windows下整数溢出分析

最新推荐文章于 2020-04-19 20:40:37 发布
最新推荐文章于 2020-04-19 20:40:37 发布
阅读量158 收藏
点赞数
原文链接:http://www.cnblogs.com/wh4am1/p/6736773.html
版权

0x00前言

整数溢出就是往存储整数的内存单位存放的数据大于该内存单位所能存储的最大值,整数溢出有时候间接导致缓冲区溢出。如JPEG溢出漏洞(MS04-028)。

 

0x01整数溢出分类

整数溢出可以分为无符号整数的下溢和上溢,有符号数的问题。

 

0x02无符号数的下溢和上溢

无符号数的下溢是由于无符号数不能识别负数导致的,看一个例子:

 

#include<stdio.h>
#include<windows.h>
unsigned char shellcode[] ="\x41\x41\x41\x41\x42\x42\x42\x42\x43\x43\x43\x43\x0f\x10\x02\x50\x90\x90\x90\x90";
int main(int argc,char **argv)
{
	unsigned int i;
	char str[8]="1234567";
	LoadLibrary("c:\\netfairy.dll");
	scanf("%d",&i);
	if(i>7)
	{	MessageBox(NULL,"输入太大","ERROR",NULL);
		return false;
	}
	else
	{
		for(unsigned int j=0;j<=i-1;j++)
		{
			str[j]=shellcode[j];
			if(j>=64)
				break;
		}
		printf("%s\n",str);
	}

	getchar();
	return true;
}

在上面的代码中,假设shellcode是我们可以控制的。本意是想把shellcode的前n个字节复制到str中,n在if(i>7)做了检查,所以最大复制7个字节,我们看n不大于7的时候

1.png

n不大于7的时候输出正常,但是i是一个无符号数,如果我们输入0的话,可以绕过if(i>7)的检查进入for循环,j也是一个无符号数,j<i-1,如果i=0,那么i-1就是-1,由于无符号数不能识别负数,所以i-1转为正的0xffffffff。那么就会复制超长的数据到str,导致覆盖返回地址,而shellcode假如我们可以控制的话,这就是一个由于无符号整数下溢造成的漏洞。验证如图:

2.png

 

无符号整数的上溢也差不多,稍微修改上面的代码如下:

 

//在32位的编译器上,unsigned int最大值:4294967295==0xffffffff
#include<stdio.h>
#include<windows.h>
unsigned char shellcode[] ="\x41\x41\x41\x41\x42\x42\x42\x42\x43\x43\x43\x43\x0f\x10\x02\x50\x90\x90\x90\x90";
int main(int argc,char **argv)
{
	unsigned int i;
	char str[8]="1234567";
	LoadLibrary("c:\\netfairy.dll");
	scanf("%d",&i);
	if(i>7)
	{	MessageBox(NULL,"输入太大","ERROR",NULL);
		return false;
	}
	else
	{
		printf("%d\n",i);
		MessageBox(NULL,"输入正确","Congratulations",NULL);
	}

	getchar();
	return true;
}

程序初起来没有问题,如果输入大于7,就提示错误。然而,我们知道无符号整数最大容纳的值为0xffffffff,也就是十进制4294967295。假如在上面我们输入4294967296会怎么样呢?我们可以看一下:

 

3.png

哇,竟然绕过了检查。原因在于4294967296=0xffffffff+1=0。这就是无符号整数的上溢问题,在某些情况下也能产生漏洞。

 

0x03有符号整数的问题

有符号数见得比较多的问题就是有符号数被当成无符号数使用,比如下面的这个例子:

 

//在32位的编译器上,unsigned int最大值:4294967295==0xffffffff. int 最大值2147483647。也就是0x7fffffff
#include<stdio.h>
#include<windows.h>
unsigned char shellcode[] ="AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA";
int main(int argc,char **argv)
{
	int len;
	char str[256];
	scanf("%d",&len);
	if(len>=256)  //这是个有符号数,如果太大,就被看成是负数,能绕过这里的检查
	{
		MessageBox(NULL,"输入有误","ERROR",NULL);
		return false;
	}
	printf("%d",len);
	memcpy(str,shellcode,len);  //memcpy把len看成是无符号数使用,会溢出str

	getchar();
	return true;
}

本来是想把不大于255个字符由shellcode复制到str,在if(len>=256)做了检查,但是,int 是有符号数,正数的范围最大值是2147483647。也就是0x7fffffff。如果再加1,它就会转为0x80000000,十进制是-2147483648,就可以绕过if(len>=256)检查,因为负数肯定比256小。然后memcpy(str,shellcode,len);把len看成无符号数使用,就是2147483648,复制这个多字符,缓冲区肯定溢出啦。

 

 

0x04小结

大家平时普遍重视堆栈溢出,其实整数溢出也比较常见,虽然大多时候整数溢出不能利用。尤其在Fuzzing技术中,更多的是挖掘到整数溢出问题。典型的暴力修改为0xffff,这是一个临界值。

转载于:https://www.cnblogs.com/wh4am1/p/6736773.html

weixin_30378623
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2020-11945 Squid未授权整数溢出分析
smellycat000的专栏
04-27 1852
聚焦源代码安全,网罗国内外最新资讯!Squid cache(简称为Squid)是一个流行的自由软件(GNU通用公共许可证)的代理服务器和Web缓存服务器。Squid 的用途很多,可以作...
缓冲区溢出攻击实验
05-07
1. **基本要求**:编写一个程序,故意触发缓冲区溢出,无论是在整数溢出还是堆栈溢出情况下。这包括但不限于使用C、C++、C#或Java等语言,在Linux或Windows环境下运行。在调试过程中,利用工具如gdb观察寄存器和存储...
Linux漏洞分析入门笔记-CVE_2018_6323_整型溢出
weixin_30795127的博客
12-25 244
操作系统 Ubuntu 16.04 /32 位 调试器 IDA pro 7.0 漏洞软件 binutils-2.29.1 0x00: 漏洞描述 1.什么是整数溢出: 在计算机中,整数分为无符号整数以及有符号整数两种。其中有符号整数会在最高位用0表示正数,用1表示负数,而无符号整数则没有这种限制。另外,我们常见的整数类型有8位(单字节字符、布尔类型)、16位(短整型)、32...
【Linux伊甸园】JPEG病毒如何发作?都是内存地址惹的祸
11-23 1894
提到JPEG病毒要从内存地址讲起  2004年9月14日,微软发布了安全公告 MS04-028,其作用是修补"JPEG 处理时 (GDI+) 的缓冲区溢出可能允许执行代码"的漏洞,也就是近一阵的"JPEG病毒"所利用的。以下是瑞星官方网站的部分报道:提到JPEG病毒要从内存地址讲起  2004年9月14日,微软发布了安全公告 MS04-028,其作用是修补"JPEG 处理时 (GDI+) 的缓冲区
windows溢出保护原理与绕过方法概览
天元喜羊羊的博客
08-19 5506
http://bbs.pediy.com/showthread.php?p=879124#post879124 Windows溢出保护原理与绕过方法概览 V2.0 By  : riusksk(泉哥) Blog: http://riusksk.blogbus.com Data: 第1版:2010/10/26       第2版:2011/3/26   前言 从20世纪
整数溢出原理分析【转载】
weixin_30390075的博客
08-31 1085
课程简介 我们之前所研究的漏洞,都是非常经典的栈溢出漏洞,也是最为常见的漏洞形态。但是我们对于缓冲区溢出的学习,是不能够仅仅局限在这类的漏洞里面的,其实还有一些比较少见,但却值得我们注意的漏洞形式,是需要我们进行研究的。在接下来的几次课程中,就对这些漏洞逐一进行分析。而我这次所讲的,是整数溢出的漏洞。 课程介绍 实验环境: 操作机:Windows XP ...
安全漏洞--整数溢出漏洞(IOV)分析
热门推荐
关注互联网安全的小虾米一枚
04-19 1万+
一 漏洞简介         整数溢出漏洞(integer overflow):在计算机中,整数分为无符号整数以及有符号整数两种。其中有符号整数会在最高位用0表示正数,用1表示负数,而无符号整数则没有这种限制。另外,我们常见的整数类型有8位(单字节字符、布尔类型)、16位(短整型)、32位(长整型)等。关于整数溢出,其实它与其它类型的溢出一样,都是将数据放入了比它本身小的存储空间中,从而出现了溢出。由此引发的一切程序漏洞都
数据结构-任意长整数加法.doc
10-10
当在需要位数更长的整数加法时计算器设计运用简单的加法运算符难以到达要求,或者是在两个较大整数相加的值超过了整型变量所能储存的数值是程序会发生溢出。 系统设计 本程序中,集合的元素限定为数字字符[‘0’~...
内核溢出利用技术
03-10
这种现象往往源于编程错误,如缓冲区溢出整数溢出或类型错误等。由于内核拥有最高的权限,一旦被恶意利用,攻击者可以控制系统,执行任意代码,甚至获得root权限,对系统造成严重的破坏。 首先,理解内核溢出的...
VC++获取到Windows开机运行的时间
05-16
然而,这个函数的精度有限,只能精确到大约49.7天,因为它的最大值为32位整数,超过这个值就会溢出并重置为零。为了获取更精确的系统运行时间,可以使用`QueryPerformanceCounter`和`QueryPerformanceFrequency`这两...
内容溢出解决办法
yp2294188167的博客
11-09 195
.wrap{ width: 300px; height: 300px; border: 3px solid red; overflow: auto; word-wrap: normal; /* 代码换行空格,也算空格 */ white-space: pre; } <div class="wrap"> <p>我是内容000 ...
Windows漏洞原理之简单栈溢出示例
Xor0ne
04-19 1702
今天这篇文章主要是对老师视频的一个简单的总结。按照惯例,我们先从代码来进行分析。 (PS; ” 2-(3)我遇到的问题 “ 这部分纯属对于自己运行时的小记录,希望可以给遇到同样问题的小可爱们一点小的参考,如果没有遇到问题的话可以略过哦!) 文章目录1、源代码2、前景分析(1)、原理分析(2)、知识拓展:CreateFileA()、ReadFile()、GetFileSize()(3)、我遇到的问题...
传感器驱动+imx296驱动+Linux驱动
08-10
传感器驱动+imx296驱动+Linux驱动
ASP校园论坛的设计与实现(源代码+论文).rar
最新发布
08-10
资源包主要包含以下内容: ASP项目源码:每个资源包中都包含完整的ASP项目源码,这些源码采用了经典的ASP技术开发,结构清晰、注释详细,帮助用户轻松理解整个项目的逻辑和实现方式。通过这些源码,用户可以学习到ASP的基本语法、服务器端脚本编写方法、数据库操作、用户权限管理等关键技术。 数据库设计文件:为了方便用户更好地理解系统的后台逻辑,每个项目中都附带了完整的数据库设计文件。这些文件通常包括数据库结构图、数据表设计文档,以及示例数据SQL脚本。用户可以通过这些文件快速搭建项目所需的数据库环境,并了解各个数据表之间的关系和作用。 详细的开发文档:每个资源包都附有详细的开发文档,文档内容包括项目背景介绍、功能模块说明、系统流程图、用户界面设计以及关键代码解析等。这些文档为用户提供了深入的学习材料,使得即便是从零开始的开发者也能逐步掌握项目开发的全过程。 项目演示与使用指南:为帮助用户更好地理解和使用这些ASP项目,每个资源包中都包含项目的演示文件和使用指南。演示文件通常以视频或图文形式展示项目的主要功能和操作流程,使用指南则详细说明了如何配置开发环境、部署项目以及常见问题的解决方法。 毕业设计参考:对于正在准备毕业设计的学生来说,这些资源包是绝佳的参考材料。每个项目不仅功能完善、结构清晰,还符合常见的毕业设计要求和标准。通过这些项目,学生可以学习到如何从零开始构建一个完整的Web系统,并积累丰富的项目经验。
PC-lint/FlexeLint:C和C++程序静态分析工具
在提供的代码示例中,`report`函数展示了可能的问题点,如未初始化的变量`k`、可能的整数溢出问题(`nm = n * m`),以及潜在的空指针解引用(`p == "" ? "null" : p`)。PC-lint/FlexeLint会检查这类问题,并提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值