關注「嵌入式大雜燴」，星標公眾號，一起進步！

來源：博客園

一、什么是整數溢出

由于整數在內存里面保存在一個固定長度的空間內，它能存儲的最大值和最小值是固定的，如果我們嘗試去存儲一個數，而這個數又大于這個固定的最大值時，就會導致整數溢出。（x86-32 的數據模型是 ILP32，即整數（Int）、長整數（Long）和指針（Pointer）都是 32 位。）

二、溢出類型及表現

1、溢出

只有符號的數才會發(fā)生溢出。對于signed整型的溢出，C的規(guī)范定義是“undefined behavior”，也就是說，編譯器愛怎么實現就怎么實現。對于大多數編譯器來說，仍然是回繞。

2、回繞

無符號數會回繞（常繞過一些判斷語句）。對于unsigned整型溢出，C的規(guī)范是有定義的——“溢出后的數會以2^(8*sizeof(type))作模運算”，也就是說，如果一個unsigned char（1字符，8bits）溢出了，會把溢出的值與256求模。例如：

unsigned?char?x?=?0xff;
printf("%d\n",? x);
上面的代碼會輸出：0 （因為0xff 1是256，與2^8求模后就是0）

3、截斷

將一個較大寬度的數存入一個寬度小的操作數中，高位發(fā)生截斷

三、簡單了解整數溢出的危害

1、整數回繞之后，會導致索引越界，取到不確定的數據。

2、或者判斷失效，形成死循環(huán)。

3、回繞之后，導致分配超大內存。

四、Keil將變量加入Watch后，如果溢出顯示的值后會帶個“？”號

觀察到這種情況就要注意了。

五、例子

第一種情況——有符合號溢出舉個例子：

int?i;
i?=?INT_MAX;?//?2?147?483?647
i ;?
printf("i?=?%d\n",?i);?//?i?=?-2?147?483?648


第二種情況——無符號回繞舉個列子：

unsigned?int?ui;
ui?=?UINT_MAX;?//?在?x86-32?上為?4?294?967?295?
ui ;
printf("ui?=?%u\n",?ui);?//?ui?=?0
ui?=?0;
ui--;?
printf("ui?=?%u\n",?ui);?//?在?x86-32?上，ui?=?4?294?967?295


第三種情況——高位截斷截斷舉倆例子：

加法截斷：

0xffffffff 0x00000001

= 0x0000000100000000 (long long)

= 0x00000000 (long)

乘法截斷：

0x00123456 * 0x00654321

= 0x000007336BF94116 (long long)

= 0x6BF94116 (long)

漏洞多發(fā)的函數

1、memcpy(void *dest, const void *src, size_t n)函數

2、strncpy(char *dest,const char *scr, size_t n)函數

ps說明：其中參數n，是size_t類型，size_t是一個無符號整型的類型。

C語言源碼示例：

示例一：

char?buf[80];
void?vulnerable()?
{
????int?len?=?read_int_from_network();
????char?*p?=?read_string_from_network();
????if?(len?>?80)?
????{
????????error("length?too?large:?bad?dog,?no?cookie?for?you!");
????????return;
????}
????memcpy(buf,?p,?len);
}
當給len賦值為負數時，可繞過if判斷，因為memcpy()函數中 的len是size_t類型會把負數len轉換為整數，當len被賦值后絕對值很大時就會復制大量的內容到buf中，發(fā)生溢出。

示例二：

void?vulnerable()?
{
????size_t?len;
????//?int?len;
????char*?buf;

????len?=?read_int_from_network();
????buf?=?malloc(len? ?5);
????read(fd,?buf,?len);
????...
}
這個例子看似避開了緩沖區(qū)溢出的問題，但是如果 len 過大，len 5 有可能發(fā)生回繞。

比如說，在 x86-32 上，如果 len = 0xFFFFFFFF，則 len 5 = 0x00000004，這時 malloc() 只分配了 4 字節(jié)的內存區(qū)域，然后在里面寫入大量的數據，緩沖區(qū)溢出也就發(fā)生了。（如果將 len 聲明為有符號 int 類型，len 5 可能發(fā)生溢出）

示例三：

void?main(int?argc,?char?*argv[])?
{
????unsigned?short?int?total;
????total?=?strlen(argv[1])? ?strlen(argv[2])? ?1;
????char?*buf?=?(char?*)malloc(total);
????strcpy(buf,?argv[1]);
????strcat(buf,?argv[2]);
????...
}
這個例子接受兩個字符串類型的參數并計算它們的總長度，程序分配足夠的內存來存儲拼接后的字符串。

首先將第一個字符串參數復制到緩沖區(qū)中，然后將第二個參數連接到尾部。如果攻擊者提供的兩個字符串總長度無法用 total 表示，則會發(fā)生截斷，從而導致后面的緩沖區(qū)溢出。

來源：https://www.cnblogs.com/jopny

本文來源網絡，版權歸原作者所有。如涉及作品版權問題，請聯系我進行刪除。