在C语言中,整数的基本数据类型分为短整型(short),整形(int),长整型(long),每一个数据类型分为有符号数和无符号数,每种数据类型都有各自的大小范围。(数据类型的大小范围是由编译器决定的,所以以下范围默认是64位下使用gcc-5.4)
当程序中的数据超过其数据类型的范围,就会造成溢出,整数类型的溢出被称为整数溢出。
利用
1.特殊数字绕过
在计算机中 int64 是8字节 是16个字符 0x8000 0000 0000 0000 = -0x8000 0000 0000 0000
可以利用这一特性绕过计算机的部分检测
2.溢出
计算机中有4种溢出情况,以32位整数为例
- 无符号上溢:无符号数0xffffffff加1会变成0
- 无符号下溢:无符号数减去1会变成0xffffffff,即-1
- 有符号上溢:有符号正数0xffffffff加1变成0x80000000,即从2147483647变成了2147483647
- 有符号下溢:有符号负数 0x80000000 减去 1 变成 0x7fffffff,即从-2147483648 变成了 2147483647
有一个经典的整数溢出例子就是C语言中的abs函数,int abs(int x),该函数的作用是返回x的绝对值。但是当abs函数的参数是0x8000 0000即-2147483648的时候,它本来应当返回2147483648,但是正整数的范围是0-2147483647,所以它的返回值是2147483647+1=-2147483648,还是它本身。
3.符号转换类漏洞
此漏洞通常会出现在把范围大的变量值赋值给范围小的变量,64位下long->int,会造成截断,智慧把长整型的低4byte的值传给整形变量,比如把long类型的0x1 0000 0010 赋值给int类型的变量就会变成0x10
符号转换类漏洞也会出现在把signed变量赋值给unsigned变量,例:
#include<stdio.h>
void main()
{
char buf[32];
int len;
puts("give your len:");
scanf("%d",&len);
if(len>32)
len=32;
puts("give your data:");
read(0,buf,len);
return;
}
正常来说len变量应该为有符号整数类型,但是该代码未对len进行约束,如果我们输入-1,那么在read函数里的len就会按照有符号整数类型进行解析变成0xffffffff,那么buf变量的输入长度就会变得很大,间接造成栈溢出。