堆利用 TCache attack(libc2.26)

已于 2023-05-09 14:27:21 修改
阅读量395 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: pwn 文章标签: 网络安全
于 2023-05-08 15:40:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/c_z_y_c_z_x/article/details/130558803

目录

Tcache机制的简述

安全性分析

利用手法

Tcache机制的简述

在TCache机制中,它为每个线程创建一个缓存,里面包含一些小堆块,无需对arena上锁即可使用,这种无锁分配算法能有不错的效率提升。

在Glibc的2.26中 新增了Tcache机制 这是ptmalloc2的缓存机制
Tcache在glibc中是默认开启的,在Tcache被开启的时候会定义如下东西

#if USE_TCACHE
/* We want 64 entries.  This is an arbitrary limit, which tunables can reduce.  */
# define TCACHE_MAX_BINS        64
# define MAX_TCACHE_SIZE    tidx2usize (TCACHE_MAX_BINS-1)

/* Only used to pre-fill the tunables.  */
# define tidx2usize(idx)    (((size_t) idx) * MALLOC_ALIGNMENT + MINSIZE - SIZE_SZ)

/* When "x" is from chunksize().  */
# define csize2tidx(x) (((x) - MINSIZE + MALLOC_ALIGNMENT - 1) / MALLOC_ALIGNMENT)
/* When "x" is a user-provided size.  */
# define usize2tidx(x) csize2tidx (request2size (x))

/* With rounding and alignment, the bins are...
   idx 0   bytes 0..24 (64-bit) or 0..12 (32-bit)
   idx 1   bytes 25..40 or 13..20
   idx 2   bytes 41..56 or 21..28
   etc.  */

/* This is another arbitrary limit, which tunables can change.  Each
   tcache bin will hold at most this number of chunks.  */
# define TCACHE_FILL_COUNT 7
#endif

Tcache为每个线程都预留了这样一个特殊的bins, bin的数量是64个 每个bin中最多缓存7个chunk。在64位系统上以0x10的字节递增,从24递增到1032字节。32位系统上则从12到512字节,所以Tcache缓存的是非Large Chunk的chunk

然后引入两个新数据结构来管理Tcache中的bin

/* We overlay this structure on the user-data portion of a chunk when
   the chunk is stored in the per-thread cache.  */
typedef struct tcache_entry
{
  struct tcache_entry *next;
} tcache_entry;

/* There is one of these for each thread, which contains the
   per-thread cache (hence "tcache_perthread_struct").  Keeping
   overall size low is mildly important
最低0.47元/天 解锁文章

200万优质内容无限畅学
glibc Tcache机制
For Geek
10-15 3548
Tcache的简述 在Glibc2.26中 新增了Tcache机制 这是ptmalloc2的缓存机制 Tcache在glibc中是默认开启的,在Tcache被开启的时候会定义如下东西 #if USE_TCACHE /* We want 64 entries. This is an arbitrary limit, which tunables can reduce. */ # define ...
glibc2.29溢出tcache利用方式及原理
Hello World.c
03-06 8394
ibc2.29 溢出tcache利用方式及原理 Dancing With Heap 与共舞 二进制学习之旅 参考资料: ctf-pwn https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/tcache_attack/#tcache-poisoning glibc wiki https://sourceware.org/glib...
Tcache Attack
yms0211的博客
09-14 518
Tcache Attack(1)
tcache attacke
abelxu
12-31 630
以glibc2.27为例讲解tcache的各种漏洞利用方式 1.1数据结构 1.2 malloc和free的过程 2.tcache各种漏洞利用方式 2.1 tcache poisoning 通过覆盖 tcache 中的 next,不需要伪造任何 chunk 结构即可实现 malloc 到任何地址。 2.2 tcache dup 类似 fastbin dup,不过利用的是 tcache_put() 的不严谨 2.3 tcache perthread corruption 我们已经知道 tcache_perth
Tcache attack
qq_46441427的博客
08-23 362
文章目录前言一、Tcache相应结构体tcache_entry和tcache_perthread_structtcache_perthread_struct源码分析libc_malloc__tcache_init()申请内存tcache_get()__libc_free()_int_free()tcache_put()二、Tcache attckoverview总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就
【CTF资料-0x0002】PWN简易Linux利用入门教程by arttnba3
arttnba3的博客
02-25 6202
【CTF资料-0x0002】简易Linux利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
[V&N2020 公开赛]easyTHeap + ciscn_2019_final_3 ——heap中tcache的一些简单利用方法
PLpa的博客
06-06 1154
libc2.26之后的libc版本中加入了新的存储结构tcache,这使得我们利用的时候要特别注意libc版本。 对tcache不是很了解建议看看CTFWiKi 1.[V&N2020 公开赛]easyTHeap 保护全开,libc2.27版本,进入IDA 看到程序有增删改查的功能。 我们一个个来看: add: 我们可以看到add中不能写入数据。 edit: add中不能读入的数据由edit来读入。 show: 没什么特殊的,就是输出数据,这里我们可以用其来查看我们泄露的地址。 dele
tcache attack
yjh_fnu_ltn的博客
07-28 506
Tcache Attack tcache利用更加简单: tcache回顾: 在 tcache 中新增了两个结构体,分别是 tcache_entry 和 tcache_perthread_struct: /* We overlay this structure on the user-data portion of a chunk when the chunk is stored in the per-thread cache. */ typedef struct tcache_entry {
TCACHE STASHING UNLINK ATTACK
qq_51474381的博客
05-08 243
1.源码分析 /* If a small request, check regular bin. Since these "smallbins" hold one size each, no searching within bins is necessary. (For a large request, we need to wait until unsorted chunks are processed to find best fit. But for s
溢出 tcache Attack
qq_69100706的博客
08-19 542
在CTF(Capture The Flag)竞赛中,tcache攻击是一种针对glibc管理器中tcache机制的高级利用技术。tcache是glibc 2.26版本开始引入的一种优化,旨在加速小块内存的分配和释放过程。它通过在每个线程本地存储最近释放的小块内存,从而避免了频繁的锁竞争,提高了性能。然而,这种机制也引入了一些新的安全漏洞,可以被攻击者利用
Tcache_attack的学习
has_zaoganmaqule的博客
07-13 914
之前找专业学长买的ctfshow的pwn题目,在学校的时候把栈方面打完了。因为本人是个懒猪所以一拖再拖,也就留到了现在。前面几个heap题目比较简单等我有时间在写。首先我们得了解什么是TcacheTcache(Thread Cache)是glibc从2.26版本开始引入得一个特性,旨在提升内存分配性能。学过机组得都知道这个就是哪个缓存,一般计算机在读取数据的时候有好几层缓存。但这也加大了对攻击的难度。
好好说话之Tcache Attack(1):tcache基础与tcache poisoning
hollk’s blog
02-01 5191
进入到了Tcache的部分,我还是觉得有必要多写一写基础的东西。以往的各种攻击手法都是假定没有tcache的,从练习二进制漏洞挖掘的角度来看其实我们一直模拟的都是很老的环境,那么这样一来其实和真正的生产环境就产生了较大的差距,这导致了CTF-PWN就是CTF-PWN,除了比赛有用之外让人看不出实际的生产转化。以上均属个人想法,如果你觉得纯理论的东西没什么意思,完全可以跳过这前面部分直接看后面的例题
PWN -Tcache attack 解析
m0_57836225的博客
11-19 637
在 PWN 技术的深入学习进程中,第 23 节聚焦于 Tcache attack,这是在内存管理机制相关漏洞利用领域中较为重要的一种攻击方式。Tcache(Thread - local caching)是 glibc 中引入的一种用于提高内存分配效率的机制,然而,不当的使用或存在的漏洞可能被攻击者利用,进而威胁系统安全。
Tcache Attack(3)
yms0211的博客
09-16 837
tcache attack(3)
libc2.26以下的单一溢出漏洞利用——0ctf_2017_babyheap
PLpa的博客
08-03 658
前言: 此题为libc2.26以下的libc环境,在libc2.27及以上不一定行得通。 解题思路: 查看保护: 保护全开的64位程序。 观察IDA伪代码: 我们进入IDA看看程序(在此之前建议先运行一遍程序,看看程序的逻辑)。 标准的菜单题,题目先申请了一块结构来保存接下来我们要申请的地址,在开了保护的情况下,我们并不能很容易的找到这块地址在哪,这样我们就很难把块劫持到这个上面。 我们看看各个功能: 增 本题采用了calloc来申请块,这样对于申请的块来说,原有的数据就会被清除掉,这样我
tcache-Attack总结
蚁景网安学院
10-21 1484
0x01 前言heap攻击方式有很多,但是目前多数pwn还是停留在libc2.23这些上面,而在之后的libc版本中引入了一些新的机制,tcache就是其中一个。tcache的引入,就...
libc2.27版本下的tcache
最新发布
2302_79542511的博客
03-25 777
tcache 是 glibc 2.26 (ubuntu 17.10) 之后引入的一种技术(seecommit),目的是提升管理的性能。但提升性能的同时舍弃了很多安全检查,也因此有了很多新的利用方式。tcache 引入了两个新的结构体,tcache_entry和 tcache_perthread_struct。这其实和 fastbin 很像,但又不一样。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值