fastbin reverse into tcache

Ayakaaaa

已于 2022-02-11 13:38:09 修改

阅读量2.7k

点赞数 2

分类专栏： PWN 文章标签： pwn 网络安全

于 2022-02-10 14:34:27 首次发布

本文链接：https://blog.csdn.net/weixin_46483787/article/details/122859709

版权

本文探讨了一种利用fastbin进行任意地址写入的技术，通过修改fastbin中chunk的fd字段，将目标地址插入tcache，从而实现任意地址写。首先申请14个fastbin chunk，释放7个填充tcache，然后修改剩余chunk的fd，再次释放。接着再次申请chunk，触发fastbin到tcache的转移，最终达到目标地址的控制。

摘要由CSDN通过智能技术生成

前言

一种任意地址写的方法

整体思路

这种方式可以在允许修改fd的情况下，仅利用fastbin范围内的chunk实现一个任意地址写

代码调试

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <assert.h>
const size_t allocsize = 0x40;
int main(){
   
  setbuf(stdout, NULL);

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Ayakaaaa

关注关注

2
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

C++ reverse介绍及使用

10-09

在C++编程语言中，`std::reverse`函数是一个非常实用的工具，它允许程序员轻松地反转各种序列，包括字符串和数组。这个函数是C++标准库中的成员，位于`<algorithm>`头文件中。本篇文章将深入探讨`std::reverse`函数...

how2heap 深入学习(6)

CoLin的pwn小屋

03-12

724

how2heap glibc 2.27学习

参与评论您还未登录，请先登录后发表或查看评论

pwn手记录题2

njh18790816639的博客

02-12

725

本题所使用的libc版本为2.34；（最新版libc2.34版本已经没有了所谓的hook函数，甚至exit_hook(实际为某个函数指针)也已经不能够使用；能够利用的手法已经很少了；可以看到Free释放函数总共可以使用11次，而Allocate申请函数可以使用0x2e次；如果按照fastbin_reverse_into_tcache的节奏来说，那么布局是如何的呢?

【我的 PWN 学习手札】fastbin reverse into tcache —— tcache key 绕过

最新发布

Mr_Fmnwon的博客

09-24

479

之前提到过，较高版本的 glibc，设置了 key 对 tcachebin 内的 double free 进行了检查。除了前面几篇手札罗列的绕过方法，今天又遇到一个，特此记录。之前利用 fastbin 来进行绕过，参见而此次总结的，也是利用 tcache stash 的机制。话不多说，进入主题。首先申请释放14个chunk然后申请一个，让 tcachebin 空出一个位置接着利用 double free，再次释放 chunk8。

how2heap（2）：fastbin_reverse_into_tcache 2.31

hollk’s blog

08-25

605

fastbin_reverse_into_tcache 2.27 源码 # gcc -g fastbin_reverse_into_tcache.c -o fastbin_reverse_into_tcache 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <string.h> 4 #include <assert.h> 5 6 const size_t allocsiz

how2heap&fastbin_reverse_into_tcache劫持tcache strue

qq_39948058的博客

08-26

618

**前言： how2heap真实个不错的学习heap堆的地方，自己tcl！！！** fastbin_reverse_into_tcache.c: #include <stdio.h> #include <stdlib.h> #include <string.h> #include <assert.h> const size_t allocsize = 0x40; int main(){ setbuf(stdout, NULL); pri

Scroll Reverse

12-09

标题“Scroll Reverse”所指的是一个针对MacOS操作系统的应用程序，它的主要功能是解决用户在使用鼠标滚轮或触控板滚动时感到不便的问题。在MacOS系统中，默认情况下，滚轮向上滚动会向下移动页面，这与许多Windows...

什么是reverse常见的reverse有哪些

05-19

### 什么是“reverse”及其常见应用 “Reverse”一词来源于英语，其基本含义是“反转”或“颠倒”，即改变某个事物原有的排列顺序、方向等。在信息技术领域，“reverse”的应用场景非常广泛，涵盖了软件开发、数据...

DB2中REVERSE函数的实现方法

09-10

在本话题中，我们将探讨DB2中的`REVERSE`函数，这是一个用于反转字符串顺序的函数。根据描述，虽然Oracle和SQL Server也内置了类似的函数，但它们的参数和返回类型略有不同。在Oracle中，`REVERSE`函数接受一个`...

linklist-reverse.rar_linklist reverse

09-24

在本程序"linklist-reverse.rar_linklist reverse"中，主要涉及了链表的创建以及链表元素的逆序显示两个关键知识点。下面将详细阐述这两个概念及其在实际编程中的应用。首先，我们来了解链表的基本概念。链表不同...

tcache的利用方法

qq_39869547的博客

10-27

1660

tcache_perthread_struct结构体是用来管理tcache链表：这个结构体位于heap段的起始位置，且有size：0x251 typedef struct tcache_perthread_struct { char counts[TCACHE_MAX_BINS];//数组长度64，每个元素最大为0x7，仅占用一个字节（对应64个tcache链表） tcache_entr...

C++复习整理---指针、函数、const相关

DannieG的博客

10-13

161

指针int *p p：p指向的地址 *p：p指向的地址上的值 &p：存放指针p的地址 const const int p int const p 这两个相同的指向整型常量的指针，指向的位置的值不能改变，可以改指针本身。理解成先const int或int const，再为指针。就可以让这个指针指向有另一个值的另一个位置。如果想要在同一个位置改值，就可以先让另一个指针指向这个位置，然后再从另一个指针改值。比如： int u = （int）p；//得有(int),不然会提示是const int*

glibc Tcache机制

For Geek

10-15

3329

Tcache的简述在Glibc的2.26中新增了Tcache机制这是ptmalloc2的缓存机制 Tcache在glibc中是默认开启的，在Tcache被开启的时候会定义如下东西 #if USE_TCACHE /* We want 64 entries. This is an arbitrary limit, which tunables can reduce. */ # define ...

高版本glibc的tcache和fastbin指针加密机制

qq_51474381的博客

04-18

2101

先贴一下源码 tcache： static __always_inline void tcache_put (mchunkptr chunk, size_t tc_idx) { tcache_entry *e = (tcache_entry *) chunk2mem (chunk); /* Mark this chunk as "in the tcache" so the test in _int_free will detect a

【逆向学习记录】Tcachebin CISCN_2019_PWN17 Write up

卦星的专栏

09-01

1035

1 概述这几天做了一个libc2.27的题目，了解到tcachebin的基础内容，发现利用这个tcachebin，反而导致漏洞更好利用了 2 tchchebin 3 CTF题目题目1：CISCN2019_pwn6 参考：pwn6_exp 题目2：CISCN2019_pwn17 4 解题思路 4.1 题目解析 1，输入内容，基本上没有任何内容提示 2、反编译查看 1、存在一个check，绕过这...

glibc2.29堆溢出tcache的利用方式及原理

Hello World.c

03-06

8228

ibc2.29 堆溢出tcache的利用方式及原理 Dancing With Heap 与堆共舞二进制学习之旅参考资料： ctf-pwn https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/tcache_attack/#tcache-poisoning glibc wiki https://sourceware.org/glib...

How2Heap笔记（一）

kelxLZ的博客

01-21

2801

Author：ZERO-A-ONE Date：2021-01-21 “how2heap”是shellphish团队在Github上开源的堆漏洞系列教程。上面有很多常见的堆漏洞教学示例，实现了以下技术： File Technique Glibc-Version Patch Applicable CTF Challenges first_fit.c Demonstrating glibc malloc’s first-fit behavior. calc_tcache_idx..

3.fastbin_dup_into_stack

06-08

490

源代码 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main() 5 { 6 fprintf(stderr, "This file extends on fastbin_dup.c by tricking malloc into\n" 7 "r...

Comet与Reverse Ajax技术详解

"Comet 和 Reverse Ajax 是网络通信技术中的两个关键概念，它们主要用于实现服务器向客户端的实时数据推送。本书深入探讨了这两种技术及其在现代Web应用中的应用。 Chapter1: What Are Comet and Reverse Ajax? ...