我们可以通过改写large bin的bk_nextsize的值来想指定的位置+0x20的位置写入一个堆地址,也就是这里存在一个任意地址写堆地址的漏洞 覆写malloc中使用tcache部分的mp_.tcache_bins的值为一个很大的地址 之后覆写free_hook为system,进而getshell 覆写mp_.tcache_bins的攻击手段需要两个条件: 1.可以申请largeb...
这里只是初步过一遍,后面会结合对应版本的源码讲具体攻击手法。 二 攻击手法 在tcache机制加入的初期,问题其实是非常多的,他的安全性甚至还不如fastbin,这就导致了非常多的利用可以轻易达成。 tcache poisoning 介绍 类似于fastbin attack,不过目前的tcache并没有检查next指向的chunk的size...