tcache attack

最新推荐文章于 2023-12-08 14:44:46 发布
最新推荐文章于 2023-12-08 14:44:46 发布
阅读量181 收藏
点赞数
分类专栏: 安全 文章标签: c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yeshen4328/article/details/121039574
版权

tcache attack

tcache double free

double free可以通过对同一块内存free两次,实现任意地址写。当libc版本在2.26以上时,free的块优先放入tcache,malloc也优先从tcache中取,性能更好。但是安全检查变弱了。

static void
tcache_put (mchunkptr chunk, size_t tc_idx)
{
  tcache_entry *e = (tcache_entry *) chunk2mem (chunk);
  assert (tc_idx < TCACHE_MAX_BINS);
  e->next = tcache->entries[tc_idx];
  tcache->entries[tc_idx] = e;
  ++(tcache->counts[tc_idx]);
}

tcache free代码如上,只校验了tc_idx的值是否到达TCACHE_MAX_BINS(7),并没有其他的检查,相比fastbin或者其它bin的double free,tcache double free更加简单。

double free 原理

如果程序存在某些漏洞可以对同一个地址free两次,则存在double free。比如,在调用free函数后,不把指针变量置NULL,或者不检查该内存是否被free过了。
如果存在,对于tcache,那么通常的利用步骤是:

  1. double free 地址A,让A进入tcache,并A的fd指针指向自己。(tcache[7]: A----->A)
  2. 调用malloc,将A分配出来,这时tcache中还有一个A(tcache[7]: A);
  3. 伪造tcache中的A,修改A的fd为free函数或者print函数got表中地址,或者hook地址,或者任意地址。这样让free函数地址插入到了tcache中;(tcache[7]: A—>__free_hook)
  4. 再调用一次malloc,将tcache剩余的一个A分配出来。
  5. 最后调用malloc的时候,就能将__free_hook的地址分配出来了。实现任意地址写。
  6. 最后我们可以向__free_hook地址中(或者其它任意地址)写入system函数或者one_gadget地址。调用free的时候就能跳转到one_gadget去实现程序流控制;

例题

tcache-uaf-attack
用ctfwiki的例题做讲解
题目漏洞点在malloc的地方,存在一个null-byte-overflow的漏洞:

if ( sz )
  {
    while ( 1 )
    {
      read(0, &malloc_p[i], 1uLL);
      if ( sz - 1 < i || !malloc_p[i] || malloc_p[i] == '\n' )
        break;
      ++i;
    }
    malloc_p[i] = 0;
    malloc_p[sz] = 0;                           // null-byte-overflow
  }

可以将下一个chunk头的p_inuse位置零,实现double free。
大体思路:

 1. 题目libc版本为2.27,存在tcache。需要转换为unsorted bin的double free;
 2. 泄露libc地址,需要使用unsorted bin泄露,先把tcache填满,然后构造unsorted bins:
 	A->B->C, C有main_arena的地址,将C 分配出来,打印,注意不覆盖bk;
 3. 程序流控制:需要利用null-byteo-verflow实现double free,实现任意地址写:
 	a. 在之前构造的unsorted bin链基础上,将ABC分配出来,分配B时,利用漏洞溢出修改A的头部p_inuse位;
 	b. 重新free C和A,由于A的p_inuse为0,会触发chunk合并,将ABC合成一个大free chunk(B还在使用中);
 	c. 使用malloc功能,重新将B分配出来,这样,表中就有两个B chunk。
 	d. 这时候使用free功能就能将B free两次,触发double free
 	e. 然后将B分配出来,写入free_hook地址,再分配一次B,就能将free_hook分配出来(详情见double free原理),我们写入one_gadget地址。

附录

  1. __free_hook:

    它是libc free函数中使用的一个全局变量:
unsigned __int64 __fastcall free(unsigned __int64 *a1)
{
...
    if ( _free_hook )
      {
        _free_hook(a1, retaddr);
        return __readfsqword(0x28u) ^ v77;
      }
...
}

如果free_hook不为0,则直接跳转到free_hook的函数,通常用于堆利用时,got表无法修改时的情况(开启了RELRO)。可以将free_hook存的值修改为system,可实现控制程序流。

malloc_hook类似。

libc2.27—>ubuntu18


2.123

yeshen4328
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TCache-开源
04-25
TCache是​​高性能键/值存储组件。 它可以轻松地插入到任何现有的高性能,分布式内存对象缓存系统(例如MemcacheD或Dynamo)中,从而通过减少数据库负载来加速动态Web应用程序
一个用于学习各种堆利用技术的存储库。-C/C++开发
05-26
教育性堆开发该仓库用于学习各种堆开发技术。 我们在一次hack会议上提出了这个想法,并实现...calc_tcache_idx.c演示glibc的tcache索引计算。 fastbin_dup.c通过滥用fastbin空闲列表,诱使malloc返回已经分配的堆指针。
Tcache attack
qq_46441427的博客
08-23 229
文章目录前言一、Tcache相应结构体tcache_entry和tcache_perthread_structtcache_perthread_struct源码分析libc_malloc__tcache_init()申请内存tcache_get()__libc_free()_int_free()tcache_put()二、Tcache attckoverview总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就
Tcache Attack
qq_39153421的博客
04-21 652
tcache overview tcache机制在libc2.27之后新增,可以说它是类似于fastbin的机制,LIFO,但比fastbin的优先级更高,由名字可以看出它相当于一个缓存的作用。先看关于它的两个结构体 tcache_entry 和 tcache_perthread_struct(见glibc2.27源码): /* We overlay this structure on the user-data portion of a chunk when the chunk is stored
tcache attacke
abelxu
12-31 499
以glibc2.27为例讲解tcache的各种漏洞利用方式 1.1数据结构 1.2 malloc和free的过程 2.tcache各种漏洞利用方式 2.1 tcache poisoning 通过覆盖 tcache 中的 next,不需要伪造任何 chunk 结构即可实现 malloc 到任何地址。 2.2 tcache dup 类似 fastbin dup,不过利用的是 tcache_put() 的不严谨 2.3 tcache perthread corruption 我们已经知道 tcache_perth
TCACHE STASHING UNLINK ATTACK
qq_51474381的博客
05-08 171
1.源码分析 /* If a small request, check regular bin. Since these "smallbins" hold one size each, no searching within bins is necessary. (For a large request, we need to wait until unsorted chunks are processed to find best fit. But for s
Glibc 2.27关于Tcache的增强保护 .pdf
09-05
《Glibc 2.27 Tcache增强保护详解》 Glibc,作为Linux系统中最核心的C语言标准库,其安全性能对整个系统的稳定性至关重要。2.27版本的更新,特别是针对Tcache(线程缓存)分配机制的增强保护,是针对内存管理安全性...
【技术分享】glibc 2.27-2.32版本下Tcache Struct的溢出利用 .pdf
09-05
【技术分享】glibc 2.27-2.32版本下的Tcache Struct溢出利用是一种高级的堆溢出漏洞利用技术,涉及到系统安全、漏洞挖掘和应急响应。在这些glibc版本中,引入了Tcache(Thread-Cache)机制以提高内存分配的效率,但...
【技术分享】house of pig一个新的堆利用详解 .pdf
09-05
此攻击方法适用于glibc 2.31及其后的版本,利用了其中的大型bin攻击(largebin attack)、FILE结构以及tcache stashing unlink攻击的组合。在某些特定情况下,即程序仅使用calloc分配内存而没有使用malloc,House of...
堆利用 TCache attacklibc2.26)
c_z_y_c_z_x的博客
05-08 241
在TCache机制中,它为每个线程创建一个缓存,里面包含一些小堆块,无需对arena上锁即可使用,这种无锁分配算法能有不错的效率提升。在Glibc的2.26中 新增了Tcache机制 这是ptmalloc2的Tcache在glibc中是默认开启的,在Tcache被开启的时候会定义如下东西Tcache为每个线程都预留了这样一个特殊的bins, bin的数量是64个 每个bin中最多缓存7个chunk。在64位系统上以0x10的字节递增,。32位系统上则,所以Tcache缓存的是。
好好说话之Tcache Attack(1):tcache基础与tcache poisoning
hollk’s blog
02-01 4018
进入到了Tcache的部分,我还是觉得有必要多写一写基础的东西。以往的各种攻击手法都是假定没有tcache的,从练习二进制漏洞挖掘的角度来看其实我们一直模拟的都是很老的环境,那么这样一来其实和真正的生产环境就产生了较大的差距,这导致了CTF-PWN就是CTF-PWN,除了比赛有用之外让人看不出实际的生产转化。以上均属个人想法,如果你觉得纯理论的东西没什么意思,完全可以跳过这前面部分直接看后面的例题
HITCON 2018 baby_tcache学习(以及_IO_FILE泄露libc基础)
a2590035252的博客
10-08 288
IO_FILE漏洞利用基础中的基础中的基础
linux_pwn(6)--tcache&&double free&&ciscn_2019_final_3
azraelxuemo的博客
03-10 1489
文章目录What is tcachepwn题例题检查代码分析add函数delete函数准备框架attack修改大小为unsorted bin范围free成unsorted bin难点,怎么泄露libcdouble free free_hook总结 What is tcache tcachelibc2.26之后引进的一种新机制,类似于fastbin一样的东西,每条链上最多可以有 7 个 chunk,free的时候当tcache满了才放入fastbin,unsorted bin,malloc的时候优先去tca
从一道题中学习Glibc2.27堆管理机制
Zoxiee的博客
01-20 976
众所周知,Glibc2.26以后增加了tcache机制,而比赛中通常会使用2.27版本的题目。于是这里从最近一道题目中总结一些Glibc的堆malloc和free时过程和保护机制。 starCTF2021 babyheap 题目在此下载 题目的add,delete,edit,show功能如上图。漏洞很明显,UAF漏洞,但是难点在于每个堆块的前八个字节都无法直接写,这意味着并不能简单的double free。这里就得利用堆管理机制。 Glibc2.27堆的malloc和free tcache bins
double free detected in tcache 2问题记录
最新发布
Z_oioihoii
12-08 342
解释,当执行free(b);时会报错,因为在 b->Test();调用时已经执行了delete this;将堆区的内存释放掉,此时再次根据b的地址去释放会发现不存在,所以报错double free detected in tcache 2。
Tcache bin总结
N1rvana的博客
03-13 1573
Tcache Tcache是glibc 2.26之后引入的机制,与glibc 2.23版本下堆利用方式有一定区别,产生了新的利用方式。 0x1 相关结构体 tcache_entry typedef struct tcache_entry { struct tcache_entry *next; } tcache_entry; tcache_entry用来链接空闲的tcache chunk,其中的next指针指向下一个大小相同的空闲tcache chunk。 注意:这里的next指针指向的是user
lonelywolf_exp(tcache double free)
qq_33590156的博客
08-04 162
题目只能申请一个chunk指针,但是可以重复申请chunk,而且存在uaf,不可溢出 首先绕过tcache的check使用double free泄露堆地址(老版本是可以直接free的,但是新版本需要free后edit一下再free),然后通过uaf在tcache中存放好两个指针,一个用来修改size,一个用来free chunk,之后申请0x70chunk,和另一个chunk防止合并。接着通过第一根指针修改size>0x80,然后通过第二根指针free此chunk,使用double free将他fre
i春秋2020新春战役PWN之document(绕过tcachedouble free检测)
seaaseesa的博客
02-27 3123
Document 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,经典的增删改查程序 Delete功能没有清空指针,存在UAF漏洞 Create功能的size不可控 UAF无法修改到*heap处的内容,也就是next指针的值 Create功能最多允许创建7个堆 题目给我们的glibc版本为2.29,存在tcache机制,且增加了对tcache dou...
tcache的使用方法
07-22
`tcache`是glibc中的一种内存管理机制,用于高效地管理小块内存分配和释放。以下是`tcache`的使用方法: 1. 分配内存:使用`malloc()`函数分配内存时,glibc会自动将小于等于`tcache`的大小的内存块放入`tcache`中。例如,如果您分配了一个小于等于`0x410`字节的内存块,它将被放入`tcache`中。 2. 释放内存:使用`free()`函数释放内存时,glibc会将内存块放回对应大小的`tcache`中。如果`tcache`已满,则可能会将内存块放入fastbins或其他bin中。 3. 重复分配和释放:如果您反复分配和释放相同大小的内存块,glibc会尽可能地从`tcache`中分配和释放。这种重复利用`tcache`可以提高性能。 4. `tcache`的大小:在不同版本的glibc中,`tcache`的大小可能会有所不同。通常,较新版本的glibc将`tcache`的大小设置为64个不同的链表,每个链表对应一种特定大小的内存块。 5. 线程局部`tcache`:每个线程都有自己的`tcache`,这意味着不同线程之间的`tcache`是独立的。这可以提高多线程程序的性能。 需要注意的是,`tcache`机制是glibc特有的,并不是C标准库的一部分。因此,它的行为和实现方式可能会因glibc版本而异。如果您对特定版本的glibc中的`tcache`机制有更详细的问题或疑问,建议查阅相关文档或参考glibc源代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值