C語(yǔ)言因直接操作內(nèi)存和高效性被廣泛應(yīng)用于系統(tǒng)級(jí)開(kāi)發(fā)，但其缺乏邊界檢查的機(jī)制導(dǎo)致整數(shù)溢出成為安全漏洞的高發(fā)區(qū)。從符號(hào)轉(zhuǎn)換漏洞到無(wú)符號(hào)整數(shù)(unsigned)繞過(guò)安全檢查，攻擊者通過(guò)精心構(gòu)造的輸入觸發(fā)溢出，進(jìn)而實(shí)現(xiàn)緩沖區(qū)溢出、權(quán)限提升甚至遠(yuǎn)程代碼執(zhí)行。本文結(jié)合典型漏洞案例，深入剖析整數(shù)溢出的攻擊原理與防御策略。

一、符號(hào)轉(zhuǎn)換漏洞：從類型不匹配到任意內(nèi)存寫入

符號(hào)轉(zhuǎn)換漏洞通常發(fā)生在有符號(hào)整數(shù)(signed)與無(wú)符號(hào)整數(shù)(unsigned)混合使用時(shí)。C語(yǔ)言在類型轉(zhuǎn)換時(shí)遵循“算術(shù)轉(zhuǎn)換規(guī)則”，即當(dāng)有符號(hào)數(shù)與無(wú)符號(hào)數(shù)參與運(yùn)算時(shí)，有符號(hào)數(shù)會(huì)被隱式轉(zhuǎn)換為無(wú)符號(hào)數(shù)。若未對(duì)輸入范圍進(jìn)行嚴(yán)格校驗(yàn)，攻擊者可利用此特性繞過(guò)安全檢查。

典型案例：OpenSSH遠(yuǎn)程緩沖區(qū)溢出漏洞

在OpenSSH的auth2-chall.c文件中，input_userauth_info_response()函數(shù)存在整數(shù)溢出漏洞：

nresp = packet_get_int(); // 讀取網(wǎng)絡(luò)數(shù)據(jù)包中的整數(shù)值

if (nresp > 0) { // 檢查nresp是否為正數(shù)

response = xmalloc(nresp * sizeof(char *)); // 分配內(nèi)存

for (i = 0; i < nresp; i++) {

response[i] = packet_get_string(NULL); // 讀取字符串

}

}

攻擊原理：

符號(hào)轉(zhuǎn)換繞過(guò)檢查：packet_get_int()返回的nresp為有符號(hào)整數(shù)，但xmalloc的參數(shù)類型為size_t(無(wú)符號(hào)整數(shù))。若攻擊者發(fā)送負(fù)數(shù)(如-1)，在比較nresp > 0時(shí)會(huì)被視為無(wú)符號(hào)數(shù)0xFFFFFFFF(32位系統(tǒng))，從而繞過(guò)檢查。

整數(shù)溢出導(dǎo)致堆溢出：nresp * sizeof(char *)的計(jì)算中，-1的無(wú)符號(hào)轉(zhuǎn)換值為0xFFFFFFFF，乘以4后發(fā)生溢出(結(jié)果為0x00000004)，導(dǎo)致xmalloc僅分配4字節(jié)內(nèi)存。后續(xù)循環(huán)寫入大量數(shù)據(jù)時(shí)，覆蓋堆內(nèi)存中的函數(shù)指針或元數(shù)據(jù)，最終實(shí)現(xiàn)任意代碼執(zhí)行。

防御策略：

嚴(yán)格類型匹配：避免有符號(hào)與無(wú)符號(hào)數(shù)混合運(yùn)算，統(tǒng)一使用size_t處理內(nèi)存相關(guān)操作。

輸入范圍校驗(yàn)：在分配內(nèi)存前，顯式檢查nresp是否超過(guò)合理閾值(如nresp < MAX_ALLOWED_SIZE)。

使用安全函數(shù)：改用帶邊界檢查的內(nèi)存分配函數(shù)(如calloc替代malloc)。

二、unsigned繞過(guò)安全檢查：從回繞到緩沖區(qū)溢出

無(wú)符號(hào)整數(shù)溢出在C語(yǔ)言中是“定義明確的行為”(undefined behavior的例外)，即發(fā)生溢出時(shí)會(huì)對(duì)類型位寬取模。攻擊者利用此特性構(gòu)造輸入，使安全檢查失效并觸發(fā)溢出。

典型案例：字符串拼接緩沖區(qū)溢出

以下代碼片段試圖將兩個(gè)用戶輸入的字符串拼接至固定大小的緩沖區(qū)：

void concat_strings(char *str1, char *str2) {

size_t len1 = strlen(str1);

size_t len2 = strlen(str2);

char buf[256];

if (len1 + len2 < sizeof(buf)) { // 檢查總長(zhǎng)度是否超過(guò)緩沖區(qū)

memcpy(buf, str1, len1);

memcpy(buf + len1, str2, len2);

buf[len1 + len2] = '\0';

}

}

攻擊原理：

無(wú)符號(hào)整數(shù)回繞繞過(guò)檢查：若len1和len2均為較大值(如0x100和0xFFFFFF00)，len1 + len2會(huì)發(fā)生溢出(結(jié)果為0x100 + 0xFFFFFF00 = 0x00000000)，導(dǎo)致條件len1 + len2 < sizeof(buf)成立。

緩沖區(qū)溢出：實(shí)際拼接時(shí)，memcpy會(huì)寫入超過(guò)buf大小的數(shù)據(jù)，覆蓋棧上的返回地址或函數(shù)指針，實(shí)現(xiàn)控制流劫持。

防御策略：

顯式溢出檢查：在計(jì)算長(zhǎng)度前，檢查len1或len2是否接近SIZE_MAX - sizeof(buf)。

使用安全函數(shù)：改用snprintf或strlcpy等帶長(zhǎng)度限制的字符串操作函數(shù)。

靜態(tài)分析工具：通過(guò)Coverity、Clang Static Analyzer等工具檢測(cè)潛在溢出風(fēng)險(xiǎn)。

三、整數(shù)溢出攻擊的衍生場(chǎng)景

1. 循環(huán)條件繞過(guò)

以下代碼試圖限制循環(huán)次數(shù)以避免緩沖區(qū)溢出：

void read_data(int fd, char *buf, size_t max_len) {

int len = 0;

while (len < max_len) { // 檢查已讀取長(zhǎng)度

len += read(fd, buf + len, max_len - len); // 讀取數(shù)據(jù)

}

}

攻擊原理：

若max_len為INT_MAX，且read返回負(fù)數(shù)(如-1)，len會(huì)因符號(hào)轉(zhuǎn)換變?yōu)?xFFFFFFFF，導(dǎo)致循環(huán)條件len < max_len恒成立，最終觸發(fā)無(wú)限循環(huán)或緩沖區(qū)溢出。

防御策略：

檢查返回值：確保read的返回值非負(fù)，且len不會(huì)超過(guò)max_len。

使用無(wú)符號(hào)類型：將len聲明為size_t以避免符號(hào)問(wèn)題。

2. 數(shù)組越界訪問(wèn)

以下代碼通過(guò)用戶輸入的索引訪問(wèn)數(shù)組：

int get_array_element(int *arr, int index, size_t size) {

if (index >= 0 && index < size) { // 檢查索引范圍

return arr[index];

}

return -1;

}

攻擊原理：

若size為INT_MAX，攻擊者傳入index = -1，在比較index < size時(shí)，-1會(huì)被轉(zhuǎn)換為無(wú)符號(hào)數(shù)0xFFFFFFFF，導(dǎo)致條件成立并訪問(wèn)非法內(nèi)存。

防御策略：

統(tǒng)一使用無(wú)符號(hào)索引：將index聲明為size_t，并確保size為合理值。

邊界檢查：在訪問(wèn)數(shù)組前，顯式檢查index是否小于size。

四、防御整數(shù)溢出的通用策略

編譯器選項(xiàng)：?jiǎn)⒂?fsanitize=undefined等編譯選項(xiàng)，在運(yùn)行時(shí)檢測(cè)溢出。

靜態(tài)分析：通過(guò)SonarQube、Fortify等工具掃描代碼中的潛在溢出風(fēng)險(xiǎn)。

安全編碼規(guī)范：

避免混合使用有符號(hào)與無(wú)符號(hào)整數(shù)。

對(duì)用戶輸入進(jìn)行嚴(yán)格校驗(yàn)。

使用安全的數(shù)學(xué)庫(kù)(如SafeInt、Arbitrary Precision Arithmetic)。

總結(jié)

C語(yǔ)言整數(shù)溢出的攻擊面廣泛，涵蓋符號(hào)轉(zhuǎn)換漏洞、無(wú)符號(hào)整數(shù)回繞、循環(huán)條件繞過(guò)等多種場(chǎng)景。攻擊者通過(guò)精心構(gòu)造輸入，利用C語(yǔ)言的隱式類型轉(zhuǎn)換和未定義行為，繞過(guò)安全檢查并觸發(fā)緩沖區(qū)溢出或控制流劫持。開(kāi)發(fā)者需通過(guò)嚴(yán)格的輸入校驗(yàn)、類型安全編程和安全工具輔助，構(gòu)建多層次的防御體系，從根本上降低整數(shù)溢出漏洞的風(fēng)險(xiǎn)。