![]()
tcache_dup 문제 풀이1. 취약점 확인 checksec 명령어로 보호기법을 확인해보자[*] '/home/gunp4ng/project/SF/doublefree/tcache/tcache_dup/tcache_dup' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) Stripped: Nox64 아키텍처에 Partial RELRO, Canary, Nx-bit 가 걸려있는 것을 확인할 수 있다 1. C코드 확인int create(int cnt) { int size; if (cn..
![]()
tcache duplicate1. tcache?1. tcacheglibc 2.26 부터 tcache 가 도입되면서 0x20 ~ 0x410의 크기의 청크는 main arena가 아닌 tcache에서 관리되기 시작했다tcache는 크기별로 최대 7개까지 저장할 수 있고 가득 찬 이후에는 청크가 fastbin이나 다른 bin으로 이동하게 된다tcache는 보안 검사가 많이 생략되어 있어 공격자들에게 힙 익스플로잇 도구로 사용된다 glibc 2.27 의 tcache 는 double free에 대한 검증 로직이 없는 것으로 알려져 있지만실습 환경인 glibc 2.27 의 버전은 Ubuntu GLIBC 2.27-3ubuntu1.6 으로 이후 버전에서 도입된 검증 로직이 적용되었다→ 사실상 glibc 2.26 까지만..
