一:什么是整数溢出
由于整数在内存里面保存在一个固定长度的空间内,它能存储的最大值和最小值是固定的,如果我们尝试去存储一个数,而这个数又大于这个固定的最大值时,就会导致整数溢出。(x86-32 的数据模型是 ILP32,即整数(Int)、长整数(Long)和指针(Pointer)都是 32 位。)
二、溢出类型及表现
1.溢出
只有符号的数才会发生溢出
对于signed整型的溢出,C的规范定义是“undefined behavior”,也就是说,编译器爱怎么实现就怎么实现。对于大多数编译器来说,仍然是回绕。
2.回绕
无符号数会回绕(常绕过一些判断语句)
对于unsigned整型溢出,C的规范是有定义的——“溢出后的数会以2^(8*sizeof(type))作模运算”,也就是说,如果一个unsigned char(1字符,8bits)溢出了,会把溢出的值与256求模。例如:
|
1
2
|
unsigned char x = 0xff;printf("%d
", ++x); |
上面的代码会输出:0 (因为0xff + 1是256,与2^8求模后就是0)
3.截断
将一个较大宽度的数存入一个宽度小的操作数中,高位发生截断
三、简单了解整数溢出的危害
1. 整数回绕之后,会导致索引越界,取到不确定的数据
2. 或者判断失效,形成死循环。
3. 回绕之后,导致分配超大内存。
四、Keil将变量加入Watch后,如果溢出显示的值后会带个“?”号
观察到这种情况就要注意了。
五、例子
第一种情况——有符合号溢出举个例子:
int i;
i = INT_MAX; // 2 147 483 647
i++; printf("i = %d ", i); // i = -2 147 483 648
第二种情况——无符号回绕举个列子:
unsigned int ui;
ui = UINT_MAX; // 在 x86-32 上为 4 294 967 295 ui++;
printf("ui = %u ", ui); // ui = 0
ui = 0;
ui--; printf("ui = %u ", ui); // 在 x86-32 上,ui = 4 294 967 295
第三种情况——高位截断截断举俩例子:
加法截断:
0xffffffff + 0x00000001
= 0x0000000100000000 (long long)
= 0x00000000 (long)
乘法截断:
0x00123456 * 0x00654321
= 0x000007336BF94116 (long long)
= 0x6BF94116 (long)
漏洞多发函数
1.*memcpy(void *dest, const void *src, size_t n)函数
2.*strncpy(char *dest,const char *scr, size_t n)函数
ps说明:其中参数n,是size_t类型,size_t是一个无符号整型的类型
C语言源码示例:
示例一:
char buf[80];
void vulnerable() {
int len = read_int_from_network();
char *p = read_string_from_network();
if (len > 80) {
error("length too large: bad dog, no cookie for you!");
return;
}
memcpy(buf, p, len);
}
当给len赋值为复数时,可绕过if判断,因为memcpy()函数中 的len是size_t类型会把复数len转换为整数,当len被赋值后绝对值很大时就会复制大量的内容到buf中,发生溢出
示例二:
void vulnerable() {
size_t len;
// int len;
char* buf;
len = read_int_from_network();
buf = malloc(len + 5);
read(fd, buf, len);
...
}
这个例子看似避开了缓冲区溢出的问题,但是如果 len 过大,len+5 有可能发生回绕。比如说,在 x86-32 上,如果 len = 0xFFFFFFFF,则 len+5 = 0x00000004,这时 malloc() 只分配了 4 字节的内存区域,然后在里面写入大量的数据,缓冲区溢出也就发生了。(如果将 len 声明为有符号 int 类型,len+5 可能发生溢出)
示例三:
void main(int argc, char *argv[]) {
unsigned short int total;
total = strlen(argv[1]) + strlen(argv[2]) + 1;
char *buf = (char *)malloc(total);
strcpy(buf, argv[1]);
strcat(buf, argv[2]);
...
}
这个例子接受两个字符串类型的参数并计算它们的总长度,程序分配足够的内存来存储拼接后的字符串。首先将第一个字符串参数复制到缓冲区中,然后将第二个参数连接到尾部。如果攻击者提供的两个字符串总长度无法用 total 表示,则会发生截断,从而导致后面的缓冲区溢出。