好好说话之整数溢出

已于 2022-03-18 10:02:13 修改
阅读量1.3k 收藏 4
点赞数 4
CC 4.0 BY-SA版权
分类专栏: pwn 文章标签: 安全
于 2020-08-13 11:18:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41202237/article/details/107972712

整数溢出

C语言中的整型分类

C语言中的整型按数据类型主要分三类:短整形(short)、整形(int)、长整形(long)

按符号分类:有符号、无符号

每种数据类型都有自己的大小范围:

类型字节范围
short int2byte(word)0~32767(0~0x7fff)
-32768~-1(0x8000~0xffff)
unsigned short int2byte(word)0~65535(0~0xffff)
int4byte(word)0~2147483647(0~0x7fffffff)
-2147483648~-1(0x80000000~0xffffffff)
unsigned int4byte(word)0~4294967295(0~0xffffffff)
long8byte(word)正: 0~0x7fffffffffffffff
负: 0x8000000000000000~0xffffffffffffffff
unsigned long8byte(word)0~0xffffffffffffffff

如果说栈溢出是超过变量的栈空间范围,那么当程序中的数据超过其数据类型的范围,则会造成溢出,整数类型的溢出被称为整数溢出

上界溢出

上界溢出可以这么理解:在数据类型范围临界点继续增加数值,导致溢出

# 伪代码
short int a;

a = a + 1;
# 对应的汇编
movzx  eax, word ptr [rbp - 0x1c] /*将rbp - 0x1c位置的值(变量a)赋给eax寄存器*/
add    eax, 1
mov    word ptr [rbp - 0x1c], ax /*将ax(eax低2byte)中的值赋给rbp - 0x1c(变量a)*/

unsigned short int b;

b = b + 1;
# assembly code
add    word ptr [rbp - 0x1a], 1 /*将rbp - 0x1a处的值(变量b)加1*/

我们看上面的例子,变量a是有符号短整形(short)也就是说它的范围为正0~0x7fff,负0x8000~0xffff。有符号整型的计算主要是在寄存器中执行的,因为short占2个字节add eax,1计算之后,在将ax(eax低2byte)中的值传给变量a

再看变量b,它是无符号短整形,范围为0~0xffff。无符号整型的计算主要是在栈中执行,所以add word ptr [rbp - 0x1a], 1直接在栈中给变量b加上了1

上界溢出主要有两种情况:

  • 第一种情况:0x7fff + 1

因为计算机底层指令是不区分有符号和无符号的,数据都是以二进制形式存在 (编译器的层面才对有符号和无符号进行区分,产生不同的汇编指令)。所以 add 0x7fff, 1 == 0x8000,这种上界溢出对无符号整型就没有影响,但是在有符号短整型中,0x7fff 表示的是 32767,但是 0x8000 表示的是 -32768,用数学表达式来表示就是在有符号短整型中 32767+1 == -32768

  • 第二种情况:0xffff + 1

这种情况需要考虑的是第一个操作数,比如上面的有符号型加法的汇编代码是 add eax, 1,因为 eax=0xffff,所以 add eax, 1 == 0x10000,但是无符号的汇编代码是对内存进行加法运算 add word ptr [rbp - 0x1a], 1 == 0x0000

在有符号的加法中,虽然 eax 的结果为 0x10000,但是只把 ax=0x0000 的值储存到了内存中,从结果看和无符号是一样的

再从数字层面看看这种溢出的结果,在有符号短整型中,0xffff==-1,-1 + 1 == 0,从有符号看这种计算没问题。但是在无符号短整型中,0xffff == 65535, 65535 + 1 == 0

下界溢出

和上界溢出一样,只不过在汇编中把add替换成sub。你可以这样理解:在数据类型范围临界点继续减少数值,导致溢出

一样有两种情况:

第一种是 sub 0x0000, 1 == 0xffff,对于有符号来说 0 - 1 == -1 没问题,但是对于无符号来说就成了 0 - 1 == 65535

第二种是 sub 0x8000, 1 == 0x7fff,对于无符号来说是 32768 - 1 == 32767 是正确的,但是对于有符号来说就变成了 -32768 - 1 = 32767

出现整数溢出的情况

未限制范围

就如同前面的栈溢出,将不限制长度的字符串放在定长的变量中。整数溢出就是将不限制长度的数据放在了定长的变量中,就好比你吃的非常的撑,然后妈妈让你再喝一碗汤😂

一个示例:

$ cat test.c
#include<stddef.h>
int main(void)
{
    int len;
    int data_len;
    int header_len;
    char *buf;

    header_len = 0x10;
    scanf("%uld", &data_len);

    len = data_len+header_len
    buf = malloc(len);
    read(0, buf, data_len);
    return 0;
}
$ gcc test.c
$ ./a.out
-1
asdfasfasdfasdfafasfasfasdfasdf
# gdb a.out0x40066d <main+71>    call   malloc@plt <0x400500>
        size: 0xf

我们只申请了0x20大小的堆,但是却输入0xffffffff长度的数据,从整形溢出到堆溢出

错误的类型转换

即使正确的对变量进行约束,也仍然有可能出现整数溢出漏洞,可以概括为错误的类型转换,如果继续细分下去,可以分为:

范围大的变量赋值给范围小的变量

可以这样理解:你明明只能吃一小碗饭,妈妈问你吃多少,你说一碗就行,然后妈妈给你盛了一海碗,亲妈没错了

$ cat test2.c
void check(int n)
{
    if (!n)
        printf("vuln");
    else
        printf("OK");
}
int main(void)
{
    long int a;
    scanf("%ld", &a);
    if (a == 0)
        printf("Bad");
    else
        check(a);
    return 0;
}
$ gcc test2.c
$ ./a.out
4294967296
vuln

代码中讲一个范围大的变量a(长整形),传入check函数后变为范围小的变量n(整型),这样就造成了溢出

长整形占有8字节的内存空间,但是整型只有4字节,所以将long放进int之后会造成截断,只能将long的低4字节的值传给整型变量long: 0x100000000 -> int: 0x00000000,但是反过来将int放在long中时没有事的

只做了单边限制

这种情况只针对有符号类型

$ cat test3.c
int main(void)
{
    int len, l;
    char buf[11];

    scanf("%d", &len);
    if (len < 10) {
        l = read(0, buf, len);
        *(buf+l) = 0;
        puts(buf);
    } else
        printf("Please len < 10");        
}
$ gcc test3.c
$ ./a.out
-1
aaaaaaaaaaaa
aaaaaaaaaaaa

我们虽然对变量len进行了限制,但是len是有符号整型,所以len的长度可以为负数,但是在read函数中,第三个参数的类型是size_t,该类型相当于unsigned long int,属于无符号长整形

例题

以后做到补上,wiki上没给程序

在这里插入图片描述

听Ruby之父畅谈编程语言的设计
图灵教育
08-09 1371
本文摘自《松本行弘:编程语言的设计与实现》 1-1 自己创造编程语言的意义 通过实际创造一门新的编程语言,可以学到编程语言的设计思路和实现方法。随着开源的普及,创造新编程语言的门槛一下子降低了许多。创造编程语言不仅可以提升你作为技术者的价值,而且还可以使你从中获得很大的乐趣。 大家都知道我是编程语言 Ruby 的作者,我其实还是一个编程语言迷,对编程语言的痴迷程度无人能及。Ruby 是我出于兴...
【Python从入门到精通】(二十八)五万六千字对Python基础知识做一个了结吧【值得收藏】
m0_67403013的博客
07-31 3481
列表作为Python序列类型中的一种,其也是用于存储多个元素的一块内存空间,这些元素按照一定的顺序排列。element1~elementn表示列表中的元素,元素的数据格式没有限制,只要是Python支持的数据格式都可以往里面方。同时因为列表支持自动扩容,所以它可变序列,即可以动态的修改列表,即可以修改,新增,删除列表元素。看个爽图吧!说完了列表,接着让我们来看看另外一个重要的序列–元组(tuple),和列表类似,元组也是由一系列按特定书序排序的元素组成,与列表最重要的区别是,def函数名(参数列表)...
(编程基础)整数溢出的检测
11-28 2517
检测整数溢出有如下三种方法: #include #include int main() { printf("%x\n", INT_MAX); int a = INT_MAX; int b = 1; int B = b + a; printf("B = %d(%x)\n", B, B); if (a + b < 0) { p
整数溢出学习
feng的博客
01-17 787
前言 开始整数溢出的学习,这部分相对来说很简单了。 原理 64位的gcc-5.4的类型及字节数如下: 类型 字节 范围 short int 2byte(word) 032767(00x7fff) -32768-1(0x80000xffff) unsigned short int 2byte(word) 065535(00xffff) int 4byte(dword) 02147483647(00x7fffffff) -2147483648-1(0x800000000xffffffff
C语言的整型溢出问题
wuyangyang555的博客
10-03 3444
整型溢出有点老生常谈了,bla, bla, bla… 但似乎没有引起多少人的重视。整型溢出会有可能导致缓冲区溢出,缓冲区溢出会导致各种黑客攻击,比如最近OpenSSL的heartbleed事件,就是一个buffer overread的事件。在这里写下这篇文章,希望大家都了解一下整型溢出,编译器的行为,以及如何防范,以写出更安全的代码。
整数溢出~
最新发布
m0_74355719的博客
11-29 561
有符号上溢出:有符号正数0x7fffffff+1变成负数0x80000000。无符号下溢出:有符号数0x80000000-1变成正数0x7fffffff。数值有上下限范围,那么就不可避免会出现溢出的情况。无符号下溢出:0-1变成0xffffffff。无符号上溢出:0xffffffff+1=0。以32位int为例,以下有四种溢出整数溢出一般配合别的漏洞来使用。
为什么 在内存中为什么 0xffff 是 -1
luoganttcc的博客
04-06 1249
文章目录前言数在内存中是如何表示的?-1 的二进制编码 前言 数在内存中是如何表示的? 在计算机中数值是以二进制补码形式存在的。 正数的补码不变 负数的补码为 原码 ->取反 -> 加一 有符号二进制数–补码 -1 的二进制编码 +1 的二进制 (第一位是符号位) 0000 0000 0000 0001 -1 的二进制 (第一位是符号位) 1000 0000 0000 0001 -1 的二进制 (第一位是符号位) 1000 0000 0000 0001 -1 的二进制反码 11
微软面试算法题总结
wwxy1995的博客
09-05 3850
Leecode 84 第一题是数字三角形找最大和路径 (容易题) 第二题是二叉树中找两个节点的最近公共祖先节点 (最近公共祖先) 给定二叉树中的特定节点中序遍历后的下一个节点 (剑指offer) Leetcode 124 最大路径和 做题 (并查集) 有n个二维平面上的点和距离d,将它们分成k组。 若两点间的距离小于等于d,则这两个点在一组;如果点A和点B在一组,点B和点C在一组,则点A和点C...
算法笔记学习&&PAT甲级解题记录
Eucalypt的博客
07-02 750
算法笔记学习记录 2019.06.26 float&&double 推荐全部使用double,注意区分scanf("%lf",&double1);与printf("%f",double1); 分清%md,%0md,%.md以及可以合用%n.md getchar()&&putchar() getchar可以识别换行符\n bd>Ctrl/Co...
iOS 快速从OC过渡到Swift(4.1),由理论到实战
LOLITA0164的博客
08-27 1万+
引言 本文旨在帮助开发者快速从OC开发过渡到Swift开发,挑选了一些比较浅显的但是比较常用的Swift语法特性,在介绍的过程中,通常会拿OC中的语言特性作比较,让大家更好的注意到Swift的不同。 另外需要说明的是,笔者也仅仅是刚刚接触Swift不久,如果有说的不对的地方,还望指正,这里贴出Swift中文翻译地址,方便大家可以深入了解Swift。 Swift简介 Swift是一门开发...
C语言中有符号和无符号的区别(signed与unsigned)
IT日知录
10-04 3139
#include<stdio.h> int main(void) { //数类型 标识符=值 //无符号 unsigned 有符号singend(有符号可以省略) //有符号数是最高位为符号位,0代表正数,1代表负数。 //无符号数最高位不是符号位,而就是数的一部分,无符号数不可能是负数。 //%u——输出unsigned int类型-即表示输出一个无符号十进制整型数据 //% d——输出int类型 signed int a = -10; printf("%d\n", a);
8086汇编(5、进位加法)
a807719447的专栏
03-27 2835
废话不多说,直接开始写代码。普通指令,以及编程思想我就不介绍了。 寄存器大小位16位能存的最大值为0FFFFH=65535,那么如果相加的数值超过这个数产生了进位,那么寄存器不够存了,此时我们就需要用到进位加法指令 adc(add carry)进位加法在两数相加时会带上进位,就是我们平时的算术计算时的算法一样 FFFFH+1=10000H ax=0000 进位标志 CF=1 寄存器不够存我们可以把数据存哪里? 在加一个寄存器来存也可以 此时我们可以将低16位存ax 高16位存dx中那么如果两个寄存器还
关于0xffffff的简单讲解!!
weixin_30391339的博客
04-20 3880
如果是32位机器的话,在内存里面的存储形式就是这样的! 其中0x表示16进制,f在16进制中就表示十进制数15,这样0xffffff就表示一个16进制的数fffffff,例如: 0xf就表示16进制的f,也就是10进制的15. 0xff就表示16进制的ff,也就是10进制的(15*16+15)。此外,0xffffff和0x00ffffff 也是一样的! 测试实例: #...
整数溢出
weixin_45999107的博客
01-14 878
参考xctf的一道整数溢出 整数溢出三种类型: 溢出 只有有符号数才会发生溢出。有符号数最高位表示符号,在两正或两负相加时,有可能改变符号位的值,产生溢出 溢出标志 OF 可检测有符号数的溢出 回绕 无符号数 0-1 时会变成最大的数,如 1 字节的无符号数会变为 255,而 255+1 会变成最小数 0。 进位标志 CF 可检测无符号数的回绕 截断 将一个较大宽度的数存入一个宽度小的操作数中,...
movzx 与 movsx
爱杀之爪的矩阵
10-11 1116
从文件中取污染数据然后通过movsx来操作很容易出现问题,如果不加判断的话,好多文件类型的漏洞 都是这么导致的,例如excel  pdf .. 而movzx威胁就小很多,但是同样不容易忽视,例如取污染数据 movzx eax,[buffer+xx]   mo
关于0xffffffff 到底是什么意思?
热门推荐
wuxinliulei的专栏
05-31 5万+
0x16进制 一个f代表4个1,  所以就是2进制的32个1. 但是运行一下下面这个代码就会发现输出的是-1 #include using namespace std; int main() { int i = 0xffffffff; cout << i << endl; return 0; } 结果是 -1  因为int 为带符号类型,带符号类型最
64位有符号整数加法与溢出处理教程
标题和描述中包含的信息提示我们,这是一个关于64位有符号整数加法运算的场景,并特别指出了对溢出处理的要求。下面将详细阐述这些知识点: ### 标题分析 **test64SAdd64Sto64S.rar**:这个文件的名称直接告诉我们...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hollk

要不赏点?

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值