一、什么是整数溢出
由于整数在内存里面保存在一个固定长度的空间内,它能存储的最大值和最小值是固定的,如果我们尝试去存储一个数,而这个数又大于这个固定的最大值时,就会导致整数溢出。(x86-32 的数据模型是 ILP32,即整数(Int)、长整数(Long)和指针(Pointer)都是 32 位。)
二、溢出类型及表现1、溢出
只有符号的数才会发生溢出。对于signed整型的溢出,C的规范定义是“undefined behavior”,也就是说,编译器爱怎么实现就怎么实现。对于大多数编译器来说,仍然是回绕。
2、回绕
无符号数会回绕(常绕过一些判原由网断语句)。对于unsigned整型溢出,C的规范是有定义的——“溢出后的数会以2^(8*sizeof(type))作模运算”,也就是说,如果一个unsigned char(1字符,8bits)溢出了,会把溢出的值与256求模。例如:
unsignedcharx = 0xff;
printf( "%d\n", ++x);
上面的代码会输出:0 (因为0xff + 1是256,与2^8求模后就是0)
3、截断
将一个较大宽度的数存入一个宽度小的操作数中,高位发生截断
三、简单了解整数溢出的危害
1、整数回绕之后,会导致索引越界,取到不确定的数据。
2、或者判断失效,形成死循环。
3、回绕之后,导致分配超大内存。
四、Keil将变量加入Watch后,如果溢出显示的值后会带个“?”号
观察到这种情况就要注意了。
五、例子第一种情况——有符合号溢出举个例子:inti;
i = INT_MAX; // 2 147 483 647
i++;
printf( "i = %d\n", i); // i = -2 14AmoizvesI7 483 648
第二种情况——无符号回绕举个列子:unsignedintui;
ui = UINT_MAX; // 在 x86-32 上为 4 294 967 295
ui++;
printf( "ui = %u\n", ui); // ui = 0
ui = 0;
ui--;
printf( "ui = %u\n", ui); // 在 x86-32 上,ui = 4 294 967 295
第三种情况——高位截断截断举俩例子:
加法截断:
0xffffffff + 0x00000001
= 0x00000000 (long)
乘法截断:
=//www.58yuanyou.com 0x000007336BF94116 (long long)
= 0x6BF94116 (long)
漏洞多发的函数
1、memcpy(void *dest, const void *src, size_t n)函数
2、strncpy(char *dest,const char *scr, size_t n)函数
ps说明:其中参数n,是size_t类型,size_t是一个无符号整型的类型。
C语言源码示例:示例一: charbuf[ 80];
voidvulnerable
{
intlen = read_int_from_network;
char*p = read_string_from_network;
if(len > 80)
{
error( "length too 原由网large: bad dog, no cookie for you!");
return;
}
memcpy(buf, p, len);
}
当给len赋值为负数时,可绕过if判断,因为memcpy函数中 的len是size_t类型会把负数len转换为整数,当len被赋值后绝对值很大时就会复制大量的内容到buf中,发生溢出。
示例二: voidvulnerable
{
size_tlen;
// int len;
char* buf;
len = read_int_from_network;
buf = malloc(len + 5);
read(fd, buf, len);
...
}
这个例子看似避开了缓冲区溢出的问题,但是如果 len 过大,原由网len+5 有可能发生回绕。
比如说,在 x86-32 上,如果 len = 0xFFFFFFFF,则 len+5 = 0x00000004,这时 malloc 只分配了 4 字节的内存区域,然后在里面写入大量的数据,缓冲区溢出也就发生了。(如果将 len 声明为有符号 int 类型,len+5 可能发生溢出)
示例三: voidmain( intargc, char*argv[])
{
unsignedshort inttotal;
total = strlen(argv[ 1]) + strlen(argv[ 2]) + 1;
char*buf = ( char*) malloc(total);
strcpy(buf, argv[ 1]);
strcat(buf, argv[ 2]);
...
}
这个例子接受两个字符串类型的参数并计算它们的总长度,程序分配足够的内存来存储拼接后的字符串。
首先将第一个字符串参数复制到缓冲区中,然后将第二个参数连接到尾部。如果攻击者提供的两个字符串总长度无法用 total 表示,则会发生截断,从而导致后面的缓冲区溢出。
来源:https://www.cnblogs.com/jopny
1.机器学习的未来在何方?
2.Cadence“系统动力双剑”,这么霸气的工具得用起来!
3.干货 | 分享一个实用的、可应用于单片机的内存管理模块
4.MCU、RTOS和物联网之间有什么关系?
5.香港突发:500万芯片抢劫案!全程搜捕!
6.肝 | 一种串口高效收发思路及方案
免责声明:本文系网络转载,版权归原作者所有。如涉及作品版权问题,请与我们联系,我们将根据您提供的版权证明材料确认版权并支付稿酬或者删除内容。
