基础知识

• 目的： 提升堆内存分配的性能。在多线程程序中，传统的堆分配需要频繁地对主堆区（main_arena）进行加锁和解锁操作，这在多核高并发场景下会成为性能瓶颈。

• 核心思想： 为每个线程预先分配一个专属的、无锁的缓存池。当线程需要分配小块内存时，优先从这个缓存池中获取；释放时也优先放回这个缓存池。这样就避免了与其他线程竞争全局堆锁，大大加快了分配和释放的速度。

• 数量与大小：
• 默认有64个tcache bins。
• 每个 bin 负责一个特定大小的内存块。
• bin 0 -> 负责24字节的 chunk（在 64 位系统上，考虑对齐后的实际大小）
• bin 1 -> 负责32字节的 chunk
• bin 2 -> 负责40字节的 chunk
• ...
• bin 63 -> 负责1032字节的 chunk

• 数据结构：

1. counts[i]： 记录第i个bin中当前有多少个chunk,每个bin的容量上限是7个chunk。

2. entries[i]：指向一个单向链表，链表中的每个节点都是一个空闲的堆块。

• 链表结构 (tcache_entry)：

攻击手法

• tache poisoning

• tache dup

• tache house of spirit

• 当一个chunk被放入tachebins时，除了设置next指针，还会添加key字段设置为指向这个 tcache所属的主管理结构（tcache_perthread_struct）的地址,作为已经释放的标记。

• 在再次释放时：当free函数尝试再次释放同一个chunk时，它会检查该chunk的key字段,如果key字段的值等于当前线程的tcache_perthread_struct的地址，这就意味着这个chunk 已经在这个tcache的空闲链表里了,glibc 会立即检测到这是一个 Double Free 行为，并终止程序。

• 加密（当chunk被free并放入链表时）：
存储的next指针不再是真正的下一个chunk的地址，而是：
加密后的_next = (真正的_next >> 12) ^ 当前 chunk 的地址

• 解密（当chunk被malloc并从链表中取出时）：
程序会从链表头取出chunk，然后根据存储的加密值，计算出真正的next指针：
真正的_next = (加密后的_next ^ 当前 chunk 的地址) << 12

例题

1. 初始化一个默认 20x20 的字符画布，画布上的元素默认用 '.' 表示。

2. 提供交互式命令操作，支持以下功能：
• 绘制（p命令）：在指定坐标 (arg1, arg2) 处绘制十六进制字符arg3。
• 调整大小（r命令）：将画布重新设置为 arg1 x arg2的尺寸，同时清空画布内容。
• 帮助（h命令）：显示操作说明。
• 退出（e命令）：结束程序。

• 绘制画布，利用数组越界改写tache结构体中0x20位置的count为1，对应的指针改成got表附近的地址，避免画布清空覆盖got表

• 调整画布大小为0x20,越界覆写free地址为printf

• 绘制当前画布，从开头写入格式化字符串

• 调整画布为20x20，此时调用free，触发printf格式化字符串漏洞泄露栈上的libc_start_main地址，进而泄露libc;目前堆块的位置仍在最开始的20x20的堆处

• 再次绘制画布，将tache结构体0x20的count仍改为1，对应指针改成got附近的地址

• 调整画布大小为0x20,越界覆写free地址为system

• 绘制当前画布，从开头写入/bin/sh

• 输入命令h，调用free,执行system(”/bin/sh”)