcache中,直到填满,之后再从tcache中取

需要注意的是,在采用tcache的情况下,只要是bin中存在符合size大小的chunk,那么在重启之前都需要经过tcache一手。并且由于tcache为空时先从其他bin中导入到tcache,所以此时chunk在bin中和在tcache中的顺序会反过来

源码分析

内存申请

tcache初始化的部分在这里就不多说了,因为能利用的点很少。这里就直接从申请内存阶段开始讲解了,首先是申请内存的步骤:

  // 从 tcache list 中获取内存
  if (tc_idx < mp_.tcache_bins && tcache && tcache->entries[tc_idx] != NULL)
    {
      return tcache_get (tc_idx);
    }
  DIAG_POP_NEEDS_COMMENT;
#endif
    }

这部分的代码描述的是从tcache中取chunk的一系列步骤,首先是在tcache中有chunk的时候,if判断要取出的chunk的size是否满足idx的合法范围,在tcache->entries不为空时调用tcache_get()函数获取chunk。

tcache_get()函数

接下来看一下tcache_get()函数的代码:

static __always_inline void *
tcache_get (size_t tc_idx)
{
  tcache_entry *e = tcache->entries[tc_idx];
  assert (tc_idx < TCACHE_MAX_BINS);
  assert (tcache->entries[tc_idx] > 0);
  tcache->entries[tc_idx] = e->next;
  --(tcache->counts[tc_idx]); 
  return (void *) e;
}

可以看到tcache_get()函数的执行流程很简单,从tcache->entries[tc_idx]获取一个chunk指针,并且tcache->counts减一,没有过多的安全检查或者保护

内存释放

我们看一下在有tcache的情况下_int_free()中的执行流程:

static void
_int_free (mstate av, mchunkptr p, int have_lock)
{
  ......
  ......
#if USE_TCACHE
  {
    size_t tc_idx = csize2tidx (size);
    if (tcache
        && tc_idx < mp_.tcache_bins // 64
        && tcache->counts[tc_idx] < mp_.tcache_count) // 7
      {
        tcache_put (p, tc_idx);
        return;
      }
  }
#endif
  ......
  ......

可以看到首先判断tc_idx的合法性,判断tcache->counts[tc_idx]在7个以内时,进入tcache_put()函数,传递的一参为要释放的chunk指针,二参为chunk对应的size在tcache中的下标

tcache_put()函数

static __always_inline void
tcache_put (mchunkptr chunk, size_t tc_idx)
{
  tcache_entry *e = (tcache_entry *) chunk2mem (chunk);
  assert (tc_idx < TCACHE_MAX_BINS);
  e->next = tcache->entries[tc_idx];
  tcache->entries[tc_idx] = e;
  ++(tcache->counts[tc_idx]);
}

tcache_put()函数执行过程中把释放的chunk插入到了tcache->entries[tc_idx]链表的头部,整个插入的过程中也没有做任何的安全检查及保护,也没有将P标志位变为0

通过对tcache_get()和tcache_put()两个函数的分析,我们可以看到并没有很严格的进行安全检查,没有对溢出、复用、二次释放等攻击手段进行审计,所以tcache机制伴随而来的是更多的安全问题

PWN Tcache

tcache由于省略了很多安全保护机制,所以在pwn中的利用方式有很多,这篇文章我们首先介绍tcache poisoning这种利用方式

tcache poisoning

tcache poisoning主要的利用手段是覆盖tcache中的next成员变量,由于tcache_get()函数没有对next进行检查,所以理论上来讲如果我们将next中的地址进行替换,不需要伪造任何chunk结构即可实现malloc到任何地址

这里我们以how2heap中的tcache_poisoning作为例子讲解,稍作了一些改动,将不必要的输出语句省略掉了

  1 //gcc -g -no-pie hollk.c -o hollk
  2 //glibc_2_27:
  3 //patchelf --set-rpath 你的路径/2.27-3ubuntu1_amd64/ hollk
  4 //patchelf --set-interpreter 你的路径/2.27-3ubuntu1_amd64/ld-linux-x86-64.so.2 hollk
  5 #include <stdio.h>
  6 #include <stdlib.h>
  7 #include <stdint.h>
  8 #include <assert.h>
  9 
 10 int main()
 11 {
 12         setbuf(stdin, NULL);
 13         setbuf(stdout, NULL);
 14         
 15         size_t target;
 16         printf("target is : %p.\n", (char *)&target);
 17         
 18         intptr_t *a = malloc(128);
 19         intptr_t *b = malloc(128);
 20         
 21         free(a);
 22         free(b);
 23         
 24         b[0] = (intptr_t)&target;
 25 
 26         malloc(128);
 27         intptr_t *c = malloc(128);
 28         printf("malloc_point is target: %p\n", c);
 29         
 30         assert((long)&target == (long)c);
 31         return 0;
 32 }

简单的描述一下这个例子的执行流程,首先setbuf()函数进行初始化,然后定义了一个target变量。接下来申请了两个size为0x90(128+16)的chunk,两个malloc指针分别给了指针变量a和指针变量b。接下来首先释放了chunk_a,又释放了chunk_b。然后修改指针数组b[idx]下标为0位置的内容为target变量的地址。随后重新申请了两个size为0x90大小的chunk,并将后申请的chunk的malloc指针赋给了指针变量c。最后打印出指针变量c

由于在编译阶段使用了-g参数,所以使用gdb进行动态调试的时候可以按照代码行下断点。首先我们在第18行下断点,看一下输出的target变量的地址:

在这里插入图片描述

可以看到打印出来的target_addr为0x7fffffffdee8。接下来我们将断点下在第21行,看一下申请的两个chunk的指针为多少:

在这里插入图片描述

可以看到创建的两个chunk,其中chunk_a_addr = 0x602250 、chunk_b_addr = 0x6022e0 。由此可以推断chunk_a的fd位置的地址为0x602260,chunk_b的fd位置的地址为0x6022f0。接下来我们在第24行下断点,看一下释放chunk之后bin中的情况:

在这里插入图片描述

由于我们使用patchelf将glibc的版本调整到了2.27,所以是存在tcache机制的,由于chunk_a和chunk_b的size同为0x90,所以chunk_a和chunk_b都被刮进了tcache bin中0x90这条链表中。我们也可以看一下在释放后两个chunk内部的情况:

在这里插入图片描述

我们可以看到chunk_b的fd指向的其实是chunk_a的malloc指针,你再回头看一下前一个图,挂进tcache bin中的两个指针分别的chunk_a的malloc指针和chunk_b的malloc指针,是不是刚才忽略了,以为是头指针呢😂。接下来我们将断点下在第26行,使程序执行b[0] = (intptr_t)&target;这段代码:

在这里插入图片描述

b[0] = (intptr_t)&target;这段代码事实上就是修改了chunk_b的fd指针指向的地址,指针变量b承接的是chunk_b的malloc指针,所以b[0]的位置就是chunk_b的fd,这样一来chunk_b的fd从原来指向chunk_a,变成了指向target变量的地址,我们看一下修改后bin中的情况:

在这里插入图片描述

可以看到,随着chunk_b的fd被修改成target_addr,tcache bin链表中的成员也发生了改变,target就被认为是chunk_b前一个被释放的chunk。接下来我们将断点下在第27行,在申请一次0x90大小的chunk之后tcache bin中的情况怎么样:

在这里插入图片描述

可以看到target作为tcache bin中0x90这条链表中最后一个被释放块了,那么我们再将断点下在第30行,再次申请一个0x90大小的chunk,并打印出新申请的chunk的malloc指针:

在这里插入图片描述

可以看到被挂在tcache bin中的target被当做一个释放chunk重新启用了!

例题后补~

在这里插入图片描述

hollk
关注
  • 49
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 7
    评论
专栏目录
利用 TCache attack(libc2.26)
c_z_y_c_z_x的博客
05-08 287
在TCache机制中,它为每个线程创建一个缓存,里面包含一些小块,无需对arena上锁即可使用,这种无锁分配算法能有不错的效率提升。在Glibc的2.26中 新增了Tcache机制 这是ptmalloc2的Tcache在glibc中是默认开启的,在Tcache被开启的时候会定义如下东西Tcache为每个线程都预留了这样一个特殊的bins, bin的数量是64个 每个bin中最多缓存7个chunk。在64位系统上以0x10的字节递增,。32位系统上则,所以Tcache缓存的是。
TCache-开源
04-25
TCache是​​高性能键/值存储组件。 它可以轻松地插入到任何现有的高性能,分布式内存对象缓存系统(例如MemcacheD或Dynamo)中,从而通过减少数据库负载来加速动态Web应用程序
由一道CTF pwn题深入理解libc2.26中的tcache机制
weixin_30363981的博客
04-20 541
本文首发安全客:https://www.anquanke.com/post/id/104760 在刚结束的HITB-XCTF有一道pwn题gundam使用了2.26版本的libc.因为2.26版本中加入了一些新的机制,自己一开始没有找到利用方式,后来经大佬提醒,才明白2.26版本中新加了一种名叫tcache(thread local caching)的缓存机制。 本文将依据2.26源码探讨tcac...
Tcache_attack的学习
最新发布
has_zaoganmaqule的博客
07-13 700
之前找专业学长买的ctfshow的pwn题目,在学校的时候把栈方面打完了。因为本人是个懒猪所以一拖再拖,也就留到了现在。前面几个heap题目比较简单等我有时间在写。首先我们得了解什么是Tcache?Tcache(Thread Cache)是glibc从2.26版本开始引入得一个特性,旨在提升内存分配性能。学过机组得都知道这个就是哪个缓存,一般计算机在读取数据的时候有好几层缓存。但这也加大了对攻击的难度。
LCTF2018 PWN easy_heap学习(以及tcache基础认识)
a2590035252的博客
09-24 450
适合于广大像我一样的pwn爱好者
Tcache Attack
qq_39153421的博客
04-21 674
tcache overview tcache机制在libc2.27之后新增,可以说它是类似于fastbin的机制,LIFO,但比fastbin的优先级更高,由名字可以看出它相当于一个缓存的作用。先看关于它的两个结构体 tcache_entry 和 tcache_perthread_struct(见glibc2.27源码): /* We overlay this structure on the user-data portion of a chunk when the chunk is stored
Tcache attack
qq_46441427的博客
08-23 264
文章目录前言一、Tcache相应结构体tcache_entry和tcache_perthread_structtcache_perthread_struct源码分析libc_malloc__tcache_init()申请内存tcache_get()__libc_free()_int_free()tcache_put()二、Tcache attckoverview总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就
tcache attack
yeshen4328的专栏
11-01 202
tcache attack tcache double free double free可以通过对同一块内存free两次,实现任意地址写。当libc版本在2.26以上时,free的块优先放入tcache,malloc也优先从tcache中取,性能更好。但是安全检查变弱了。 static void tcache_put (mchunkptr chunk, size_t tc_idx) { tcache_entry *e = (tcache_entry *) chunk2mem (chunk); ass
BUUCTF-PWN roarctf_2019_realloc_magic(tcache attack,块重叠,劫持_IO_2_1_stdout_泄露libc)
weixin_44145820的博客
04-17 1983
目录题目分析漏洞利用Exp 题目分析 free没有限制,可以多次free 使用realloc进行内存分配,没有限制大小 realloc的几个特殊用法(摘自官方WP) size == 0 ,这个时候等同于free realloc_ptr == 0 && size > 0 , 这个时候等同于malloc malloc_usable_size(realloc_ptr) &g...
tcache的利用方法
qq_39869547的博客
10-27 1622
tcache_perthread_struct结构体是用来管理tcache链表: 这个结构体位于heap段的起始位置,且有size:0x251 typedef struct tcache_perthread_struct { char counts[TCACHE_MAX_BINS];//数组长度64,每个元素最大为0x7,仅占用一个字节(对应64个tcache链表) tcache_entr...
glibc2.29溢出tcache的利用方式及原理
Hello World.c
03-06 8158
ibc2.29 溢出tcache的利用方式及原理 Dancing With Heap 与共舞 二进制学习之旅 参考资料: ctf-pwn https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/tcache_attack/#tcache-poisoning glibc wiki https://sourceware.org/glib...
【CTF资料-0x0002】PWN简易Linux利用入门教程by arttnba3
arttnba3的博客
02-25 5704
【CTF资料-0x0002】简易Linux利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
tcache attacke
abelxu
12-31 525
以glibc2.27为例讲解tcache的各种漏洞利用方式 1.1数据结构 1.2 malloc和free的过程 2.tcache各种漏洞利用方式 2.1 tcache poisoning 通过覆盖 tcache 中的 next,不需要伪造任何 chunk 结构即可实现 malloc 到任何地址。 2.2 tcache dup 类似 fastbin dup,不过利用的是 tcache_put() 的不严谨 2.3 tcache perthread corruption 我们已经知道 tcache_perth
好好说话之Tcache Attack(3):tcache stashing unlink attack
hollk’s blog
02-03 2174
tcache stashing unlink attack这种攻击利用有一个稍微绕的点,就是small bin中的空闲块挂进tcache bin这块。弯不大,仔细想想就好了
how2heap(5):tcache_poisoning 2.31
hollk’s blog
09-14 500
tcache_poisoning 2.31 依然还是将非段地址作为伪造块挂进tcache bin中,重新申请作为正常块启用 源码 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <stdint.h> 4 #include <assert.h> 5 6 int main() 7 { 8 // disable buffering 9
TCACHE STASHING UNLINK ATTACK
qq_51474381的博客
05-08 182
1.源码分析 /* If a small request, check regular bin. Since these "smallbins" hold one size each, no searching within bins is necessary. (For a large request, we need to wait until unsorted chunks are processed to find best fit. But for s
tcache-Attack总结
蚁景网安学院
10-21 1374
0x01 前言heap攻击方式有很多,但是目前多数pwn还是停留在libc2.23这些上面,而在之后的libc版本中引入了一些新的机制,tcache就是其中一个。tcache的引入,就...
malloc(): unaligned tcache chunk detected
06-10
这是一个内存分配错误。通常情况下,当使用malloc函数动态分配内存时,操作系统会在中分配一块内存空间,并返回这块内存的地址。然而,如果分配的内存大小不是对齐的,或者内存已经被释放,但是指针仍然指向这块内存,就可能会出现这个错误。建议检查代码中的内存分配和释放逻辑,确保没有出现这种情况。如果仍然无法解决问题,建议使用内存检测工具来进行调试。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hollk

要不赏点?

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值