Ta的论坛

[原创]浅析libc2.38版本及以前tcache安全机制演进过程与绕过手法
文章里讲csize2tidx计算的宏展开代码，说“MINSIZE在64位下是8字节，32位下是4字节”，我算了下这样说是错的，MINSIZE在64位下是0x20字节，32位下是0x10字节。比如在64位下的计算过程是这样的：
MALLOC_ALIGNMENT => 0x10
MALLOC_ALIGN_MASK => (MALLOC_ALIGNMENT - 1) => 0xf
MIN_CHUNK_SIZE => (offsetof(struct malloc_chunk, fd_nextsize)) => 0x20
MINSIZE => (unsigned long)(((MIN_CHUNK_SIZE+MALLOC_ALIGN_MASK) & ~MALLOC_ALIGN_MASK)) => 0x20

0x指纹

雪币： 9950

活跃值： (21510)

能力值：

( LV15，RANK：558 )

在线值：

发帖

20

回帖

242

粉丝

663

关注

私信

0x指纹 8 2024-12-6 17:21: 2

[分享]网鼎杯玄武组——PWN2
文章中写“虽然一开始不知道会ret到哪里去，但是既然有这个分支了我们就应该动调一下也许就是洞了”，我看了下，ret结果是和vfork系统调用机制有关的，linux上vfork创建的是轻量级子进程或叫线程，和父进程共享栈空间并优先运行，子进程执行401866 - call fn_4019E9_proc2时，压栈ret地址是下一行指令地址40186B即后门函数开始处，此时父进程所处函数fn_4019E9_proc1函数栈中的ret地址，因和子进程共用栈空间就一同被改变为后门函数，故退出时会直接ret到后门函数。

以及调试vfork产生的轻量级子进程，可用gdb的set follow-fork-mode child跟随进去，试了打断点跟到子进程后执行info threads显示有两个线程，父进程的那个线程停留在44EDFC位置，即刚调用完sys_vfork的syscall下一行地址，证明vfork机制产生的轻量级子进程确实先于父进程执行。

0x指纹雪币： 9950 活跃值： (21510) 能力值： ( LV15，RANK：558 ) 在线值：发帖 20 回帖 242 粉丝 663 关注私信	0x指纹 8 2025-10-29 08:35 0 [原创]极路由远程命令执行漏洞-环境模拟极路由都关了吧
0x指纹雪币： 9950 活跃值： (21510) 能力值： ( LV15，RANK：558 ) 在线值：发帖 20 回帖 242 粉丝 663 关注私信	0x指纹 8 2025-9-8 09:35 0 [原创]frida-Objection有效可运行版本配置推荐可以试下uv管理python和包
0x指纹雪币： 9950 活跃值： (21510) 能力值： ( LV15，RANK：558 ) 在线值：发帖 20 回帖 242 粉丝 663 关注私信	0x指纹 8 2025-7-8 09:04 0 [原创] CVE-2023-4069：Maglev图建立阶段的一个漏洞感谢分享
0x指纹雪币： 9950 活跃值： (21510) 能力值： ( LV15，RANK：558 ) 在线值：发帖 20 回帖 242 粉丝 663 关注私信	0x指纹 8 2025-7-4 08:35 0 【已结束】踩楼赠书仅5本！《万径寻踪：Windows 入侵检测与防御编程》踩楼！
0x指纹雪币： 9950 活跃值： (21510) 能力值： ( LV15，RANK：558 ) 在线值：发帖 20 回帖 242 粉丝 663 关注私信	0x指纹 8 2025-7-1 10:08 0 踩楼有奖\|看雪·2025 KCTF 征题中，Mac mini M4、DJI Neo无人机等豪华大奖谁能收入囊中？祝KCTF越办越好~
0x指纹雪币： 9950 活跃值： (21510) 能力值： ( LV15，RANK：558 ) 在线值：发帖 20 回帖 242 粉丝 663 关注私信	0x指纹 8 2025-6-19 08:43 0 踩楼送门票 \| 议题已公开！看雪·第九届安全开发者峰会（SDC 2025），10月23日上海见踩楼踩楼~
0x指纹雪币： 9950 活跃值： (21510) 能力值： ( LV15，RANK：558 ) 在线值：发帖 20 回帖 242 粉丝 663 关注私信	0x指纹 8 2025-4-23 10:18 1 [原创]长城杯2025 (php-pwn) simi-final php-master 详解感谢分享，能上传下附件就更好了
0x指纹雪币： 9950 活跃值： (21510) 能力值： ( LV15，RANK：558 ) 在线值：发帖 20 回帖 242 粉丝 663 关注私信	0x指纹 8 2025-4-12 21:19 0 [原创]站在巨人的肩膀上：SO中ARM_VMP解释器分析感谢分享，蹲下一篇分析
0x指纹雪币： 9950 活跃值： (21510) 能力值： ( LV15，RANK：558 ) 在线值：发帖 20 回帖 242 粉丝 663 关注私信	0x指纹 8 2025-4-12 11:48 0 [原创]用魔法打败魔法：互联网大厂虚拟机分析还原强悍，感谢分享
0x指纹雪币： 9950 活跃值： (21510) 能力值： ( LV15，RANK：558 ) 在线值：发帖 20 回帖 242 粉丝 663 关注私信	0x指纹 8 2025-4-7 09:46 0 [原创]VMP入门: VMP1.81 Demo分析感谢分享
0x指纹雪币： 9950 活跃值： (21510) 能力值： ( LV15，RANK：558 ) 在线值：发帖 20 回帖 242 粉丝 663 关注私信	0x指纹 8 2025-1-4 11:29 1 [原创]浅析libc2.38版本及以前tcache安全机制演进过程与绕过手法文章里讲csize2tidx计算的宏展开代码，说“MINSIZE在64位下是8字节，32位下是4字节”，我算了下这样说是错的，MINSIZE在64位下是0x20字节，32位下是0x10字节。比如在64位下的计算过程是这样的： MALLOC_ALIGNMENT => 0x10 MALLOC_ALIGN_MASK => (MALLOC_ALIGNMENT - 1) => 0xf MIN_CHUNK_SIZE => (offsetof(struct malloc_chunk, fd_nextsize)) => 0x20 MINSIZE => (unsigned long)(((MIN_CHUNK_SIZE+MALLOC_ALIGN_MASK) & ~MALLOC_ALIGN_MASK)) => 0x20
0x指纹雪币： 9950 活跃值： (21510) 能力值： ( LV15，RANK：558 ) 在线值：发帖 20 回帖 242 粉丝 663 关注私信	0x指纹 8 2024-12-6 17:21 2 [分享]网鼎杯玄武组——PWN2 文章中写“虽然一开始不知道会ret到哪里去，但是既然有这个分支了我们就应该动调一下也许就是洞了”，我看了下，ret结果是和vfork系统调用机制有关的，linux上vfork创建的是轻量级子进程或叫线程，和父进程共享栈空间并优先运行，子进程执行401866 - call fn_4019E9_proc2时，压栈ret地址是下一行指令地址40186B即后门函数开始处，此时父进程所处函数fn_4019E9_proc1函数栈中的ret地址，因和子进程共用栈空间就一同被改变为后门函数，故退出时会直接ret到后门函数。以及调试vfork产生的轻量级子进程，可用gdb的set follow-fork-mode child跟随进去，试了打断点跟到子进程后执行info threads显示有两个线程，父进程的那个线程停留在44EDFC位置，即刚调用完sys_vfork的syscall下一行地址，证明vfork机制产生的轻量级子进程确实先于父进程执行。

{{ user_info.username }}