關(guān)注「嵌入式大雜燴」，星標(biāo)公眾號(hào)，一起進(jìn)步！

來(lái)源：博客園

一、什么是整數(shù)溢出

由于整數(shù)在內(nèi)存里面保存在一個(gè)固定長(zhǎng)度的空間內(nèi)，它能存儲(chǔ)的最大值和最小值是固定的，如果我們嘗試去存儲(chǔ)一個(gè)數(shù)，而這個(gè)數(shù)又大于這個(gè)固定的最大值時(shí)，就會(huì)導(dǎo)致整數(shù)溢出。（x86-32 的數(shù)據(jù)模型是 ILP32，即整數(shù)（Int）、長(zhǎng)整數(shù)（Long）和指針（Pointer）都是 32 位。）

二、溢出類型及表現(xiàn)

1、溢出

只有符號(hào)的數(shù)才會(huì)發(fā)生溢出。對(duì)于signed整型的溢出，C的規(guī)范定義是“undefined behavior”，也就是說(shuō)，編譯器愛怎么實(shí)現(xiàn)就怎么實(shí)現(xiàn)。對(duì)于大多數(shù)編譯器來(lái)說(shuō)，仍然是回繞。

2、回繞

無(wú)符號(hào)數(shù)會(huì)回繞（常繞過(guò)一些判斷語(yǔ)句）。對(duì)于unsigned整型溢出，C的規(guī)范是有定義的——“溢出后的數(shù)會(huì)以2^(8*sizeof(type))作模運(yùn)算”，也就是說(shuō)，如果一個(gè)unsigned char（1字符，8bits）溢出了，會(huì)把溢出的值與256求模。例如：

unsigned?char?x?=?0xff;
printf("%d\n",? x);
上面的代碼會(huì)輸出：0 （因?yàn)?xff 1是256，與2^8求模后就是0）

3、截?cái)?/span>

將一個(gè)較大寬度的數(shù)存入一個(gè)寬度小的操作數(shù)中，高位發(fā)生截?cái)?/p>

三、簡(jiǎn)單了解整數(shù)溢出的危害

1、整數(shù)回繞之后，會(huì)導(dǎo)致索引越界，取到不確定的數(shù)據(jù)。

2、或者判斷失效，形成死循環(huán)。

3、回繞之后，導(dǎo)致分配超大內(nèi)存。

四、Keil將變量加入Watch后，如果溢出顯示的值后會(huì)帶個(gè)“？”號(hào)

觀察到這種情況就要注意了。

五、例子

第一種情況——有符合號(hào)溢出舉個(gè)例子：

int?i;
i?=?INT_MAX;?//?2?147?483?647
i ;?
printf("i?=?%d\n",?i);?//?i?=?-2?147?483?648


第二種情況——無(wú)符號(hào)回繞舉個(gè)列子：

unsigned?int?ui;
ui?=?UINT_MAX;?//?在?x86-32?上為?4?294?967?295?
ui ;
printf("ui?=?%u\n",?ui);?//?ui?=?0
ui?=?0;
ui--;?
printf("ui?=?%u\n",?ui);?//?在?x86-32?上，ui?=?4?294?967?295


第三種情況——高位截?cái)嘟財(cái)嗯e倆例子：

加法截?cái)啵?/p>0xffffffff 0x00000001

= 0x0000000100000000 (long long)

= 0x00000000 (long)

乘法截?cái)啵?/p>0x00123456 * 0x00654321

= 0x000007336BF94116 (long long)

= 0x6BF94116 (long)

漏洞多發(fā)的函數(shù)

1、memcpy(void *dest, const void *src, size_t n)函數(shù)

2、strncpy(char *dest,const char *scr, size_t n)函數(shù)

ps說(shuō)明：其中參數(shù)n，是size_t類型，size_t是一個(gè)無(wú)符號(hào)整型的類型。

C語(yǔ)言源碼示例：

示例一：

char?buf[80];
void?vulnerable()?
{
????int?len?=?read_int_from_network();
????char?*p?=?read_string_from_network();
????if?(len?>?80)?
????{
????????error("length?too?large:?bad?dog,?no?cookie?for?you!");
????????return;
????}
????memcpy(buf,?p,?len);
}
當(dāng)給len賦值為負(fù)數(shù)時(shí)，可繞過(guò)if判斷，因?yàn)閙emcpy()函數(shù)中 的len是size_t類型會(huì)把負(fù)數(shù)len轉(zhuǎn)換為整數(shù)，當(dāng)len被賦值后絕對(duì)值很大時(shí)就會(huì)復(fù)制大量的內(nèi)容到buf中，發(fā)生溢出。

示例二：

void?vulnerable()?
{
????size_t?len;
????//?int?len;
????char*?buf;

????len?=?read_int_from_network();
????buf?=?malloc(len? ?5);
????read(fd,?buf,?len);
????...
}
這個(gè)例子看似避開了緩沖區(qū)溢出的問(wèn)題，但是如果 len 過(guò)大，len 5 有可能發(fā)生回繞。

比如說(shuō)，在 x86-32 上，如果 len = 0xFFFFFFFF，則 len 5 = 0x00000004，這時(shí) malloc() 只分配了 4 字節(jié)的內(nèi)存區(qū)域，然后在里面寫入大量的數(shù)據(jù)，緩沖區(qū)溢出也就發(fā)生了。（如果將 len 聲明為有符號(hào) int 類型，len 5 可能發(fā)生溢出）

示例三：

void?main(int?argc,?char?*argv[])?
{
????unsigned?short?int?total;
????total?=?strlen(argv[1])? ?strlen(argv[2])? ?1;
????char?*buf?=?(char?*)malloc(total);
????strcpy(buf,?argv[1]);
????strcat(buf,?argv[2]);
????...
}
這個(gè)例子接受兩個(gè)字符串類型的參數(shù)并計(jì)算它們的總長(zhǎng)度，程序分配足夠的內(nèi)存來(lái)存儲(chǔ)拼接后的字符串。

首先將第一個(gè)字符串參數(shù)復(fù)制到緩沖區(qū)中，然后將第二個(gè)參數(shù)連接到尾部。如果攻擊者提供的兩個(gè)字符串總長(zhǎng)度無(wú)法用 total 表示，則會(huì)發(fā)生截?cái)啵瑥亩鴮?dǎo)致后面的緩沖區(qū)溢出。

來(lái)源：https://www.cnblogs.com/jopny

本文來(lái)源網(wǎng)絡(luò)，版權(quán)歸原作者所有。如涉及作品版權(quán)問(wèn)題，請(qǐng)聯(lián)系我進(jìn)行刪除。