PWN整数溢出

最新推荐文章于 2024-11-19 20:01:23 发布
原创 最新推荐文章于 2024-11-19 20:01:23 发布 · 630 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据结构

在C语言中,整数的基本数据类型分为短整型(short),整形(int),长整型(long),每一个数据类型分为有符号数和无符号数,每种数据类型都有各自的大小范围。(数据类型的大小范围是由编译器决定的,所以以下范围默认是64位下使用gcc-5.4)

当程序中的数据超过其数据类型的范围,就会造成溢出,整数类型的溢出被称为整数溢出。

利用

1.特殊数字绕过

在计算机中 int64 是8字节 是16个字符 0x8000 0000 0000 0000 = -0x8000 0000 0000 0000

可以利用这一特性绕过计算机的部分检测

2.溢出

计算机中有4种溢出情况,以32位整数为例

  • 无符号上溢:无符号数0xffffffff加1会变成0
  • 无符号下溢:无符号数减去1会变成0xffffffff,即-1
  • 有符号上溢:有符号正数0xffffffff加1变成0x80000000,即从2147483647变成了2147483647
  • 有符号下溢:有符号负数 0x80000000 减去 1 变成 0x7fffffff,即从-2147483648 变成了 2147483647

有一个经典的整数溢出例子就是C语言中的abs函数,int abs(int x),该函数的作用是返回x的绝对值。但是当abs函数的参数是0x8000 0000即-2147483648的时候,它本来应当返回2147483648,但是正整数的范围是0-2147483647,所以它的返回值是2147483647+1=-2147483648,还是它本身。

3.符号转换类漏洞

此漏洞通常会出现在把范围大的变量值赋值给范围小的变量,64位下long->int,会造成截断,智慧把长整型的低4byte的值传给整形变量,比如把long类型的0x1 0000 0010 赋值给int类型的变量就会变成0x10

符号转换类漏洞也会出现在把signed变量赋值给unsigned变量,例:

#include<stdio.h>
void main()
{
    char buf[32];
    int len;
    puts("give your len:");
    scanf("%d",&len);
    if(len>32)
    len=32;
    puts("give your data:");
    read(0,buf,len);
    return;
}

正常来说len变量应该为有符号整数类型,但是该代码未对len进行约束,如果我们输入-1,那么在read函数里的len就会按照有符号整数类型进行解析变成0xffffffff,那么buf变量的输入长度就会变得很大,间接造成栈溢出。

igiohhh
关注
PWN-整数溢出
山高路远
04-06 1069
整数溢出 基础知识 数据类型以及所取的范围(环境为64位下使用gcc-5.4) 类型 字节 范围 short int 2byte(word) 0~32767(0~0x7fff) -32768~-1(0x8000~0xffff) unsigned short int 2byte(word) 0~65535(0~0xffff) int 4byte(dword) 0~2147483647(0~0x7fffffff) -2147483648~-1(0x80000000~0xfffffff
pwn 整型溢出
清霂的博客
03-09 574
目录int_overflow 攻防世界r2t3 BUUoverflow int_overflow 攻防世界 file checksec ida32,进入login 输入一个用户名,再输入一个passwd,都无法直接栈溢出,进入check_passwd 发现v3是输入passwd的长度,v3是unsigned __int8类型范围是0~255 如果s的长度超过255,会变为(对s长度取模运算)得到的值。而s的长度不能大于0x199(409),取模后 v3>3&&v3<=
pwn刷题num39----整数溢出
tbsqigongzi的博客
05-02 645
BUUCTF-PWN-bjdctf_2020_babyrop 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida看一下主函数 char buf; // [rsp+0h] [rbp-10h] ..... ...... ...... ........ if ( (signed int
Pwn整数溢出
Rinko233的博客
11-12 2393
Pwn中可能出现的整数溢出
Pwn(整数溢出漏洞)
神隐哥的博客
03-02 2281
漏洞介绍 整数就是没有小数的数字 在计算机中。有符号数用二进制表示。表示负数的时候。将二进制最高为来表示数字的符号,最高为是1就是负数。最高位是0就表是正数 当然。还有无符号数。也就是没有负数。 当我们尝试将一个数字范围为0-255的数字。 输入256时。就会溢出。返回0 输入257时。返回1 当有符号数溢出时。会从最小的值开始,-xxxxx然后依次+1 以下是各类符号范围大小漏洞危害 1: 数据截断 当发生溢出时。数据会被截断。 a\b\r为3个8位无符号整数。范围大小为0-255 a=11111111
PWN · IntegerOverflow & ret2text】[BJDCTF 2020]babystack2.0
Mr_Fmnwon的博客
05-27 1345
整数溢出漏洞——对于有/无符号数,长/短位宽转换时机器码的变换策略所指。整数溢出一般与其他堆栈溢出相结合,然而其中的内容其实远不止这些,还需要深层次刷题,进一步掌握了解整数溢出
BUUCTF-pwn2_sctf_2016(整数溢出+泄露libc)
半岛铁盒的博客
08-02 685
32位开启了nx保护 没有看到system和‘/bin/sh’,开启了NX保护,是泄露libc类型的题目 main函数就调用了一个vuln函数 7行的输入函数不是get,是程序自定义的函数get_n a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。也就是说我们这边可以输入负数来达到溢出的效果(整数溢出) 一开始输入负数,绕过长度限制,造成溢出 利用printf函数泄露程序的libc版本,去算出system和‘/bin/sh‘的地址 溢出覆盖返回地址去执行sy
PWN整数溢出
qq_74259765的博客
11-19 1041
转自ctfwiki-整数溢出部分
pwn学习(整数溢出
至臻求学,胸怀云月
01-31 3543
整数溢出 ctf-wiki基础知识 请先浏览上述链接 类型 字节 范围 short int 2byte 0~0x7fff 0x8000~0xffff unsigned short int 2byte 0~0xffff int 4byte 0~0x7fffffff 0x80000000~0xffffffff unsigned int 4byte 0~0xffffffff ...
PWN -整数溢出
m0_57836225的博客
11-19 940
PWN 从入门到精通的系列学习中,第 17 节着重探讨整数溢出这一重要概念。整数溢出是编程中可能出现的一种安全漏洞,在安全攻防领域,尤其是 PWN 相关技术研究中具有重要意义。
Pwn_整数溢出
m0_56897090的博客
08-18 315
调用者: 被调用函数: 条件:size=0 | i=0 为什么i <= (size-1)能通过呢? 原来是[[整数溢出]],(size-1)该变量的类型原先是无符号整数(unsigned int64) ↓ 当size=0,size=size-1=-1(0xffff),汇编对于无符号负数转换:下界溢出 -1转换为无符号数是4294967295 所以i<=(size-1) ...
buuctf pwn (第三波)学会利用整数溢出
月阴荒的博客
04-04 878
bjdctf_2020_babystack2 https://www.cnblogs.com/bhxdn/p/12331035.html
PWN-整型溢出-攻防世界-PWN-int_overflow
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
09-24 2816
目录 整型溢出漏洞是什么 攻防世界-PWN-int_overflow exp 整型溢出漏洞是什么 整型是一个特定的变量类型,在32位的系统中,一个整数一般占32位,而在64位的系统中一个整数占64位,(下面主要介绍32位整型溢出)为了表示正负(有符号),需要最高位来决定数值的,下面列举一些常见的整型的数值范围 在c语言中有这样的规定: 对于unsigned整型的溢出溢出之后的数会和2^(8*字节)作模运算,例如一个unsigned char 溢出了,就会把溢出的数值与256求模 .
pwn--记录一道整数溢出
ysy___ysy的博客
10-28 400
如果输入一个超过 int 最大值的正整数,atoi 转换时可能会发生整数溢出,导致 val 被解释为一个负数,但这种情况下,val < 0 检查可能无法正确拦截,具体取决于编译器和系统的行为。即使 val < 0,由于整数溢出,程序可能不会正确检测,直接比较 doubled == -100,从而输出 flag。程序要求 doubled == -100,即 2 * val == -100,理论上 val 应该是 -50。目标是使 2 * val == -100,即 val == -50。
pwn刷题num4---整数溢出上溢+栈溢出
tbsqigongzi的博客
04-21 936
攻防世界pwn新手区int_overflow 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位,小端序 开启部分RELRO---got表仍可写 未开启canary保护---存在栈溢出 开启NX保护----注入的shellcode不可执行 未开启PIE----程序地址为真实地址 动态链接 程序运行后让我们选择login(登陆)或exit(退出) 选1,之后输入username(用户名),之后输入passwd(密码),最后只给我们一个success 直接ida看伪代码
1.pwn的汇编基础(提及第一个溢出整数溢出
2301_80361487的博客
07-06 1904
RIP指针用于存储CPU下一条将会执行的指针,不能直接修改,正常情况下会每一次运行一条指令自增一条指令的长度,当发生跳转时才会以其他形式改变其值。深入底层后,计算机其实很笨,只能完成一些很基本的操作,但是速度很快机器码就是一个个01组成的,为了方便人类阅读,一般都以16进制呈现。高级语言经过编译之后,经过编译器处理,被打包成一个可执行文件的格式,RSP为栈顶指针,RBP为栈底指针,二者用于维护程序运行时的函数,在之后的调用约定一节会对其进行讲解。在当前主流的操作系统中,都是以字节(B)为寻址单位进行寻址,
CTF PWN-攻防世界Overflow整数溢出漏洞
道阻且长,行则将至
07-29 2723
本文学习了缓冲区溢出漏洞常见的一种场景:整数溢出。一旦不认真考虑整数变量的范围,此类漏洞缺陷很容易在程序员的编码过程中发生,这也是安全工作人员需要注意审计的地方。
简单的整数溢出
Pwnpanda的博客
12-14 3046
首先说一下原理 为什么会出现整数溢出? 因为机器底层只能处理01串,也就是说底层本身是无法识别有符号数和无符号数的,这些规定是存在于编辑器层面,在C语言中,整数的基本类型有以下几种(图片来源:CTF Wiki) 溢出又分上溢出和下溢出溢出: 当出现0x7fff+1,或者0xffff+1的时候,假设0x7fff是无符号数,那么+1之后就是0 下溢出: 例如0x0000-1 -&gt; 0xff...
pwn溢出 64位
最新发布
02-19
### 关于64位系统PWN溢出漏洞利用 #### 函数调用约定差异 在32位和64位Linux环境中,函数参数传递方式存在显著不同。对于64位系统而言,前六个整数或指针类型的参数通过寄存器(`rdi`, `rsi`, `rdx`, `rcx`, `r8`, `r9`)而非栈来传递[^1]。 #### 地址空间布局随机化(ASLR) 现代操作系统引入了地址空间布局随机化技术,使得每次启动进程时内存中的各个部分位置都会发生变化。这增加了预测返回地址难度,在一定程度上缓解了传统栈溢出攻击方法的有效性[^2]。 #### 返回导向编程(Return-Oriented Programming, ROP) 面对启用NX bit保护机制以及开启ASLR的情况下,ROP成为一种有效的绕过策略。该技巧涉及寻找并链接一系列存在于合法二进制文件内的短小指令序列(gadgets),最终构建起能够执行恶意操作的代码片段[^3]。 #### 利用流程实例解析 假设目标应用程序存在未受限制的strcpy()调用,则可能允许攻击者覆盖存储于栈帧底部附近的返回地址。此时如果已知libc库加载基址或其他有用信息的话,就可以尝试构造payload以跳转至system("/bin/sh")这样的敏感API入口处[^4]。 ```python from pwn import * # 建立远程连接对象 conn = remote('target_ip', port) # 构造Payload offset = 0xdeadbeef # 替换成实际偏移量 ret_addr = pack('<Q', target_function_address) nop_sled = asm('nop') * (offset - len(ret_addr)) shellcode = asm(shellcraft.sh()) payload = nop_sled + ret_addr + shellcode # 发送Payload给服务端 conn.sendline(payload) # 进入交互模式等待命令执行结果 conn.interactive() ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值