什么是整數(shù)溢出？溢出方式(回繞，截斷），表現(xiàn)，危害

關(guān)注「嵌入式大雜燴」，星標(biāo)公眾號，一起進步！

來源：博客園

一、什么是整數(shù)溢出

由于整數(shù)在內(nèi)存里面保存在一個固定長度的空間內(nèi)，它能存儲的最大值和最小值是固定的，如果我們嘗試去存儲一個數(shù)，而這個數(shù)又大于這個固定的最大值時，就會導(dǎo)致整數(shù)溢出。（x86-32 的數(shù)據(jù)模型是 ILP32，即整數(shù)（Int）、長整數(shù)（Long）和指針（Pointer）都是 32 位。）

二、溢出類型及表現(xiàn)

1、溢出

只有符號的數(shù)才會發(fā)生溢出。對于signed整型的溢出，C的規(guī)范定義是“undefined behavior”，也就是說，編譯器愛怎么實現(xiàn)就怎么實現(xiàn)。對于大多數(shù)編譯器來說，仍然是回繞。

2、回繞

無符號數(shù)會回繞（常繞過一些判斷語句）。對于unsigned整型溢出，C的規(guī)范是有定義的——“溢出后的數(shù)會以2^(8*sizeof(type))作模運算”，也就是說，如果一個unsigned char（1字符，8bits）溢出了，會把溢出的值與256求模。例如：

unsigned?char?x?=?0xff;
printf("%d\n",? x);
上面的代碼會輸出：0 （因為0xff 1是256，與2^8求模后就是0）

3、截斷

將一個較大寬度的數(shù)存入一個寬度小的操作數(shù)中，高位發(fā)生截斷

三、簡單了解整數(shù)溢出的危害

1、整數(shù)回繞之后，會導(dǎo)致索引越界，取到不確定的數(shù)據(jù)。

2、或者判斷失效，形成死循環(huán)。

3、回繞之后，導(dǎo)致分配超大內(nèi)存。

四、Keil將變量加入Watch后，如果溢出顯示的值后會帶個“？”號

觀察到這種情況就要注意了。

五、例子

第一種情況——有符合號溢出舉個例子：

int?i;
i?=?INT_MAX;?//?2?147?483?647
i ;?
printf("i?=?%d\n",?i);?//?i?=?-2?147?483?648


第二種情況——無符號回繞舉個列子：

unsigned?int?ui;
ui?=?UINT_MAX;?//?在?x86-32?上為?4?294?967?295?
ui ;
printf("ui?=?%u\n",?ui);?//?ui?=?0
ui?=?0;
ui--;?
printf("ui?=?%u\n",?ui);?//?在?x86-32?上，ui?=?4?294?967?295


第三種情況——高位截斷截斷舉倆例子：

加法截斷：

0xffffffff 0x00000001

= 0x0000000100000000 (long long)

= 0x00000000 (long)

乘法截斷：

0x00123456 * 0x00654321

= 0x000007336BF94116 (long long)

= 0x6BF94116 (long)

漏洞多發(fā)的函數(shù)

1、memcpy(void *dest, const void *src, size_t n)函數(shù)

2、strncpy(char *dest,const char *scr, size_t n)函數(shù)

ps說明：其中參數(shù)n，是size_t類型，size_t是一個無符號整型的類型。

C語言源碼示例：

示例一：

char?buf[80];
void?vulnerable()?
{
????int?len?=?read_int_from_network();
????char?*p?=?read_string_from_network();
????if?(len?>?80)?
????{
????????error("length?too?large:?bad?dog,?no?cookie?for?you!");
????????return;
????}
????memcpy(buf,?p,?len);
}
當(dāng)給len賦值為負數(shù)時，可繞過if判斷，因為memcpy()函數(shù)中 的len是size_t類型會把負數(shù)len轉(zhuǎn)換為整數(shù)，當(dāng)len被賦值后絕對值很大時就會復(fù)制大量的內(nèi)容到buf中，發(fā)生溢出。

示例二：

void?vulnerable()?
{
????size_t?len;
????//?int?len;
????char*?buf;

????len?=?read_int_from_network();
????buf?=?malloc(len? ?5);
????read(fd,?buf,?len);
????...
}
這個例子看似避開了緩沖區(qū)溢出的問題，但是如果 len 過大，len 5 有可能發(fā)生回繞。

比如說，在 x86-32 上，如果 len = 0xFFFFFFFF，則 len 5 = 0x00000004，這時 malloc() 只分配了 4 字節(jié)的內(nèi)存區(qū)域，然后在里面寫入大量的數(shù)據(jù)，緩沖區(qū)溢出也就發(fā)生了。（如果將 len 聲明為有符號 int 類型，len 5 可能發(fā)生溢出）

示例三：

void?main(int?argc,?char?*argv[])?
{
????unsigned?short?int?total;
????total?=?strlen(argv[1])? ?strlen(argv[2])? ?1;
????char?*buf?=?(char?*)malloc(total);
????strcpy(buf,?argv[1]);
????strcat(buf,?argv[2]);
????...
}
這個例子接受兩個字符串類型的參數(shù)并計算它們的總長度，程序分配足夠的內(nèi)存來存儲拼接后的字符串。

首先將第一個字符串參數(shù)復(fù)制到緩沖區(qū)中，然后將第二個參數(shù)連接到尾部。如果攻擊者提供的兩個字符串總長度無法用 total 表示，則會發(fā)生截斷，從而導(dǎo)致后面的緩沖區(qū)溢出。

來源：https://www.cnblogs.com/jopny

本文來源網(wǎng)絡(luò)，版權(quán)歸原作者所有。如涉及作品版權(quán)問題，請聯(lián)系我進行刪除。