Pwn之整数溢出

最新推荐文章于 2024-11-19 20:01:23 发布
最新推荐文章于 2024-11-19 20:01:23 发布
阅读量2.1k 收藏 23
点赞数 29
CC 4.0 BY-SA版权
文章标签: c语言 安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Rinko233/article/details/143713601

0x00 整数

在 C 语言中,整数的基本数据类型分为短整型 (short),整型 (int),长整型 (long),这三个数据类型还分为有符号和无符号,每种数据类型都有各自的大小范围(编译器版本为64位gcc-5.4),如下所示:

类型字节范围
short int2byte(word)0~32767(0~0x7fff)
-32768~-1(0x8000~0xffff)
unsigned short int2byte(word)0~65535(0~0xffff)
int4byte(dword)0~2147483647(0~0x7fffffff)
-2147483648~-1(0x80000000~0xffffffff)
unsigned int4byte(dword)0~4294967295(0~0xffffffff)
long int8byte(qword)正: 0~0x7fffffffffffffff
负: 0x8000000000000000~0xffffffffffffffff
unsigned long int8byte(qword)0~0xffffffffffffffff

当程序中的数据超过其数据类型的范围,则会造成溢出,整数类型的溢出被称为整数溢出。

0x01 上界溢出

计算机底层指令是不区分有符号和无符号的,数据都是以二进制形式存在 (编译器的层面才对有符号和无符号进行区分,产生不同的汇编指令)。

# 伪代码
short int a;

a = a + 1;
# 对应的汇编
movzx  eax, word ptr [rbp - 0x1c]
add    eax, 1
mov    word ptr [rbp - 0x1c], ax

unsigned short int b;

b = b + 1;
# assembly code
add    word ptr [rbp - 0x1a], 1

 add 0x7fff, 1 == 0x8000,对无符号整型没有影响,但是在有符号短整型中,0x7fff 表示的是 32767,但是 0x8000 表示的是 -32768,用数学表达式来表示就是在有符号短整型中 32767+1 == -32768

 add eax, 1 == 0x10000,无符号的汇编代码是对内存进行加法运算 add word ptr [rbp - 0x1a], 1 == 0x0000。在有符号的加法中,虽然 eax 的结果为 0x10000,但是只把 ax=0x0000 的值储存到了内存中,从结果看和无符号是一样的。

再从数字层面看看这种溢出的结果,在有符号短整型中,0xffff==-1,-1 + 1 == 0,从有符号看这种计算没问题,但是在无符号短整型中,0xffff == 65535, 65535 + 1 == 0

0x02 下界溢出

下界溢出的道理和上界溢出一样,在汇编代码中,只是把 add 替换成了 sub

第一种是 sub 0x0000, 1 == 0xffff,对于有符号来说 0 - 1 == -1 没问题,但是对于无符号来说就成了 0 - 1 == 65535

第二种是 sub 0x8000, 1 == 0x7fff,对于无符号来说是 32768 - 1 == 32767 是正确的,但是对于有符号来说就变成了 -32768 - 1 = 32767

0x03 未限制范围

假设有一个固定大小的桶,往里面倒水,如果你没有限制倒入多少水,那么水则会从桶中溢出来。

一个有固定大小的东西,你没有对其进行约束,就会造成不可预期的后果。

示例:

#include<stddef.h>
int main(void)
{
    int len;
    int data_len;
    int header_len;
    char *buf;

    header_len = 0x10;
    scanf("%uld", &data_len);

    len = data_len+header_len
    buf = malloc(len);
    read(0, buf, data_len);
    return 0;
}

gdb调试输入-1,发现malloc申请了0xF大小的堆,但是可以输入0xFFFFFFFF长度的数据,即通过整型溢出发生堆溢出

0x04 错误的类型转换

void check(int n)
{
    if (!n)
        printf("vuln");
    else
        printf("OK");
}

int main(void)
{
    long int a;

    scanf("%ld", &a);
    if (a == 0)
        printf("Bad");
    else
        check(a);
    return 0;
}

输入一个大于int大小的值,程序会返回vuln,这是由于长整型a传入check函数后变成了范围小的整型变量n,造成了数据溢出。已经长整型的占有 8 byte 的内存空间,而整型只有 4 byte 的内存空间,所以当 long -> int,将会造成截断,只把长整型的低 4byte 的值传给整型变量。

而范围小的变量把值传给范围更大的变量时,就不会造成数据丢失。

有的函数会对输入的参数进行强制类型转换,比如read()的第三个参数指定了输入的长度,这个参数的类型为 size_t ,相当于 unsigned long int ,属于无符号长整型,如果这个参数被定义成有符号整型,输入-1会导致read可以读入很长一段数据。例题: 

$ cat test3.c
int main(void)
{
    int len, l;
    char buf[11];

    scanf("%d", &len);
    if (len < 10) {
        l = read(0, buf, len);
        *(buf+l) = 0;
        puts(buf);
    } else
        printf("Please len < 10");        
}
$ gcc test3.c
$ ./a.out
-1
aaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaa

 题目来源:整数溢出 - CTF Wiki

Rinko233
关注
CTFshow-PWN-栈溢出pwn49)两种方法+动调分析
Welcome To Myon'Blog !
06-09 1297
执行后,可以看到 0x80da000 往后部分为可读可写可执行权限。看似开了 canary 保护,实际没有,是 checksec 版本太老了,检测到 __stack_chk_fail 函数就算开了。看似和上一题一模一样,但是细心的小朋友应该注意到了,左边多出了很多函数,说明这个程序是静态链接的,静态链接就意味着没法去打 ret2libc了,还是无 system 无 /bin/sh,考虑打 ret2syscall。
pwn 整型溢出
清霂的博客
03-09 539
目录int_overflow 攻防世界r2t3 BUUoverflow int_overflow 攻防世界 file checksec ida32,进入login 输入一个用户名,再输入一个passwd,都无法直接栈溢出,进入check_passwd 发现v3是输入passwd的长度,v3是unsigned __int8类型范围是0~255 如果s的长度超过255,会变为(对s长度取模运算)得到的值。而s的长度不能大于0x199(409),取模后 v3>3&&v3<=
PWN-整数溢出
山高路远
04-06 1024
整数溢出 基础知识 数据类型以及所取的范围(环境为64位下使用gcc-5.4) 类型 字节 范围 short int 2byte(word) 0~32767(0~0x7fff) -32768~-1(0x8000~0xffff) unsigned short int 2byte(word) 0~65535(0~0xffff) int 4byte(dword) 0~2147483647(0~0x7fffffff) -2147483648~-1(0x80000000~0xfffffff
PWN整数溢出
qq_74259765的博客
11-19 891
转自ctfwiki-整数溢出部分
pwn学习整数溢出
至臻求学,胸怀云月
01-31 3389
整数溢出 ctf-wiki基础知识 请先浏览上述链接 类型 字节 范围 short int 2byte 0~0x7fff 0x8000~0xffff unsigned short int 2byte 0~0xffff int 4byte 0~0x7fffffff 0x80000000~0xffffffff unsigned int 4byte 0~0xffffffff ...
PWN整数溢出
2302_81899310的博客
09-11 448
在C语言中,整数的基本数据类型分为短整型(short),整形(int),长整型(long),每一个数据类型分为有符号数和无符号数,每种数据类型都有各自的大小范围。(数据类型的大小范围是由编译器决定的,所以以下范围默认是64位下使用gcc-5.4)当程序中的数据超过其数据类型的范围,就会造成溢出整数类型的溢出被称为整数溢出
Pwn(整数溢出漏洞)
神隐哥的博客
03-02 2202
漏洞介绍 整数就是没有小数的数字 在计算机中。有符号数用二进制表示。表示负数的时候。将二进制最高为来表示数字的符号,最高为是1就是负数。最高位是0就表是正数 当然。还有无符号数。也就是没有负数。 当我们尝试将一个数字范围为0-255的数字。 输入256时。就会溢出。返回0 输入257时。返回1 当有符号数溢出时。会从最小的值开始,-xxxxx然后依次+1 以下是各类符号范围大小漏洞危害 1: 数据截断 当发生溢出时。数据会被截断。 a\b\r为3个8位无符号整数。范围大小为0-255 a=11111111
pwn溢出——整数溢出漏洞分析
1匹黑马
04-01 2539
文章目录漏洞原理测试代码 漏洞原理 漏洞其实就是利用了本机宽度,我的环境是32位的XP, 因此它就有自己的最大宽度,当存储的值超过了本机宽度,就产生了整数溢出。 测试代码 #include <stdio.h> //头文件 int main() //程序入口 { FILE*fp; //定义文件流指针 char FileStr[20] = ...
pwn溢出10道练习题有writeup
01-04
5. **堆溢出**:虽然题目主要关注栈溢出,但了解堆溢出也很重要,因为它与栈溢出有许多相似之处。堆是另一种动态内存分配区域,其溢出可能导致内存破坏,也可能影响到其他堆块。 6. **编写exploit**:掌握如何编写...
Pwn_整数溢出
m0_56897090的博客
08-18 283
调用者: 被调用函数: 条件:size=0 | i=0 为什么i <= (size-1)能通过呢? 原来是[[整数溢出]],(size-1)该变量的类型原先是无符号整数(unsigned int64) ↓ 当size=0,size=size-1=-1(0xffff),汇编对于无符号负数转换:下界溢出 -1转换为无符号数是4294967295 所以i<=(size-1) ...
PWN -整数溢出
m0_57836225的博客
11-19 741
PWN 从入门到精通的系列学习中,第 17 节着重探讨整数溢出这一重要概念。整数溢出是编程中可能出现的一种安全漏洞,在安全攻防领域,尤其是 PWN 相关技术研究中具有重要意义。
pwn刷题num39----整数溢出
tbsqigongzi的博客
05-02 601
BUUCTF-PWN-bjdctf_2020_babyrop 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida看一下主函数 char buf; // [rsp+0h] [rbp-10h] ..... ...... ...... ........ if ( (signed int
EPS2.2 整数溢出漏洞分析到利用pwntools进行漏洞利用
giantbranch的专栏
04-01 2367
简介软件全称:Easy Internet Sharing Proxy Server 2.2因为有整数溢出,导致复制长度过长,覆盖SEH,导致任意代码执行分析来源:https://www.exploit-db.com/exploits/40760/因为k0shl在i春秋讲这个,我也实践一下实验环境 Windows 7 Sp1 32位 metasploit EPS 2.2 wi
PWN-整型溢出-攻防世界-PWN-int_overflow
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
09-24 2657
目录 整型溢出漏洞是什么 攻防世界-PWN-int_overflow exp 整型溢出漏洞是什么 整型是一个特定的变量类型,在32位的系统中,一个整数一般占32位,而在64位的系统中一个整数占64位,(下面主要介绍32位整型溢出)为了表示正负(有符号),需要最高位来决定数值的,下面列举一些常见的整型的数值范围 在c语言中有这样的规定: 对于unsigned整型的溢出溢出之后的数会和2^(8*字节)作模运算,例如一个unsigned char 溢出了,就会把溢出的数值与256求模 .
pwn--记录一道整数溢出
ysy___ysy的博客
10-28 284
如果输入一个超过 int 最大值的正整数,atoi 转换时可能会发生整数溢出,导致 val 被解释为一个负数,但这种情况下,val < 0 检查可能无法正确拦截,具体取决于编译器和系统的行为。即使 val < 0,由于整数溢出,程序可能不会正确检测,直接比较 doubled == -100,从而输出 flag。程序要求 doubled == -100,即 2 * val == -100,理论上 val 应该是 -50。目标是使 2 * val == -100,即 val == -50。
1.pwn的汇编基础(提及第一个溢出整数溢出
2301_80361487的博客
07-06 1755
RIP指针用于存储CPU下一条将会执行的指针,不能直接修改,正常情况下会每一次运行一条指令自增一条指令的长度,当发生跳转时才会以其他形式改变其值。深入底层后,计算机其实很笨,只能完成一些很基本的操作,但是速度很快机器码就是一个个01组成的,为了方便人类阅读,一般都以16进制呈现。高级语言经过编译之后,经过编译器处理,被打包成一个可执行文件的格式,RSP为栈顶指针,RBP为栈底指针,二者用于维护程序运行时的函数,在之后的调用约定一节会对其进行讲解。在当前主流的操作系统中,都是以字节(B)为寻址单位进行寻址,
buuctf pwn (第三波)学会利用整数溢出
月阴荒的博客
04-04 831
bjdctf_2020_babystack2 https://www.cnblogs.com/bhxdn/p/12331035.html
pwn刷题num4---整数溢出上溢+栈溢出
tbsqigongzi的博客
04-21 904
攻防世界pwn新手区int_overflow 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位,小端序 开启部分RELRO---got表仍可写 未开启canary保护---存在栈溢出 开启NX保护----注入的shellcode不可执行 未开启PIE----程序地址为真实地址 动态链接 程序运行后让我们选择login(登陆)或exit(退出) 选1,之后输入username(用户名),之后输入passwd(密码),最后只给我们一个success 直接ida看伪代码
pwn溢出 64位
最新发布
02-19
### 关于64位系统PWN溢出漏洞利用 #### 函数调用约定差异 在32位和64位Linux环境中,函数参数传递方式存在显著不同。对于64位系统而言,前六个整数或指针类型的参数通过寄存器(`rdi`, `rsi`, `rdx`, `rcx`, `r8`, `r9`)而非栈来传递[^1]。 #### 地址空间布局随机化(ASLR) 现代操作系统引入了地址空间布局随机化技术,使得每次启动进程时内存中的各个部分位置都会发生变化。这增加了预测返回地址难度,在一定程度上缓解了传统栈溢出攻击方法的有效性[^2]。 #### 返回导向编程(Return-Oriented Programming, ROP) 面对启用NX bit保护机制以及开启ASLR的情况下,ROP成为一种有效的绕过策略。该技巧涉及寻找并链接一系列存在于合法二进制文件内的短小指令序列(gadgets),最终构建起能够执行恶意操作的代码片段[^3]。 #### 利用流程实例解析 假设目标应用程序存在未受限制的strcpy()调用,则可能允许攻击者覆盖存储于栈帧底部附近的返回地址。此时如果已知libc库加载基址或其他有用信息的话,就可以尝试构造payload以跳转至system("/bin/sh")这样的敏感API入口处[^4]。 ```python from pwn import * # 建立远程连接对象 conn = remote('target_ip', port) # 构造Payload offset = 0xdeadbeef # 替换成实际偏移量 ret_addr = pack('<Q', target_function_address) nop_sled = asm('nop') * (offset - len(ret_addr)) shellcode = asm(shellcraft.sh()) payload = nop_sled + ret_addr + shellcode # 发送Payload给服务端 conn.sendline(payload) # 进入交互模式等待命令执行结果 conn.interactive() ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值