浅析libc2.38版本及以前tcache安全机制演进过程与绕过手法

主要观点总结

本文主要介绍了tcache机制的结构、取用放入的原子操作，以及free安全机制的演变过程。文章详细描述了早期、中期和现今的tcache机制，包括其安全特性、原子行为和相关的绕过手法。同时，也介绍了key的作用、_int_free的验证机制以及fd指针的异或加密等细节。

关键观点总结

关键观点1: tcache机制的核心思想及其演变过程

tcache机制旨在提高性能，但早期版本为了追求速度放弃了安全检查，导致易受到double free等攻击。后来的版本引入了key等安全机制，但在性能和安全性之间仍然面临权衡。

关键观点2: tcache的结构和原子操作

tcache使用单链表和fd指针来管理堆内存，新的内存大小会被关联到特定的入口点。早期的tcache结构没有安全检查，后来的版本引入了key验证和异或加密等机制来提高安全性。

关键观点3: key的作用及其验证机制

key用于验证tcache的安全机制，但在不同版本的glibc中，其生成方式和作用有所不同。在后期版本中，key是随机生成的，增加了攻击的难度。

关键观点4: _int_free的验证机制

_int_free通过验证tcache bin的key来检测double free等攻击。但是，通过改变key或利用剪枝算法等手段，可以绕过其检测机制。

关键观点5: fd指针的异或加密机制

为了保护指针，防止直接泄露，ptmalloc引入了PROTECT_PTR机制，对fd指针进行异或加密。但是，通过特定的操作可以泄露堆地址。

免责声明