PWN-整数溢出

最新推荐文章于 2023-11-19 15:53:12 发布
最新推荐文章于 2023-11-19 15:53:12 发布
阅读量1.6k 收藏 10
点赞数 6
分类专栏: CTF-PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31343581/article/details/121758524
版权

一、特殊数字

0x8000000000000000 # int64 8字节 所以是 16个字符,int32等同理

在计算机中

-0x8000000000000000 = 0x8000000000000000

我们可以利用这一特性绕过计算机部分检测

如:

char *sub_4009A0()
{
  __int64 v1; // [rsp+0h] [rbp-A0h]
  char s; // [rsp+10h] [rbp-90h]

  puts("Tell me the size of your story:");
  v1 = get_size("Tell me the size of your story:");
  if ( v1 < 0 )
    v1 = -v1;
  if ( v1 > 128 )
    v1 = 0x400LL;
  puts("You can speak your story:");
  sub_400ABE(&s, (unsigned __int64) v1);
  return strdup(&s);
}

因为 v1为 int64类型,我们可以设置v1为:0x8000000000000000

在计算机中0x8000000000000000 是一个负数

在执行 v1 = -v1 时, v1仍是一个负数,根据此特性,我们可以绕过 v1 > 128 的判断,

而在 sub_400ABE 函数中,计算机将v1强转成一个无符号的整型,这就导致我们可以传入一个很大的正整数,来实现溢出。

原理分析:

假设我们的程序是16位程序,我们数字最大程度为16位,换算为16进制,那么我们可以输入一个0x8000,实现上述绕过逻辑。

0x8000,用2进制表现为

1000 0000 0000 0000

计算机取反,其实就是将位“变反加一”,举个例子,在16为程序中,我们将0x0800取反,即得到-0x800,那么计算机是这么运行的

0000 1000 0000 0000 # 2048
# 取反
1111 0111 1111 1111
# 加1
1111 1000 0000 0000 ​​​​​​​# -2048

由于0x8000,他的最高位已经是计算机的最高位,所以运算如下

1000 0000 0000 0000 
# 取反 
0111 1111 1111 1111 
# 加1 
1000 0000 0000 0000

二、整数字节对照表

类型

字节

范围

short int

2byte(word)

0~32767(0~0x7fff)

-32768~-1(0x8000~0xffff)

unsigned short int

2byte(word)

0~65535(0~0xffff)

int

4byte(dword)

0~2147483647(0~0x7fffffff)

-2147483648~-1(0x80000000~0xffffffff)

unsigned int

4byte(dword)

0~4294967295(0~0xffffffff)

long int

8byte(qword)

正:0~0x7fffffffffffffff

负:

unsigned long int

8byte(qword)

0~0xffffffffffffffff

三、溢出类漏洞

计算机中有 4 种溢出情况,以 32 位整数为例。

① 无符号上溢:无符号数 0xffffffff 加 1 会变成 0。

② 无符号下溢:无符号数 0 减去 1 会变成 0xffffffff,即-1。

③ 有符号上溢:有符号正数 0x7fffffff 加 1 变成 0x80000000, 即从 2147483647 变成了-2147483648。

④ 有符号下溢:有符号负数 0x80000000 减去 1 变成 0x7fffffff,即从-2147483648 变成了 2147483647。

一个经典的整数溢出例子就是 c 语言的 abs 函数,int abs(int x),该函数返回 x 的绝对值。但当 abs()函数的参数是 0x80000000 即-2147483648 的时候,它本来应该返回2147483648,但正整数的范围是 0-2147483647,所以他返回的仍然是个负数,即本身-2147483648。

四、符号转换类漏洞

符号转换类漏洞通常出在把范围大的变量赋值给范围小的变量,64 位下 long -> int,会造成截断,只把长整型的低 4byte 的值传给整型变量,比如把 long 类型的0x100000010 赋值给 int 类型的变量就会变成 0x10。

符号转换类漏洞也会出现在把signed变量赋值给unsigned变量,如下表2-6代码。如下就是 符号转换类漏洞 demo 代码。

#include<stdio.h>
void main()
{
    char buf[32];
    int len;
    puts("give your len:");
    scanf("%d",&len);
    if(len>32)
    len=32;
    puts("give your data:");
    read(0,buf,len);
    return;
}

len 变量是 signed int 类型该代码没有对 len 进行完善的约束,导致 len 可以是负数。比如我们输入-1,此时传入 read 参数的 size 就会是-1,read 的第三个参数 size 是size_t 类型,也就是 unsigned int 类型,它会将-1 解析成 0xffffffff,这就间接导致了栈溢出。

recover517
关注
  • 6
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
marker:x86-64寄存器参数详解
CrystalShaw的博客
04-14 3564
一、x86-64寄存器参数列表 详细参数信息: 八个通用寄存器: 名称 简介 EAX (针对操作数和结果数据的)累加器 ,返回函数结果 EBX (DS段中的数据指针)基址寄存器。在内存寻址时存放基地址 ECX (字符串和循环操作数)计数器。时重复REP前缀指令和LOOP指令的内定计数器 EDX (I/O指针)数据寄存器 EBP (SS段中栈内数据指针)扩展基址指针寄存器 ESP (SS段中栈指针)
Lua:04---number数值类型:interger、float、算术运算/关系运算/运算符优先级、math数学库、interger与float的转换
董哥的黑板报
08-11 7481
一、Lua数值类型发展 在Lua 5.2及之前的版本中,所有的数值都以双精度浮点格式表示 从Lua 5.3版本开始,Lua语言为数值格式提供了两种选择: 整型值:称为interger的64位整型 浮点型值:称为float的双精度浮点类型 二、数值常量表示 下面是一些合理的数值常量表示: 4 0.4 其中还可以使用科学记数法: 格式为一个可选的十进制部分外加一个可选的十进制指数部分) 科学记数法最终是一个浮点数 4.57e-3 0.3e12 5E+20 三、类
君正x2000 ffmpeg硬件解码不能获取pts解决
霍宏鹏的专栏
05-22 1334
在使用君正x2000播放mp4过程中,在获的解码帧中的pts一直是无效值AV_NOPTS_VALUE(-9223372036854775808(0x8000000000000000)),通过原厂协助解决了此问题。 在打开解码器之前加入如下语句: /* * 如果不加,将获取不到解码后的pts值 */ avcodec_ctx->framerate.num = stream->avg_frame_rate.num; avcodec_ctx->framerate.den = stream
汇编语言符号扩展指令及应用示例
热门推荐
ComputerInBook的专栏
05-13 1万+
汇编语言符号扩展指令及应用示例
变量a是一个64位有符号的整数,初始值用16进制表示为:0x7FFFFFFFFFFFFFFF;变量b是一个64位有符号的整数,初始值用16进制表示为:0x8000000000000000;则a+b的结
XXL_SanSui的博客
10-22 2287
变量a是一个64位有符号的整数,初始值用16进制表示为:0x7FFFFFFFFFFFFFFF;变量b是一个64位有符号的整数,初始值用16进制表示为:0x8000000000000000;则a+b的结果用10进制表示为多少? 答案是: -1 ; 解析 1、a+b的16进制表示为 0xFFFF FFFF FFFF FFFF ;(16位F),转为二进制为64个1 2、有符号数:是针对二进制来讲得。用最高位作为符号位,0 代表 + ;1 代表 - ;所以a+b的结果是负数; 3、计算机中负数是以补码的形式保存的
PWN整数溢出
qq_74259765的博客
11-19 567
转自ctfwiki-整数溢出部分
BUUCTF Pwn 1-12题解析及答案
红叶的博客
02-28 1193
这里使用fmtstr_payload直接替换 atoi_got 的原因是got表才是程序运行时函数的真正地址,通过替换atoi,修改为system,再送入'/bin/sh\x00' 即可成功getshell。s 的大小是0x3C,那么我们只需要输入 0x3C,也就是60 / 3 个I即可溢出,之后的内容我们可以就可以构建ROP链。也就是说,我们最多输入32个字节的东西,根据上文,我们可以输入32个I,这样就是32个you,也就是96个字节。0x0F + 0x08 代表 s 的大小加上8字节大小的rbp。
服务器日志显示意外关闭,服务器多次异常关闭,错误日志:计算机已经从检测错误后重新启动。。检测错误: - Microsoft Community...
weixin_36036029的博客
07-30 5326
机房的服务器,之前一直运行正常,今天上午突然异常关机,已经有4次了,老板那边给的压力太大,求各路大神指导帮助。操作系统环境: server 2008 R2 standard,报错的日志内容如下。操作系统环境: server 2008 R2 standard,报错的日志内容如下。- System- Provider[ Name] Microsoft-Windows-WER-SystemErrorR...
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
pwn-200题目文件
02-16
pwn-200题目文件
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
基于Springboot+Vue的墙绘产品展示交易平台毕业源码案例设计.zip
04-27
网络技术和计算机技术发展至今,已经拥有了深厚的理论基础,并在现实中进行了充分运用,尤其是基于计算机运行的软件更是受到各界的关注。加上现在人们已经步入信息时代,所以对于信息的宣传和管理就很关键。系统化是必要的,设计网上系统不仅会节约人力和管理成本,还会安全保存庞大的数据量,对于信息的维护和检索也不需要花费很多时间,非常的便利。 网上系统是在MySQL中建立数据表保存信息,运用SpringBoot框架和Java语言编写。并按照软件设计开发流程进行设计实现。系统具备友好性且功能完善。 网上系统在让售信息规范化的同时,也能及时通过数据输入的有效性规则检测出错误数据,让数据的录入达到准确性的目的,进而提升数据的可靠性,让系统数据的错误率降至最低。 关键词:vue;MySQL;SpringBoot框架 【引流】 Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes
99-青海大学大数据中心建设分享.pptx
04-27
99-青海大学大数据中心建设分享.pptx
TD-LTE载波聚合方案.docx
04-27
5G通信行业、网络优化、通信工程建设资料。
10份网络优化创新案例.zip
最新发布
04-27
SA语音回落与切换流程冲突解决.pdf 计费模式错误导致SA语音承载建立失败,pdf BSF网元bug导致SA用户VOLTE业务故障,pdf SA基站SCTP偶联IP配置不规范导致切换失败的问题处理,pdf 第一医院SA+NSA双模基站方案保障5G查房车应用,pdf SA未配置互操作场景下终端语音业务研究案例,pdf SA站点天馈隔离度问题导致上行速率不及预期,pdf SA组网下微信小视频卡顿影响感知案例,pdf 基于八步法定位SA掉线问题.pdf SA站点测试宏微切换异常事件,pdf
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值