CTF pwn题堆入门 -- Tcache bin

最新推荐文章于 2025-02-14 11:51:31 发布
最新推荐文章于 2025-02-14 11:51:31 发布
阅读量4.3k 收藏 52
点赞数 14
分类专栏: pwn ctf 网络安全 文章标签: pwn 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/A951860555/article/details/115442780
版权
本文介绍了CTF中pwn题堆漏洞利用的基础,特别是针对Tcache机制的攻击方式。文章详细讲解了如何绕过Tcache、分配堆到特定地址、泄露内存地址以及利用Tcache bin进行攻击。通过示例代码和调试结果,展示了Tcache的工作原理和在不同场景下的利用技巧,包括tcache poisoning和tcache house of spirit等攻击手段。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Tcache bin

CTF pwn题堆入门 – Fast bin
CTF pwn题堆入门 – Unsorted bin
CTF pwn题堆入门 – Large bin

序言

  无奈于pwn题中与堆相关的东西实在是比较多,加上到了2021年的现在,ctf比赛中一来就是堆题,还都是新版本libc,对我这种新手中的新手实在不太友好,以此写下这个系列文章,记录自己学习堆漏洞利用过程中的点滴,同时也是个总结吧。结合自己做题的理解,将堆攻击常见的手段和方式按照一定的规律记录下来。
  本文章系列将分成五大块,即tcache bin --> fast bin --> unsorted bin --> small bin --> large bin。

概述

  tcache相对于其余四种bin,是出现的最晚的,在libc2-26中才加入,但现在的题目一般都基于更新版本的libc,tcache肯定是必不可少的一环,而且是最开始的那一环,所以这里先对tcache机制进行一个总结。
  Tcache全名为Thread Local Caching,它为每个线程创建一个缓存,里面包含了一些小堆块。无须对arena上锁既可以使用,所以采用这种机制后分配算法有不错的性能提升。每个线程默认使用64个单链表结构的bins,每个bins最多存放7个chunk,64位机器16字节递增,从0x20到0x410,也就是说位于以上大小的chunk释放后都会先行存入到tcache bin中。对于每个tcache bin单链表,它和fast bin一样都是先进后出,而且prev_inuse标记位都不会被清除,所以tcache bin中的chunk不会被合并,即使和Top chunk相邻。
  另外tcache机制出现后,每次产生堆都会先产生一个0x250大小的堆块,该堆块位于堆的开头,用于记录64个bins的地址(这些地址指向用户数据部分)以及每个bins中chunk数量。在这个0x250大小的堆块中,前0x40个字节用于记录每个bins中chunk数量,每个字节对应一条tcache bin链的数量,从0x20开始到0x410结束,刚好64条链,然后剩下的每8字节记录一条tcache bin链的开头地址,也是从0x20开始到0x410结束。还有一点值得注意的是,tcache bin中的fd指针是指向malloc返回的地址,也就是用户数据部分,而不是像fast bin单链表那样fd指针指向chunk头。

攻击方式

  这里先说一下何时会用到tcache,在有了tcache机制后,无论分配还是释放,操作64位下0x20和0x410大小的chunk,tcache都是首当其冲,直到达到其每种bin的上限7为止。还有一种情况就是fast bin或者small bin返回了一个堆块,且tcache对应大小的bin中未满的话,那么该fast bin或者samll bin链中的堆块会被加入到对应tcache bin中直至其上限。这里值得一提的是,在tcache机制出现后,由于tcache机制首当其冲,很多属于fastbin的安全检查机制都没有被应用,因此在tcache下实现和fastbin一样的攻击原理,相对而言还会更简单些。下面介绍和tcache机制相关的攻击方式,将会按照攻击目的进行分类。

绕过Tcache

  如果你对tcache并不熟悉,或者这道题并不需要利用tcache机制才能实现攻击,那么我们只需要简单的绕过tcache机制就行了。

#include <stdio.h>
#include <stdlib.h>


int main()
{
   
    long long *ptr[7];
    long long *a = malloc(0x80);
	// 申请7个,释放7个,填满tcache bin[0x90]
    for (int i=0; i<7; i++)
        ptr[i] = malloc(0x80);
    for (int i=0; i<7; i++)
        free(ptr[i]);
    // 这里再释放a,就会放入到unsorted bin中
    free(a);
    printf("libc addr is %llx\n", (long long)a[0]);

    return 0;
}

tcache bypass
  如上图所示,展示了如何绕过tcache,使用unsorted bin的性质,打印存放于unsorted bin中的libc地址。tcache机制无非就是增加了一层缓存,如果我们还是想使用fast bin/unsorted bin等的性质,那么需要将对应的tcache bin填满,然后再执行相应的操作就可以了。这里需要注意的是,上面代码只是填满了[0x90]这一条tcache bin链表,如果想要自己申请释放的0x20大小的chunk进入到fast bin,那么同样需要先填满tcache bin[0x20]。

分配堆到目的地址

  在堆漏洞利用中,我们很多时候需要将堆块分配到我们想要的地址上去,比如分配到保存堆指针的bss中,或者直接分配到栈空间实现程序流程控制,亦或者还是分配到堆中把堆块重新分割。在tcache中有以下攻击方式可以实现(不加说明则为64位机器,libc-2.26);

tcache poisoning

#include<stdio.h>
#include<stdlib.h>


int main()
{
   
    // 在fck处分配堆块
    long long fck;
    printf("fck addr is %p\n", &fck);

    long long * ptr = malloc(0x80);
    printf("malloc ptr addr is %p\n", ptr);
    free(ptr);
    // 只需修改fd指针,申请的大小和当前tcache bin大小相同即可
    ptr[0] = (long long)&fck;
    malloc(0x80);
    printf("the second malloc addr is %p\n", malloc(0x80));

    return 0;
}

tcache_poisoniong
  上图展示了攻击结果,这里同样注意tcache bin中的fd

最低0.47元/天 解锁文章
ctfpwn目总结
weixin_41038905的博客
11-16 4961
1.安装 pip install pwntools (python2) pip3 install pwntools (python3) 2.使用 Context设置 context是pwntools用来设置环境的功能。在很多时候,由于二进制文件的情况不同,我们可能需要进行一些环境设置才能够正常运行exp,比如有一些需要进行汇编,但是32的汇编和64的汇编不同,如果不设置context会导致一些问。一般来说我们设置context只需要简单的一句话: context(os='linux', arch='amd
CTF pwn入门 -- Unsorted bin
lifanxin的博客
04-08 3482
Unsorted bin概述攻击方式泄露libc地址总结 概述   Unsorted bin也是中常见的,当一个块被释放时,且该块大小不属于fast bin(libc-2.26之后要填满tcache),那么在进入small bin和large bin之前,都是先加入到unsorted bin的。之后当我们再次分配内存到unsorted bin上寻找时,如果申请的内存块小于寻找的unsorted bin,那么会将该内存块切割后返回给用户,剩下的仍然保存在unsorted bin上;如果申请的内存
Tcache bin总结
N1rvana的博客
03-13 1901
Tcache Tcache是glibc 2.26之后引入的机制,与glibc 2.23版本下利用方式有一定区别,产生了新的利用方式。 0x1 相关结构体 tcache_entry typedef struct tcache_entry { struct tcache_entry *next; } tcache_entry; tcache_entry用来链接空闲的tcache chunk,其中的next指针指向下一个大小相同的空闲tcache chunk。 注意:这里的next指针指向的是user
CTF PWN新手入门篇,PWN学习总结_ctf竞赛pwn
最新发布
bdfcfff77fa的博客
02-14 1135
一什么是栈溢出?栈溢出就是缓冲区溢出的一种。由于缓冲区溢出而使得有用的存储单元被改写,往往会引发不可预料的后果。程序在运行过程中,为了临时存取数据的需要,一般都要分配一些内存空间,通常称这些空间为缓冲区。如果向缓冲区中写入超过其本身长度的数据,以致于缓冲区无法容纳,就会造成缓冲区以外的存储单元被改写,这种现象就称为缓冲区溢出。缓冲区长度一般与用户自己定义的缓冲变量的类型有关。(PS:摘自百度百科)简单来说,就是程序没有检查用户输入的数据长度,导致攻击者覆盖栈上不是程序希望写入的地方,比如说返回地址。
ctf pwn
m0_64195960的博客
04-11 1672
2022年3月21栈迁移 这道是栈迁移 1)先checksec一下 嗯哼哼,貌似影响不大 2)丢在ida里瞅 1、main() 没啥用再看看其它的 2、vul() 第一个read读进去的东西,可以被printf呸!吐出来! 芜湖!看到了第二个read可以栈溢出,但是可以溢出的空间太少! ————————那么就要来到了,刚学习的栈迁移—————————— 3、hack() 芜湖看到system函数了,那我们就可以获得system的返回地址从而调用.
关于如何理解Glibc管理器(Ⅶ——Tcache Bins!!)
Tokameine的博客
08-06 1143
本篇实为个人笔记,可能存在些许错误;若各位师傅发现哪里存在错误,还望指正。感激不尽。 若有图片及文稿引用,将在本篇结尾处著名来源(也有置于篇首的情况)。 笔者本该将这一节的内容与第二节合并的,因为Tcache的并入并没有带来非常多的内容。但从结构上考虑,笔者一直以来都在使用glibc-2.23进行说明,在该版本下尚且没有引入Tcache Bins,因此这一节的内容一直拖欠到今。直到glibc-2.27开始,官方才引入了Tcache Bins结构,因此本节内容也将在该版本下进行说明(不...
CTF中的pwn基础
2301_81031055的博客
01-23 1071
mprotect 函数用于设置一块内存的保护权限(将从 start 开始、长度为 len 的内存的保护属性修改为 prot 指定的值)elf跟libc是两个单独的文件,elf里的函数想要执行,就得先进入plt表,然后在进入got,got表里的是函数的真实地址。通过观察IDA中左边的函数,发现没有后门函数,也没有system函数考虑使用ret2libc解。通过调试发现,main函数与后门函数的地址相差一个字节,所以将09打包成一个字节。发现有栈溢出且溢出了一个字节,shift+f12查看发现有后门函数。
CTF pwn入门 -- Fast bin
lifanxin的博客
04-07 2626
这里写目录标概述攻击方式实现任意地址分配fast bin poisoninghouse of spirit总结 概述   Fast bin利用中最常遇见的情况,常见于libc2.23版本的pwn中,在那个版本中还没有Tcache机制,在那个版本中漏洞利用还很轻松(????)。   这里简单总结一下fast bin的性质,64位机器下fast bin大小为0x20 – 0x80字节,每个bin链表之间以0x10字节递增;32位机器下为0x10 – 0x40,每个bin链表之间以0x8字节递增(上面的大
CTF pwn入门 -- Large bin
lifanxin的博客
04-07 1986
Large bin概述攻击方式分配到目的地址house of force总结 概述   large bin采用双链表结构,libc-2.23版本下64位机器上,最小为0x400(1024字节),里面的chunk从头结点的fd指针开始,按大小顺序排列。不同于fast bin, small bin, unsorted bin的结构,当属于large bin的chunk被释放时,chunk中还会有fd_nextsize和bk_nextsize指针,分别指向前后第一个与本身chunk大小不同的chunk。当然也就
CTF-WiKi溢出--pwngdb原理讲解
QX_XDE的博客
10-18 1061
利用pwngdb讲解溢出是如何产生以及利用的
CTFPWN的一些型(持续更新......)
qq_44371274的博客
04-05 2422
ret2test 先运行一下,看程序做了些什么 发现只是让我们输入一串字符。接下来具体分析下属性,并且丢进gdb里分析一下 可以看到这是一个64位的程序,而且什么保护都没有开,接下来拖进IDA里继续分析 我们进入v4 F5反编译之后,可以很明显地看出程序有gets输入漏洞,gets可以读取无限长的字符串,我们就可以利用这个漏洞造成了一个栈溢出 发现分配的栈的空间大小是70,由于程序在返回地址前...
CTF pwn -- ARM架构的pwn详解
lifanxin的博客
05-14 3194
arm架构的pwn详解概述环境搭建使用QEMU使用gdb-multiarchARM架构基本知识一道例参考博客总结 概述   ARM架构过去称作进阶精简指令集机器(Advanced RISC Machine,更早称作:Acorn RISC Machine),是一个32位精简指令集(RISC)处理器架构,其广泛地使用在许多嵌入式系统设计。由于节能的特点,ARM处理器非常适用于移动通讯领域,符合其主要设计目标为低耗电的特性。因此我们常用的手机、平板等移动设备都是采用ARM体系架构的,因此CTF中不可避免也会出
学习入门
Peanuts
02-22 904
借助hitcon training的目对三种的利用方法进行了一个系统的学习,刚入坑的小白们可以一起学习一下。目链接:https://github.com/scwuaptx/HITCON-Training Use after free 记录一波建立文件过程 mkdir + name touch + name echo 'context' &gt; n...
Ctfshow pwn 02(自己做出的第一道pwn
weixin_64875092的博客
12-05 5607
算是一篇第一次做出pwn的日记了! 本文写给想要入门pwn但只安装好虚拟机和ida完全不知道怎么用的小白~ 有许多写的不严谨或无脑的地方请多包涵! 其中有许多我在做时踩到的坑(因为自己零基础实在不知道怎么问也不知道去问谁而导致浪费好多时间而进行不下去) 现在开始! 首先第一步,来到ctfshow的网站,找到这道pwn02 之后点击Launch an instance(这所是一个建立连接的步骤,少了这一步在使用python3时会出现如下报错)如果问我什么是python3,请耐心看下去
【逆向学习记录】Tcachebin CISCN_2019_PWN17 Write up
卦星的专栏
09-01 1073
1 概述 这几天做了一个libc2.27的目,了解到tcachebin的基础内容,发现利用这个tcachebin,反而导致漏洞更好利用了 2 tchchebin 3 CTF目1:CISCN2019_pwn6 参考:pwn6_exp 目2:CISCN2019_pwn17 4 解思路 4.1 目解析 1,输入内容,基本上没有任何内容提示 2、反编译查看 1、存在一个check,绕过这...
pwn一篇入门
qq_42863961的博客
05-25 435
能帮到你的话,就给个赞吧 ???? 由于我在其他地方编辑,但不想再重新编辑一份,于是把链接放在这里吧 https://note.youdao.com/ynoteshare1/index.html?id=03e7ab6c45cf0b425c8a3a5d0d0e03db&type=note
PWNctfpwn解析
Peanuts
11-08 8723
  importantservice 这个目比较简单,保护开的很多多到我怀疑自己是不是把目想的太简单了,结果果然是这么简单的。。 程序功能分析 main函数分析 main函数的功能并不复杂,开头一个dologic函数对v5这个指针进行一个赋值,然后接着让你输入两个数字,是身高和体重,会有一个check乘积不能大(可能怕你太不匀称
DozerCTF-PWN
2301_79696060的博客
04-28 986
这次比赛一共放了4道pwn,3道栈上的,比较菜,只会做栈。
BUUCTF-PWN记录-5(Tcache
weixin_44145820的博客
04-13 1572
目录ciscn_2019_final_3[V&N2020 公开赛]easyTHeap ciscn_2019_final_3 只有添加和删除两个功能 限制了申请的大小,最大为0x78,意味着chunk最大为0x80,添加完可以泄露上的地址 free之后没有置空,可以double free 目分析差不多就这样,下面是漏洞利用: 先申请一个大小为0x78的heap[0],记录下返回地...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值