<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Ako želite da vidite **vašu kompaniju reklamiranu na HackTricks-u** ili **preuzmete HackTricks u PDF formatu** Proverite [**PLANOVE ZA PRIJAVU**](https://github.com/sponsors/carlospolop)!
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitteru** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.
</details>
## Osnovne Informacije
Za više informacija o tome šta je tcache bin pogledajte ovu stranicu:
Prvo, napomenimo da je Tcache uveden u glibc verziji 2.26.
**Tcache** napad predložen na [**guyinatuxido stranici**](https://guyinatuxedo.github.io/29-tcache/tcache\_explanation/index.html) veoma je sličan napadu na fast bin gde je cilj prepisati pokazivač na sledeći blok u binu unutar oslobođenog bloka na proizvoljnu adresu kako bi kasnije bilo moguće **dodeliti tu specifičnu adresu i potencijalno prepisati pokazivače**.
Međutim, danas, ako pokrenete pomenuti kod dobićete grešku: **`malloc(): unaligned tcache chunk detected`**. Dakle, potrebno je upisati kao adresu u novi pokazivač poravnanu adresu (ili dovoljno puta izvršiti binarni fajl kako bi upisana adresa zapravo bila poravnata).
### Napad na tcache indekse
Obično je moguće naći na početku hipa blok koji sadrži **broj blokova po indeksu** unutar tcache i adresu **glavnog bloka svakog indeksa tcache**. Ako iz nekog razloga bude moguće izmeniti ove informacije, bilo bi moguće **naterati glavni blok nekog indeksa da pokazuje ka željenoj adresi** (kao što je malloc hook) kako bi se zatim dodelio blok veličine indeksa i prepisali sadržaji malloc hook-a u ovom slučaju.
* **Libc info leak**: Moguće je popuniti tcache-ove, dodati blok u nesortiranu listu, isprazniti tcache i **ponovo dodeliti blok iz nesortirane liste** samo prepisujući prvih 8B, ostavljajući **drugu adresu libc-a iz bloka netaknutom tako da je možemo pročitati**.
* **Tcache napad**: Binarni fajl je ranjiv na 1B prelivanje hipa. Ovo će biti iskorišćeno da se promeni **veličina zaglavlja** dodeljenog bloka čineći ga većim. Zatim, ovaj blok će biti **oslobođen**, dodajući ga u tcache blokova lažne veličine. Zatim, dodelićemo blok sa lažiranom veličinom, a prethodni blok će biti **vraćen znajući da je ovaj blok zapravo bio manji** i to pruža mogućnost da se **prepise sledeći blok u memoriji**.\
Iskoristićemo ovo da **prepšemo pokazivač FD sledećeg bloka** da pokazuje na **`malloc_hook`**, tako da je moguće alocirati 2 pokazivača: prvo legitimni pokazivač koji smo upravo izmenili, a zatim će druga alokacija vratiti blok u **`malloc_hook`** koji je moguće iskoristiti za pisanje **one gadget-a**.
* **Libc info leak**: Postoji upotreba nakon oslobođenja i dvostruko oslobođenje. U ovom writeup-u autor je procurio adresu libc-a čitajući adresu bloka smeštenog u malom binu (kao što je procurio iz nesortiranog bina ali iz malog).
* **Tcache napad**: Tcache je izvršen putem **dvostrukog oslobođenja**. Isti blok je oslobođen dva puta, tako da će unutar Tcache-a blok pokazivati na sebe. Zatim, on se dodeljuje, njegov FD pokazivač se menja da pokazuje na **free hook** i zatim se ponovo dodeljuje tako da će sledeći blok na listi biti u free hook-u. Zatim, i ovaj je dodeljen i moguće je upisati adresu `system` ovde tako da kada se dodeli malloc koji sadrži `"/bin/sh"` dobijemo shell.
* **Napad na tcache indekse**: Moguće je alocirati i osloboditi blok određene veličine koji će kada se čuva u tcache informacijama generisati **poziciju sa vrednošću 0x100** (zbog toga što bajt koji označava koliko blokova u tom indeksu su smešteni). Zatim, zloupotrebom ove vrednosti moguće je `osloboditi` ovu adresu jer izgleda kao da je to blok veličine 0x100. Ovo će dodati tu adresu u indeks blokova veličine 0x100 u tcache-u.\
Zatim, alociranjem bloka veličine 0x100, moguće je prepisati početnu adresu bloka drugih tcache indeksa. Na primer, postavljanjem adrese malloc hook-a u jednom od njih i alociranjem bloka veličine tog indeksa omogućiće dobijanje bloka u calloc hook-u, što omogućava pisanje one gadget-a za dobijanje shell-a.
<details>
<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Drugi načini podrške HackTricks-u:
* Ako želite da vidite **vašu kompaniju reklamiranu na HackTricks-u** ili **preuzmete HackTricks u PDF formatu** Proverite [**PLANOVE ZA PRIJAVU**](https://github.com/sponsors/carlospolop)!
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitteru** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.
