有趣的整數(shù)溢出(Chinasei,郭克華)

1、安全編程技術(shù)系列講義但y郭克華）有趣的整數(shù)溢出ChinaSEl 鵲篇郭克華所有作品由ChinaSEI獨家發(fā)布。 網(wǎng)址為：如果有文字等小錯，請多包涵。在不盈利的情況下，歡迎免費傳播。 版權(quán)所有郭克華本講義經(jīng)過修正、擴充，由清華大學(xué)出版社出版。詳細可査詢 htt|K、v、v、vchiiiaiMibcom/51834整數(shù)溢出.1整數(shù)的存儲方式幾乎所冇的高級語言中都冇整數(shù)的概念。一個整數(shù)，在計算范圍內(nèi)，是內(nèi)存中的一個變 鼠，也是一個沒有小數(shù)部分的實數(shù)。在不同的系統(tǒng)中，整數(shù)存儲的方式各不相同。以mt為 例，在Turbo C中，一個整數(shù)用2個字節(jié)（16位）存放；在某些C編譯器（如DevC+）屮，整 數(shù)用4

2、個字節(jié)（32位）存放：在血語言中，一個整數(shù)用4個字節(jié)（32位）存放。為了簡便起 見，這里談到的整數(shù)特指是在用4個？節(jié)存放的32位整數(shù)。不過，很多語言屮刈J：整數(shù)還 有其他的數(shù)據(jù)類型，如：丁 字節(jié)整數(shù)byte：J 短整數(shù)short；丁 長整數(shù)long；丁 無符號整數(shù)unsigned：等等。相關(guān)內(nèi)容,大家根據(jù)不同語言來參考相關(guān)礙本章如果沒冇特別提一般所述是int 型整數(shù)。在實際使用的過程屮，人們經(jīng)常使用的整數(shù)表達（編碼）方式是10進制，因此，通常用 10進制來表示整數(shù)。但是計算機不能直接處理10進制,所以在計算機屮,整數(shù)以2進制進 行存儲。但是，2進制又A長，不好表達，因此，冇時候又用16進制表示

3、，因為2進制和 16進制能夠很方便地轉(zhuǎn)換。対有符號的整數(shù)，在32位系統(tǒng)卜，正數(shù)的存儲方式就是其二進制，如2,在內(nèi)存中 的存儲方式為：00000000 00000000 00000000 0000001016進制衣示為：0x00000002負數(shù)的存儲一般足比補碼（絕對值取反門）。如2的存儲方法足；首先取絕對值，2,存儲方式為：00000000 00000000 00000000 00000010取反，成為：11111111 11111111 11111111 11111101加1,成為：11111111 11111111 11111111 1111111016進制農(nóng)示為：OxFFFFFFFEu-

4、般說來，如果最高位置1,這個變錄就被解釋為負數(shù)；如果置0,這個變就就解禪為 正數(shù)。還有一種是無符號整數(shù)，不管最高位是1還是0.都理解為正數(shù)。如：11111111 11111111 11111111 11111110如果理解為無符號類型，將是一個很人的數(shù)。.2整數(shù)溢出什么情況卜會出現(xiàn)整數(shù)溢出呢？由J整數(shù)在內(nèi)存里面保存在一個周泄長度（在本章中使用32位）的空間內(nèi)，它能存儲的 最人值就是固定的，當嘗試去存儲一個數(shù)，而這個數(shù)又人J這個固定的最人值時，將會導(dǎo)致 整數(shù)溢出。舉個例子，有兩個無符號的整數(shù)，numl和num2,兩個數(shù)都是32位長，首先賦值給numl 一個32位整數(shù)的最人值，num2被賦值為1。

5、然后讓numl和num2相加，然后存儲結(jié)果到 第3個無符號32位的整數(shù)nuni3,代碼如卜：numl = OxFFFFFFFF;nuni2 - 0x00000001;mim3 = num + niim2;很顯然.numl 的值是：11111111 11111111 11111111 11111111：nuni2 的值是：00000000 00000000 00000000 00000001:兩者相加，得到結(jié)果為：00000000 00000000 00000000 00000000。因此，nuinJ屮的值 是0,發(fā)生了整數(shù)溢出。此時，如果一個整數(shù)用來計算一些敏感數(shù)値，如緩沖區(qū)人小或數(shù)組索引，就

6、會產(chǎn)生潛在 的危險。不過，并不是所有的整數(shù)溢出都町以被利用，畢竟，整數(shù)溢出并沒有改寫額外的內(nèi)存; 但是，在仃些情況卜整數(shù)溢出將會導(dǎo)致"不能確定的行為”，山整數(shù)溢出出現(xiàn)Z后，很 難被被立即察覺，比較難用一個冇效的辦法去判斷是否出現(xiàn)或者可能出現(xiàn)整數(shù)溢出。就發(fā)現(xiàn)的難度而言，和緩沖區(qū)溢出相比，整數(shù)溢出更加難被發(fā)現(xiàn)。因此 即使是審核過 的代碼，有時候也難以幸免。綜上所述，一言以蔽Z,整數(shù)溢出是嘗試存儲一個很人的數(shù)到一個變磺中，由J這個變 啟能夠存儲的數(shù)值范麗人小，不足以存儲那個很人的數(shù)，造成溢出。卜面用最簡單的程序來 說明這個問題（使用的環(huán)境是DEVC+,用戶也可以使用TurboC,稍冇不同）

7、：P02_08.cinclude <stdio.h>int mam(void)mt 1;short s;chai c;1 = Oxdeadbeef;S = l;C-l；pnntf(,rl=Ox%x(%d bytes)", L sizeof(l); pnntf(,ts=Ox%x(%cl bytes)®", s, sizeof(s); pnntf(Hc=Ox%x(%d bvtes)nM, c, sizeof(c); letuin 0;生成可執(zhí)行文件,運行顯示:l=0xdeadbeef <4 bytes> s=0xFfffbeef<2 by

8、tes> c=0xfF£fF£ef Cl bytes >如前所述帑數(shù)溢出并不像普通的漏洞類熨，一般不會允許直接改寫內(nèi)存。但是一個精 門的設(shè)計町以宜接改變程序的控制流程，程序員此時很難令辦法在進程里ihi檢査計算發(fā)生后 的結(jié)果，帯給用戶的感覺就是：計算結(jié)果和正確結(jié)果ZMJ,仃一定的偏差。此種攻擊般的 方法是：攻擊者強迫個變彊包含錯謀的值，從而在后而的代碼中出現(xiàn)問題。G卜而的例子:P02_09.c禪include <stdio.li>#mclude <stnng.h>int niam(int argc, chai *argT)unsigned

9、 short s;hit i;chai bufflOO;1 = atoi(argvl);s = i；if(s >- 100)prmtfC*拷貝字節(jié)數(shù)太人，請退出!n”)；retiun -1;memcpy(buf, argv2, i);bufli = 9;pnmfV'成功拷貝d個字節(jié)n”, 1);retiun 0;該程序的作用足將aigv2的內(nèi)容拷貝到buf中，由aigvl指定拷貝的字節(jié)數(shù)，在程序 中，進行了相對嚴格的人小檢査：如果argx-l的值大等J： buf數(shù)組的犬小(100),則不進 行拷貝。生成可執(zhí)行文件，運行：>P02_09 2 hello顯示:拷貝2個字節(jié)完全正

10、常。運行:>P02_09 1000 hello顯示rm該程序看似正常,但是輸入:程序顯示:該程序屮，程序從命令行參數(shù)中得到一個整數(shù)值存放在整形變斎1當中，然后這個値被 賦予unsigned short類型的整數(shù)s,由J： s在內(nèi)存中是用16位進行存儲，16位能夠存儲的最 人數(shù)是：11111111 11111111即：十進制的65535,因此，unsigned short存儲的范|：冃是065535.如果這個值人unsigned short類型所能夠心儲的值65535.它將被截新。因此，輸入65536,系統(tǒng)會將其認 為0,因為65536的二進制是：1 00000000 00000000系統(tǒng)

11、只取后面16位進行存儲。實際卜.，整數(shù)溢出的危害還在r能夠產(chǎn)?！安l(fā)攻擊”，類似門矢學(xué)中的“并發(fā)癥”。以 上佃的例子為例，程序繞過代碼中的人小判斷部分的邊界檢測，乂町以導(dǎo)致緩沖區(qū)溢出，只 要使用一般的棧溢出技術(shù)就能夠利用這個溢出程序。卜而的例子列舉了另外幾個出現(xiàn)問題的運算：P02_10.cinclude <stdio.h>int mam(int argc. chai *aigv)mt nl =nit 112 - 0x40000000;mt n6 = OxSfffiff;卩門!1敢"(0*%*)+1=%«0“只)11", nl, nl, nl+1. nl

12、+1);pmitff'%d(0x%x)+%d(0x%x)=%d(0x%x)n", n2.112,112,112, n2+n2, n2+n2); printf(',%d(0x%x)*4=%d(0x%x)nM, n2, n2, n2M, n2*4);pmitfV'%d(0x%x)d(0x%x)d(0x%x)ir, n2,112,116, n6. n2-n6. n2-n6); retuin 0;生成可執(zhí)行文件,運行,得到如下結(jié)果:2147483647C0x7fffffff)tl=-2147483648C0x80000000>1073?41824<0x40

13、000000>*1073741824<0x40000000> =-2147483648 C0x80000000>107374ie24COx40000000>*4=0<0x0>1073741824<0x40000000>1879048193<0x8FfFfffF>=-1342177279<0xh0000001>以匕顯示的棊本上是可以被攻擊者利用的一馬運算。很顯然，這些不正常的結(jié)果都是由整數(shù)溢出引起的，讀者可以自己分析其原理。 整數(shù)溢出還勺町能在動態(tài)分配內(nèi)心時被利用?？慈绮反a：P02.11Cinclude <st

14、dio.h>禪include <stdlib.li>mt* anavcpy(uit *airay. mt len)mt *newanayw i;newaiiay = nialloc(len*sizeof(mt);pnnR”為 ncwanay 成功分配(1 了節(jié)內(nèi)存n”上n*sizeof(int); iffnewairay = NULL)return -1;priiitfC'循環(huán)運彳亍次數(shù)：d(Ox%x)n",len,len);for(i = 0; 1 < len; i+)newairavi = ariayi;retuin newarray;mt mam

15、(int aigc, cliar *argv)mt airay = 12345;aiiaycpy(anay,atoi(aigT 1 );return 0;該代碼將arrav拷貝到nexvaiiav中，生成exe文件，運彳：>P02_11 5顯示:叮n e zy祝功弁配2 8 再環(huán)運行決數(shù)t 55x5看似沒令問題。但是如果輸入卜面的命令:>P02 _11 1073741824我們知道，1073741824的16進制是0x40000000 ,從前一個例子可以看出， 0x40000000*4=0x0o因此，屏幕上顯示：ne war pa v-T1 內(nèi)存循壞運行次數(shù)二 1073 74182

16、4<0x49000000>很顯然，這個看起來沒令問題的函數(shù)町能出現(xiàn)在沒仃為newanay分配內(nèi)存的情況卜S 卻向其里面拷貝數(shù)組元索，循環(huán)的次數(shù)還非常欽嚴電時造成系統(tǒng)崩潰。攻擊者通過選擇一 個合適的值給leii可以使得循壞反復(fù)執(zhí)行導(dǎo)致緩沖區(qū)溢出。還有一種情況，通過改寫malloc的控制結(jié)構(gòu)，也能夠在正常的函數(shù)運行的過程屮插入 其他可執(zhí)行惡意代碼。P02_12cinclude <stdio.h>#mclude <stdlib.h>mt catstimg(cliai *bufl, cliai *bu£2, int lenl, mt len2)chai m

17、ybuf256;if(lenl + len2) > 256)超出 mybuf 容納范return -1;memcpy(mybuf, bufl, lenl);memcpy(mybuf + lenl, bu£2. Ieu2);pnmff 復(fù)制d+%dd 個字節(jié)到 rnybuf nMJen 1 ,kn2Jen 1 +kn2); retuin 0;mt mam(mt aigc, chai *argr)catstimg(aigvl,aigf2,atoi(aigvF3),atoi(aigv4);return 0;該例子看起來無懈可擊，并L進行了 bnl和13相加Z后的檢他 輸入:>P02_12 China Hello 3 4顯示:復(fù)制3 T刃個字節(jié)到mybuf輸入:>P02_12 China Hello 100 300眾示:這看起來正常,但是如果輸入:>P02_12 China Hello 2147483647 12147483647的16進制為Ox7FFFFFFFo該運行結(jié)果為:程序崩潰。根本不會顯示：”超出myb