高版本glibc的tcache和fastbin指针加密机制

先贴一下源码

tcache：

    static __always_inline void 
    tcache_put (mchunkptr chunk, size_t tc_idx)
    {
      tcache_entry *e = (tcache_entry *) chunk2mem (chunk);
      /* Mark this chunk as "in the tcache" so the test in _int_free will
         detect a double free.  */
      e->key = tcache;
      e->next = PROTECT_PTR (&e->next, tcache->entries[tc_idx]);
      tcache->entries[tc_idx] = e;
      ++(tcache->counts[tc_idx]);
    }
    static __always_inline void *
    tcache_get (size_t tc_idx)
    {
      tcache_entry *e = tcache->entries[tc_idx];
      if (__glibc_unlikely (!aligned_OK (e)))
        malloc_printerr ("malloc(): unaligned tcache chunk detected");
      tcache->entries[tc_idx] = REVEAL_PTR (e->next);
      --(tcache->counts[tc_idx]);
      e->key = NULL;
      return (void *) e;
    }

fsatbin：

    if (SINGLE_THREAD_P)  
    {
        /* Check that the top of the bin is not the record we are going to
            add (i.e., double free).  */
        if (__builtin_expect(old == p, 0))
            malloc_printerr("double free or corruption (fasttop)");
        p->fd = PROTECT_PTR(&p->fd, old);
        *fb = p;
    }
    else
        do
        {
            /* Check that the top of the bin is not the record we are going to
                add (i.e., double free).  */
            if (__builtin_expect(old == p, 0))
                malloc_printerr("double free or corruption (fasttop)");
            old2 = old;
            p->fd = PROTECT_PTR(&p->fd, old);
        } while ((old = catomic_compare_and_exchange_val_rel(fb, p, old2))
            != old2);

从tcache来看：

PROTECT_PTR：对 pos 右移了 12 位（去除了末尾的 3 位信息），再异或原来的指针（在这之前 next 储存的内容）。

随便找个heap题试试

一次free后如下

二次free后如下

此时bins如下：

的计算方式：

取出时(二次异或不变):

所以2.29以后要泄露的不只是libc了，还要泄露key（就是这个东西，第一个chunk的fd<<12，去掉第三位的heap基地址，因为第一个被free的chunk其实是移位后xor了个0所以会这样。）