好好说话之Tcache Attack(2):tcache dup与tcache house of spirit

已于 2022-03-18 10:05:01 修改
阅读量1.9k 收藏 12
点赞数 20
分类专栏: 堆溢出 文章标签: pwn 堆溢出 tcache attack tcache dup tcache spirit
于 2021-02-02 19:12:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41202237/article/details/113527665
版权

这篇文章介绍了两种tcache的利用方法,tcache dup和tcache house of spirit,两种方法都是用how2heap中的例题作为讲解。由于tcache attack这部分的内容比较多,所以分开几篇文章去写。例题后补,写完例题后可能会进行重新排版,内容不会少的!!!

往期回顾:
好好说话之Tcache Attack(1):tcache基础与tcache poisoning
好好说话之Large Bin Attack
好好说话之Unsorted Bin Attack
好好说话之Fastbin Attack(4):Arbitrary Alloc
(补题)2015 9447 CTF : Search Engine
好好说话之Fastbin Attack(3):Alloc to Stack
好好说话之Fastbin Attack(2):House Of Spirit
好好说话之Fastbin Attack(1):Fastbin Double Free
好好说话之Use After Free
好好说话之unlink

编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ

tcache dup

这种利用方式和前面fastbin attack中的fastbin dup很像,tcache dup利用的是tcache_put()未做安全检查的缺陷,我们来回顾一下tcache_put()函数:

static __always_inline void *
tcache_get (size_t tc_idx)
{
  tcache_entry *e = tcache->entries[tc_idx];
  assert (tc_idx < TCACHE_MAX_BINS);
  assert (tcache->entries[tc_idx] > 0);
  tcache->entries[tc_idx] = e->next;
  --(tcache->counts[tc_idx]); 
  return (void *) e;
}

在具备tcache机制的情况下,申请释放内存的时候,_int_free()函数会调用tcache_put()函数,tcache_put()函数会按照size对应的idx将已释放块挂进tcache bins链表中。插入的过程也很简单,根据_int_free()函数传入的参数,将被释放块的malloc指针交给next成员变量。其中没有任何安全检查和保护机制,在大服务提高性能的同时,安全性几乎舍弃了大半

因为没有做任何的检查,所以我们可以对同一个chunk多次free,这就会造成cycliced list。我们在fastbin attack中经常用到

例题:how2heap 中的 tcache_dup

源码如下,做了一些小小的改动,将不重要的输出省略了,不影响正常执行:

  1 //gcc -g -no-pie hollk.c -o hollk
  2 //glibc_2_27:
  3 //patchelf --set-rpath 路径/2.27-3ubuntu1_amd64/ hollk
  4 //patchelf --set-interpreter 路径/2.27-3ubuntu1_amd64/ld-linux-x86-64.so.2 hollk
  5 #include <stdio.h>
  6 #include <stdlib.h>
  7 #include <assert.h>
  8 
  9 int main()
 10 {
 11         int *a = malloc(8);
 12 
 13         free(a);
 14         free(a);
 15 
 16         void *b = malloc(8);
 17         void *c = malloc(8);
 18         printf("Next allocated buffers will be same: [ %p, %p ].\n", b, c);
 19 
 20         assert((long)b == (long)c);
 21         return 0;
 22 }

我们来简单的解读一下这个程序的执行流程:首先创建了一个size为0x20大小的chunk,并将chunk的malloc指针赋给了指针变量a,接下来连续释放了两次chunk_a。然后重新申请了两个size为0x20大小的chunk,并分别将两个chunk的malloc指针付给了指针变量b和指针变量c。最后打印出chunk_b和chunk_c的malloc指针

由于我们在编译的时候使用-g参数,所以在使用gdb进行动态调试的时候可以在对应代码行下断点,首先我们在第13行下断点,看一下已创建的chunk_a的地址在哪:

在这里插入图片描述

可以看到chunk_a的头指针为0x602250,fd所在位置为0x602260,接下来我们将断点下在第14行,看一下第一次释放chunk_a后bin中的情况:

在这里插入图片描述由于我们利用patchelf将程序执行的glibc修改为2.27版本,所以是存在tcache机制的,所以第一次释放chunk_a之后会被挂在tcache bin中0x20这条单向链表中。接下来我们将断点下载第15行,再一次释放chunk_a:

在这里插入图片描述

首先看上图的上半部分,再次释放chunk_a之后chunk_a的malloc指针又一次被挂进了tcache bin中,我们也可以观察一下gdb给我们的提示,在0x20后有一个标识当前idx链表中chunk的数量,这里显示的是2,tcache_put()函数并没有意识到chunk_a是一个已被释放的chunk,这就造成了cycliced list,chunk_a有指向了自己(是我S了我! )。我们再来看下半部分的chunk_a内部状况,可以看到chunk_a的fd此时指向的是自身的malloc地址。接下来我们将断点下在第17行,看一下重新申请一个0x20大小的chunk时的情况:

在这里插入图片描述

可以看到,由于tcache bin中有符合申请size要求的空闲块,所以在申请0x20大小的chunk时,tcache bin中0x20链表最后一个被释放的chunk_a理所应当的被重新启用。这个时候可以看一下gdb标识当前链表中的chunk数量的确从2变为了1,但是chunk_a虽然被启用,链表中依然还会存在chunk_a的malloc指针,这是由于第一次被启用的是第二次被释放的chunk_a

接下来我们间断点下在第20行,完成第二次申请0x20的chunk,并打印出chunk_b和chunk_c的malloc指针:

在这里插入图片描述

可以看到打印出的chunk_b和chunk_c的malloc指针都是chunk_a的malloc指针,这是因为chunk_a被释放的两次,第一次申请的chunk_b启用了第二次释放的chunk_a,第二次申请的chunk_c启用了第一次被释放的chunk_a。

总体来说和前面的fastbin attack构造循环单项链表的方式差不多,只是对利用的机制不一样

tcache house of spirit

tcache house of spirit这种利用方式是由于tcache_put()函数检查不严格造成的,在释放的时候没有检查被释放的指针是否真的是堆块的malloc指针,如果我们构造一个size符合tcache bin size的fake_chunk,那么理论上讲其实可以将任意地址作为chunk进行释放。这里就直接采用wiki上面列出的例子进行讲解了:

how2heap中的tcache_house_of_spirit

源码如下,稍作改动,去掉了一些输出语句,不影响正常程序执行流程:

  1 //gcc -g -no-pie hollk.c -o hollk
  2 //patchelf --set-rpath 路径/2.27-3ubuntu1_amd64/ hollk
  3 //patchelf --set-interpreter 路径/2.27-3ubuntu1_amd64/ld-linux-x86-64.so.2 hollk
  4 #include <stdio.h>
  5 #include <stdlib.h>
  6 #include <assert.h>
  7 
  8 int main()
  9 {
 10         setbuf(stdout, NULL);
 11 
 12         malloc(1);
 13 
 14         unsigned long long *a;
 15         unsigned long long fake_chunks[10];
 16 
 17         printf("fake_chunk addr is %p\n", &fake_chunks[0]);
 18 
 19         fake_chunks[1] = 0x40; 
 20 
 21         a = &fake_chunks[2];
 22 
 23         free(a);
 24 
 25         void *b = malloc(0x30);
 26         printf("malloc(0x30): %p\n", b);
 27 
 28         assert((long)b == (long)&fake_chunks[2]);
 29 }

我们简单的说明一下这个程序的执行流程:首先使用setbuf()函数进行初始化,然后创建了一个堆块,这个堆块的作用其实是为了防止后面的chunk与top chunk合并的。接下来定义了一个指针变量a,还定义了一个整型数组fake_chunk[10]。接下来打印了fake_chunk的起始地址,将fake_chunk[1]中的内容修改成了0x40。接下来将fake_chunk[2]所在地址赋给指针变量a,然后释放a。接着重新申请一个size为0x40大小的chunk,并将其malloc地址赋给指针变量b,最后打印出chunk_b的malloc地址

由于我们在编译阶段使用了-g参数,所以在使用gdb调试过程中可以在代码行下断点。首先我们在第19行下断点,看一下打印出来的fake_chunk[]的起始地址:

在这里插入图片描述

可以看到fake_chunk[]的起始地址为0x7fffffffdea0,接下来我们将断点下在第21行,执行fake_chunks[1] = 0x40;这段代码:

在这里插入图片描述

fake_chunks[1] = 0x40这段代码修改了fake_chunk[1]中的内容,这其实是一个构造fake_chunk的过程,0x40就是这个fake_chunk的size,接下来我们将断点下在第25行,我们看一下在释放fake_chunk后bin中的状况:

在这里插入图片描述

可以看到由于我们使用了patchelf将程序的glibc修改成了2.27版本,所以存在tcache机制,释放的chunk会被挂进tcache bin中。那么由于我们将fake_chunk[2]所在地址赋给了指针变量a,并且free(a)。由于tcache_put()函数没有做任何的安全检查,所以就将fake_chunk看作为一个正常的chunk给释放了。所以我们可以在tcache bin的0x40这条单向链表中看到fake_chunk的malloc指针。接下来我们将断点下在第28行,重新申请一个size为0x40大小的chunk_b,并打印其malloc地址:

在这里插入图片描述

可以看到打印出的chunk_b的malloc地址就是fake_chunk的malloc地址。这是由于在tcache bin中的0x40链表里刚好有符合申请size要求的空闲块,这个空闲块就是fake_chunk,所以再次申请的时候fake_chunk作为链表中最后一个chunk,就被重新启用了

例题后补~

在这里插入图片描述

hollk
关注
  • 20
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 8
    评论
专栏目录
BUUCTF-PWN刷题记录-5(Tcache
weixin_44145820的博客
04-13 1456
目录ciscn_2019_final_3[V&N2020 公开赛]easyTHeap ciscn_2019_final_3 只有添加和删除两个功能 限制了申请的大小,最大为0x78,意味着chunk最大为0x80,添加完可以泄露上的地址 free之后没有置空,可以double free 题目分析差不多就这样,下面是漏洞利用: 先申请一个大小为0x78的heap[0],记录下返回地...
tcache的利用方法
qq_39869547的博客
10-27 1622
tcache_perthread_struct结构体是用来管理tcache链表: 这个结构体位于heap段的起始位置,且有size:0x251 typedef struct tcache_perthread_struct { char counts[TCACHE_MAX_BINS];//数组长度64,每个元素最大为0x7,仅占用一个字节(对应64个tcache链表) tcache_entr...
Tcache_attack的学习
最新发布
has_zaoganmaqule的博客
07-13 703
之前找专业学长买的ctfshow的pwn题目,在学校的时候把栈方面打完了。因为本人是个懒猪所以一拖再拖,也就留到了现在。前面几个heap题目比较简单等我有时间在写。首先我们得了解什么是Tcache?Tcache(Thread Cache)是glibc从2.26版本开始引入得一个特性,旨在提升内存分配性能。学过机组得都知道这个就是哪个缓存,一般计算机在读取数据的时候有好几层缓存。但这也加大了对攻击的难度。
[BUUCTF]PWN——ciscn_2019_final_3(tcache dup
mcmuyanga的博客
03-10 1039
ciscn_2019_final_3 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,提示是题 64位ida载入 add() remove() 简单的思路:先合并块,合并后的块大于tcache的范围,然后free掉即可出现libc,接下来就是块重叠malloc一个块到libc空间,通过gift得到libc地址,接着tcache attack修改__free_hook拿到shell tcache 第一次接触tcache,根据ctfwiki上的知识点简单总结一
how2heap(4):tcache_house_of_spirit 2.31
hollk’s blog
09-01 372
tcache_house_of_spirit 2.31 比较简单,一句话概括就是释放一个不属于段的伪造块,然后重新申请 源码 // gcc -g tcache_house_of_spirit.c -o tcache_house_of_spirit 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <assert.h> 4 5 int main() 6 { 7 s
[off by null + tcache dup]lctf_easy_heap
huzai9527的博客
05-17 249
[off by null + tcache dup]lctf_easy_heap 1.ida 分析 malloc函数中输入content存在off by null 2.思路 通过off by null,造成chunk overlapping,泄漏Libc的地址 这里存在off by null 通过unstored bin就可以泄漏,但由于tcache的存在,需要注意 先申请10个chunk,释放3-9,填满tcache bin之后,再释放0,1,2编号的chunk进入unstored bin
2.27 tcache破坏key 打tcache dup 例题--lonelywolf
m0_74220442的博客
04-19 270
通过tcache bin 中的double free addr<----addr fd就是addr 因此可以泄露地址,但由于是2.27版本后期 不难直接打double free 因为有一个key检验 那个key的值指向tcache_pthread_stuct下面0x10的位置,会检验这个key的值 如果一样就遍历一遍tcache bin 因此我们要破坏这个key 由于没有置0 直接edit 就可以了。可以看到add函数 限制了chunk块的大小在0x78以下。这里有个off by null但好像没用道、
好好说话unlink
08-03
[1]除了unlink,这篇文章还提到了其他一些与溢出相关的攻击技术,如tcache attack、tcache dup、tcache house of spirit等。[3]通过阅读这篇文章,读者可以更好地理解和掌握unlink漏洞的利用方法。
glibc2.31下的新double free手法/字节跳动pwn题gun题解
chennbnbnb的博客
12-02 4214
回顾double free手法 在glibc2.27之前,主要是fastbin double free: fastbin在free时只会检查现在释放的chunk,是不是开头的chunk,因此可以通过free(C1), free(C2), free(C1)的手法绕过 并在在fastbin取出时,会检查size字段是不是属于这个fastbin,因此往往需要伪造一个size glibc2.27~glibc2.28,主要是tcache double free 相较于fastbin double fr
how2heap glibc 2.27
qq_46441427的博客
10-10 736
fastbin dup 展示了glibc2.27里利用double free进行的fastbin attack #include <stdio.h> #include <stdlib.h> #include <assert.h> int main() { setbuf(stdout, NULL); printf("This file demonstrates a simple double-free attack with fastbins.\n"); pri
buuctf ACTF_2019_message(tcache bin dup / fastbin dup)
qq_36918532的博客
04-19 788
有些图片显示不出来,我懒的在复制粘贴了,可以直接去我笔记里面看 网上的这道题的,大部分的exp都是写的16.04,使用的fastbin double free,但是在buuctf上根本打不通,因为人家都要求了是18.04,,所以这里写了两个版本(均可以打通) buuctf ACTF_2019_message 安全检查:FULL RELRO(got表不可写),GS,NX都开了 菜单题(的) 增加函数:判断当前指针是否为空,为空就创建 删除函数:一是没有判断该地方是否有值,而是没有将指针置空,可能出
Tcache Attack
qq_39153421的博客
04-21 674
tcache overview tcache机制在libc2.27之后新增,可以说它是类似于fastbin的机制,LIFO,但比fastbin的优先级更高,由名字可以看出它相当于一个缓存的作用。先看关于它的两个结构体 tcache_entry 和 tcache_perthread_struct(见glibc2.27源码): /* We overlay this structure on the user-data portion of a chunk when the chunk is stored
Tcache漏洞
m0_52343643的博客
04-06 295
tcache 为每个线程创建一个缓存(cache),从而实现无锁的分配算法,有不错的性能提升。正式提供了该机制,并默认开启647):放入相应 bins 中的 chunk 都会在其用户数据中包含,指向同 bins 中的下一个 chunk。
Tcache Attack(3)
yms0211的博客
09-16 768
tcache attack(3)
tcache attacke
abelxu
12-31 526
以glibc2.27为例讲解tcache的各种漏洞利用方式 1.1数据结构 1.2 malloc和free的过程 2.tcache各种漏洞利用方式 2.1 tcache poisoning 通过覆盖 tcache 中的 next,不需要伪造任何 chunk 结构即可实现 malloc 到任何地址。 2.2 tcache dup 类似 fastbin dup,不过利用的是 tcache_put() 的不严谨 2.3 tcache perthread corruption 我们已经知道 tcache_perth
Tcache Attack(2)
yms0211的博客
09-16 962
tcache attack(2)
glibc Tcache机制
For Geek
10-15 3274
Tcache的简述 在Glibc的2.26中 新增了Tcache机制 这是ptmalloc2的缓存机制 Tcache在glibc中是默认开启的,在Tcache被开启的时候会定义如下东西 #if USE_TCACHE /* We want 64 entries. This is an arbitrary limit, which tunables can reduce. */ # define ...
Hgame2019_baby tcache
钞sir的博客
03-01 3966
简介 Tcache机制应该是从2.26之后版本的libc中才加进去的,而这个机制可能使我们的攻击变得更加简单,因为我们可能不需要去构造false_chunk,只需要覆盖tcache中的next,即将tcache中的next覆盖为我们自己的地址,从而达到任意地址写入; 简单地来讲,Tcache机制就是增加一个bin缓存,而且每个bin是单链表结构,单个tcache bin默认最多包含7个块;在释放...
free(): double free detected in tcache 2
04-06
This error message indicates that the program is attempting to free memory that has already been freed. This can lead to memory corruption and other issues. To fix this error, you will need to carefully review the code and ensure that all memory allocation and deallocation operations are properly managed. Specifically, you should check that: - Memory is only freed once - Pointers are not used after they have been freed - Memory is not accessed after it has been freed You may also want to use a tool like Valgrind to help identify the source of the error. Valgrind can detect memory leaks, buffer overflows, and other memory-related issues that can lead to this error message.
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hollk

要不赏点?

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值