Tcache Attack(2)

最新推荐文章于 2024-07-22 14:49:16 发布
最新推荐文章于 2024-07-22 14:49:16 发布
阅读量950 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yms0211/article/details/126884229
版权

#本文根据wiki和hollk师傅的文章进行的学习#

Tcache dup:

tcache dup在原理上比较简单,利用的是tcache_put()函数没有进行任何安全检查的缺陷。

首先回顾一下tcache_put()函数的结构:

static void
tcache_put (mchunkptr chunk, size_t tc_idx)
{
  tcache_entry *e = (tcache_entry *) chunk2mem (chunk);
  assert (tc_idx < TCACHE_MAX_BINS);
  e->next = tcache->entries[tc_idx];
  tcache->entries[tc_idx] = e;
  ++(tcache->counts[tc_idx]);
}

可以发现在这个函数中没有对将要放进tcache的free chunk做任何的安全检查,在检查了tc_idx(也就是chunk在链表中的序号)后直接将其添加到tcache对应的链表之下。

由于对free chunk没有进行任何的安全性检查,甚至连fastbin中的double free检查都没有,所以我们可以通过篡改next指针等方法伪造循环链表多次调用分配同一个chunk(也就是double free和UAF的漏洞)

下面是一个tcache_dup的例子:

	#include <stdio.h>
	#include <stdlib.h>
    
    int main()
    {
         int *a = malloc(8);
   
         free(a);
         free(a);
   
         printf(stderr, "Next allocated buffers will be same: [ %p, %p ].\n", malloc(8), malloc(8));
 
         return 0;
  }

这是wiki上的例子,做了一些简化,但是主体流程是一样的。(注意glibc的版本不能超过2.27,在后面的版本中对tcache是加入了double free的检测的

首先说一下这个程序的流程,它首先创建了一个指针a,并申请了一个8字节大小的chunk分配给它,之后double free了这个指针对应的chunk(因为指针a在第一次free后没有置空,所以可以直接进行double free),之后我们连续申请两次大小为8字节的chunk,可以看见系统分配给我们的chunk地址是相同的。

这里由于我没找到合适版本的glibc就不做实际演示了,这个手法现在的题目大部分情况下也用不上了。

Tcache house of spirit:

这种手法与fastbins中的house of spirit差不多,都是将一个伪造的chunk挂进链表中再将其分配出来完成对伪造chunk的那段内存的控制。

所以我们只要能伪造出一个size合适的堆块并将其挂进tcache的对应链表中就能将任意地址作为chunk释放。

下面使用wiki上的例子(做了一些简化)进行测试:

#include <stdio.h>
#include <stdlib.h>

int main()
{
malloc(1);
unsigned long long *a; //pointer that will be overwritten
unsigned long long fake_chunks[10]; //fake chunk region

printf("fake_chunk addr is %p\n", &fake_chunks[0]);

fake_chunks[1] = 0x40 // this is the size

a = &fake_chunks[2];

free(a);

void *b = malloc(0x30);
printf("malloc(0x30): %p\n", b);
    
return 0}

这个程序的流程是:首先创建一个1字节大小的堆块防止后续chunk与top chunk合并。然后定义了一个指针a和一个数组 fake_chunks,之后我们将这个将被作为伪造chunk的数组的第二个元素置为0x40(也就是伪造chunk的size位),再将这个数组的地址赋给a,在free掉a对应的地址空间后再申请一个0x30大小的chunk,最后观察这个chunk的地址。

首先将断点下载11行看一下这个fake_chunks的地址:
在这里插入图片描述
然后步进到完成对该数组的第二个元素完成修改后:
在这里插入图片描述
这里可以看见已经修改成功了,然后我们释放掉这个伪造的堆块:
在这里插入图片描述
可以看见这个地址已经被作为一个chunk进入到tcache中了,之后我们再申请一个0x30大小的chunk启用这段地址:
在这里插入图片描述

这里可以看见这个伪造chunk的内存段已经作为chunk被分配给我们了,这样我们也完成的一次tcache house of spirit的攻击了。

youngmith
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
glibc2.29堆溢出tcache的利用方式及原理
Hello World.c
03-06 8126
ibc2.29 堆溢出tcache的利用方式及原理 Dancing With Heap 与堆共舞 二进制学习之旅 参考资料: ctf-pwn https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/tcache_attack/#tcache-poisoning glibc wiki https://sourceware.org/glib...
tcache的利用方法
qq_39869547的博客
10-27 1591
tcache_perthread_struct结构体是用来管理tcache链表: 这个结构体位于heap段的起始位置,且有size:0x251 typedef struct tcache_perthread_struct { char counts[TCACHE_MAX_BINS];//数组长度64,每个元素最大为0x7,仅占用一个字节(对应64个tcache链表) tcache_entr...
how2heap(5):tcache_poisoning 2.31
hollk’s blog
09-14 482
tcache_poisoning 2.31 依然还是将非堆段地址作为伪造堆块挂进tcache bin中,重新申请作为正常堆块启用 源码 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <stdint.h> 4 #include <assert.h> 5 6 int main() 7 { 8 // disable buffering 9
好好说话之Tcache Attack(2):tcache dup与tcache house of spirit
hollk’s blog
02-02 1836
这篇文章介绍了两种tcache的利用方法,tcache dup和tcache house of spirit,两种方法都是用how2heap中的例题作为讲解。由于tcache attack这部分的内容比较多,所以分开几篇文章去写。例题后补,写完例题后可能会进行重新排版,内容不会少的!!!
2.27 tcache破坏key 打tcache dup 例题--lonelywolf
m0_74220442的博客
04-19 241
通过tcache bin 中的double free addr<----addr fd就是addr 因此可以泄露堆地址,但由于是2.27版本后期 不难直接打double free 因为有一个key检验 那个key的值指向tcache_pthread_stuct下面0x10的位置,会检验这个key的值 如果一样就遍历一遍tcache bin 因此我们要破坏这个key 由于没有置0 直接edit 就可以了。可以看到add函数 限制了chunk块的大小在0x78以下。这里有个off by null但好像没用道、
Tcache漏洞
m0_52343643的博客
04-06 274
tcache 为每个线程创建一个缓存(cache),从而实现无锁的分配算法,有不错的性能提升。正式提供了该机制,并默认开启647):放入相应 bins 中的 chunk 都会在其用户数据中包含,指向同 bins 中的下一个 chunk。
堆利用 TCache attack(libc2.26)
c_z_y_c_z_x的博客
05-08 250
在TCache机制中,它为每个线程创建一个缓存,里面包含一些小堆块,无需对arena上锁即可使用,这种无锁分配算法能有不错的效率提升。在Glibc的2.26中 新增了Tcache机制 这是ptmalloc2的Tcache在glibc中是默认开启的,在Tcache被开启的时候会定义如下东西Tcache为每个线程都预留了这样一个特殊的bins, bin的数量是64个 每个bin中最多缓存7个chunk。在64位系统上以0x10的字节递增,。32位系统上则,所以Tcache缓存的是。
[off by null + tcache dup]lctf_easy_heap
huzai9527的博客
05-17 239
[off by null + tcache dup]lctf_easy_heap 1.ida 分析 malloc函数中输入content存在off by null 2.思路 通过off by null,造成chunk overlapping,泄漏Libc的地址 这里存在off by null 通过unstored bin就可以泄漏,但由于tcache的存在,需要注意 先申请10个chunk,释放3-9,填满tcache bin之后,再释放0,1,2编号的chunk进入unstored bin
Tcache Attack
qq_39153421的博客
04-21 662
tcache overview tcache机制在libc2.27之后新增,可以说它是类似于fastbin的机制,LIFO,但比fastbin的优先级更高,由名字可以看出它相当于一个缓存的作用。先看关于它的两个结构体 tcache_entry 和 tcache_perthread_struct(见glibc2.27源码): /* We overlay this structure on the user-data portion of a chunk when the chunk is stored
tcache attacke
abelxu
12-31 511
以glibc2.27为例讲解tcache的各种漏洞利用方式 1.1数据结构 1.2 malloc和free的过程 2.tcache各种漏洞利用方式 2.1 tcache poisoning 通过覆盖 tcache 中的 next,不需要伪造任何 chunk 结构即可实现 malloc 到任何地址。 2.2 tcache dup 类似 fastbin dup,不过利用的是 tcache_put() 的不严谨 2.3 tcache perthread corruption 我们已经知道 tcache_perth
[BUUCTF]PWN——ciscn_2019_final_3(tcache dup)
mcmuyanga的博客
03-10 994
ciscn_2019_final_3 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,提示是堆题 64位ida载入 add() remove() 简单的思路:先合并堆块,合并后的堆块大于tcache的范围,然后free掉即可出现libc,接下来就是堆块重叠malloc一个堆块到libc空间,通过gift得到libc地址,接着tcache attack修改__free_hook拿到shell tcache 第一次接触tcache,根据ctfwiki上的知识点简单总结一
hgame week3——babytcache
40KO的博客
03-07 241
一道tcache的题目,完全不知道tcache是啥,结果看了一上午tcache的东西,大概是分配优先级比fastbin还高的fastbin吧。。主要区别是tcache的next直接指向了chunk的mem,fastbin的fd指向的是chunk的首地址,然后分配和归还内存的优先级最高。 思路 利用tcache poisoning和tcache dup两种利用方式来完成任意地址写,用来泄漏sys...
@CachePut和@Cacheable的区别
情怀中的释然~
02-23 1883
@CachePut和@Cacheable的区别 @CachePut负责增加缓存 @Cacheable负责查询缓存,如果没查到,则将执行方法,并将方法的结果增加到缓存
Lianwei 安全周报|2024.07.22
最新发布
联蔚盘云的博客
07-22 596
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
粉尘传感器助力面粉厂安全生产
iotsensor的博客
07-19 586
OPC-R2有16个大小的垃圾箱,可以每秒记录PM1、PM2.5和PM10以及大小直方图,这在应用程序需要的不仅仅是PM时至关重要。OPC-R2取代了OPC-R1,带来了比其前身更好的小颗粒检测、更低的风扇噪声和更好的EMC保护。因此,如何有效监测和控制面粉厂的粉尘浓度,成为了保障安全生产的关键。这种传感器能够实时、准确地监测空气中的粉尘浓度,并将数据反馈给控制系统,从而实现对粉尘浓度的有效控制。通过实时监测和控制粉尘浓度,可以有效保障工作人员的健康、设备的安全运行以及环境的保护。
内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
Thewei666的博客
07-17 1110
区分不同的签名。
【ROS2】高级:安全-部署指南
cxyhjl的博客
07-21 320
目标:了解将安全工件部署到生产系统时的最佳实践。教程级别:高级时间:20 分钟内容背景先决条件一般准则构建部署场景生成 Docker 镜像理解 compose 文件运行示例检查容器背景典型的部署场景通常涉及将容器化的应用程序或软件包发送到远程系统。在部署启用安全性的应用程序时应特别注意,要求用户考虑打包文件的敏感性。遵循 DDS 安全标准 https://www.omg.org/s...
ForCloud全栈安全体验,一站式云安全托管试用 开启全能高效攻防
亚信安全官方账号的博客
07-19 473
一站式云安全托管限时试用 开启全能高效攻防
Vue的安全性:防范XSS攻击与安全最佳实践
哎 你看的博客
07-19 600
随着Web应用的普及,前端安全问题日益受到重视。Vue作为当下流行的前端框架,其安全性也成为开发者关注的焦点。跨站脚本攻击(XSS)是常见的Web安全漏洞之一,本文将讨论如何在使用Vue时防范XSS攻击,并分享其他Vue中的安全最佳实践。
tcache的使用方法
07-22
2. 释放内存:使用`free()`函数释放内存时,glibc会将内存块放回对应大小的`tcache`中。如果`tcache`已满,则可能会将内存块放入fastbins或其他bin中。 3. 重复分配和释放:如果您反复分配和释放相同大小的内存块,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值