有趣的整數(shù)溢出(Chinasei,郭克華)

1、安全編程技術(shù)系列講義但y郭克華）有趣的整數(shù)溢出ChinaSEl 鵲篇郭克華所有作品由ChinaSEI獨(dú)家發(fā)布。 網(wǎng)址為：如果有文字等小錯(cuò)，請多包涵。在不盈利的情況下，歡迎免費(fèi)傳播。 版權(quán)所有郭克華本講義經(jīng)過修正、擴(kuò)充，由清華大學(xué)出版社出版。詳細(xì)可査詢 htt|K、v、v、vchiiiaiMibcom/51834整數(shù)溢出.1整數(shù)的存儲(chǔ)方式幾乎所冇的高級語言中都冇整數(shù)的概念。一個(gè)整數(shù)，在計(jì)算范圍內(nèi)，是內(nèi)存中的一個(gè)變 鼠，也是一個(gè)沒有小數(shù)部分的實(shí)數(shù)。在不同的系統(tǒng)中，整數(shù)存儲(chǔ)的方式各不相同。以mt為 例，在Turbo C中，一個(gè)整數(shù)用2個(gè)字節(jié)（16位）存放；在某些C編譯器（如DevC+）屮，整 數(shù)用4

2、個(gè)字節(jié)（32位）存放：在血語言中，一個(gè)整數(shù)用4個(gè)字節(jié)（32位）存放。為了簡便起 見，這里談到的整數(shù)特指是在用4個(gè)？節(jié)存放的32位整數(shù)。不過，很多語言屮刈J：整數(shù)還 有其他的數(shù)據(jù)類型，如：丁 字節(jié)整數(shù)byte：J 短整數(shù)short；丁 長整數(shù)long；丁 無符號(hào)整數(shù)unsigned：等等。相關(guān)內(nèi)容,大家根據(jù)不同語言來參考相關(guān)礙本章如果沒冇特別提一般所述是int 型整數(shù)。在實(shí)際使用的過程屮，人們經(jīng)常使用的整數(shù)表達(dá)（編碼）方式是10進(jìn)制，因此，通常用 10進(jìn)制來表示整數(shù)。但是計(jì)算機(jī)不能直接處理10進(jìn)制,所以在計(jì)算機(jī)屮,整數(shù)以2進(jìn)制進(jìn) 行存儲(chǔ)。但是，2進(jìn)制又A長，不好表達(dá)，因此，冇時(shí)候又用16進(jìn)制表示

3、，因?yàn)?進(jìn)制和 16進(jìn)制能夠很方便地轉(zhuǎn)換。対有符號(hào)的整數(shù)，在32位系統(tǒng)卜，正數(shù)的存儲(chǔ)方式就是其二進(jìn)制，如2,在內(nèi)存中 的存儲(chǔ)方式為：00000000 00000000 00000000 0000001016進(jìn)制衣示為：0x00000002負(fù)數(shù)的存儲(chǔ)一般足比補(bǔ)碼（絕對值取反門）。如2的存儲(chǔ)方法足；首先取絕對值，2,存儲(chǔ)方式為：00000000 00000000 00000000 00000010取反，成為：11111111 11111111 11111111 11111101加1,成為：11111111 11111111 11111111 1111111016進(jìn)制農(nóng)示為：OxFFFFFFFEu-

4、般說來，如果最高位置1,這個(gè)變錄就被解釋為負(fù)數(shù)；如果置0,這個(gè)變就就解禪為 正數(shù)。還有一種是無符號(hào)整數(shù)，不管最高位是1還是0.都理解為正數(shù)。如：11111111 11111111 11111111 11111110如果理解為無符號(hào)類型，將是一個(gè)很人的數(shù)。.2整數(shù)溢出什么情況卜會(huì)出現(xiàn)整數(shù)溢出呢？由J整數(shù)在內(nèi)存里面保存在一個(gè)周泄長度（在本章中使用32位）的空間內(nèi)，它能存儲(chǔ)的 最人值就是固定的，當(dāng)嘗試去存儲(chǔ)一個(gè)數(shù)，而這個(gè)數(shù)又人J這個(gè)固定的最人值時(shí)，將會(huì)導(dǎo)致 整數(shù)溢出。舉個(gè)例子，有兩個(gè)無符號(hào)的整數(shù)，numl和num2,兩個(gè)數(shù)都是32位長，首先賦值給numl 一個(gè)32位整數(shù)的最人值，num2被賦值為1。

5、然后讓numl和num2相加，然后存儲(chǔ)結(jié)果到 第3個(gè)無符號(hào)32位的整數(shù)nuni3,代碼如卜：numl = OxFFFFFFFF;nuni2 - 0x00000001;mim3 = num + niim2;很顯然.numl 的值是：11111111 11111111 11111111 11111111：nuni2 的值是：00000000 00000000 00000000 00000001:兩者相加，得到結(jié)果為：00000000 00000000 00000000 00000000。因此，nuinJ屮的值 是0,發(fā)生了整數(shù)溢出。此時(shí)，如果一個(gè)整數(shù)用來計(jì)算一些敏感數(shù)値，如緩沖區(qū)人小或數(shù)組索引，就

6、會(huì)產(chǎn)生潛在 的危險(xiǎn)。不過，并不是所有的整數(shù)溢出都町以被利用，畢竟，整數(shù)溢出并沒有改寫額外的內(nèi)存; 但是，在仃些情況卜整數(shù)溢出將會(huì)導(dǎo)致"不能確定的行為”，山整數(shù)溢出出現(xiàn)Z后，很 難被被立即察覺，比較難用一個(gè)冇效的辦法去判斷是否出現(xiàn)或者可能出現(xiàn)整數(shù)溢出。就發(fā)現(xiàn)的難度而言，和緩沖區(qū)溢出相比，整數(shù)溢出更加難被發(fā)現(xiàn)。因此 即使是審核過 的代碼，有時(shí)候也難以幸免。綜上所述，一言以蔽Z,整數(shù)溢出是嘗試存儲(chǔ)一個(gè)很人的數(shù)到一個(gè)變磺中，由J這個(gè)變 啟能夠存儲(chǔ)的數(shù)值范麗人小，不足以存儲(chǔ)那個(gè)很人的數(shù)，造成溢出。卜面用最簡單的程序來 說明這個(gè)問題（使用的環(huán)境是DEVC+,用戶也可以使用TurboC,稍冇不同）

7、：P02_08.cinclude <stdio.h>int mam(void)mt 1;short s;chai c;1 = Oxdeadbeef;S = l;C-l；pnntf(,rl=Ox%x(%d bytes)", L sizeof(l); pnntf(,ts=Ox%x(%cl bytes)®", s, sizeof(s); pnntf(Hc=Ox%x(%d bvtes)nM, c, sizeof(c); letuin 0;生成可執(zhí)行文件,運(yùn)行顯示:l=0xdeadbeef <4 bytes> s=0xFfffbeef<2 by

8、tes> c=0xfF£fF£ef Cl bytes >如前所述帑數(shù)溢出并不像普通的漏洞類熨，一般不會(huì)允許直接改寫內(nèi)存。但是一個(gè)精 門的設(shè)計(jì)町以宜接改變程序的控制流程，程序員此時(shí)很難令辦法在進(jìn)程里ihi檢査計(jì)算發(fā)生后 的結(jié)果，帯給用戶的感覺就是：計(jì)算結(jié)果和正確結(jié)果ZMJ,仃一定的偏差。此種攻擊般的 方法是：攻擊者強(qiáng)迫個(gè)變彊包含錯(cuò)謀的值，從而在后而的代碼中出現(xiàn)問題。G卜而的例子:P02_09.c禪include <stdio.li>#mclude <stnng.h>int niam(int argc, chai *argT)unsigned

9、 short s;hit i;chai bufflOO;1 = atoi(argvl);s = i；if(s >- 100)prmtfC*拷貝字節(jié)數(shù)太人，請退出!n”)；retiun -1;memcpy(buf, argv2, i);bufli = 9;pnmfV'成功拷貝d個(gè)字節(jié)n”, 1);retiun 0;該程序的作用足將aigv2的內(nèi)容拷貝到buf中，由aigvl指定拷貝的字節(jié)數(shù)，在程序 中，進(jìn)行了相對嚴(yán)格的人小檢査：如果argx-l的值大等J： buf數(shù)組的犬小(100),則不進(jìn) 行拷貝。生成可執(zhí)行文件，運(yùn)行：>P02_09 2 hello顯示:拷貝2個(gè)字節(jié)完全正

10、常。運(yùn)行:>P02_09 1000 hello顯示rm該程序看似正常,但是輸入:程序顯示:該程序屮，程序從命令行參數(shù)中得到一個(gè)整數(shù)值存放在整形變斎1當(dāng)中，然后這個(gè)値被 賦予unsigned short類型的整數(shù)s,由J： s在內(nèi)存中是用16位進(jìn)行存儲(chǔ)，16位能夠存儲(chǔ)的最 人數(shù)是：11111111 11111111即：十進(jìn)制的65535,因此，unsigned short存儲(chǔ)的范|：冃是065535.如果這個(gè)值人unsigned short類型所能夠心儲(chǔ)的值65535.它將被截新。因此，輸入65536,系統(tǒng)會(huì)將其認(rèn) 為0,因?yàn)?5536的二進(jìn)制是：1 00000000 00000000系統(tǒng)

11、只取后面16位進(jìn)行存儲(chǔ)。實(shí)際卜.，整數(shù)溢出的危害還在r能夠產(chǎn)?！安l(fā)攻擊”，類似門矢學(xué)中的“并發(fā)癥”。以 上佃的例子為例，程序繞過代碼中的人小判斷部分的邊界檢測，乂町以導(dǎo)致緩沖區(qū)溢出，只 要使用一般的棧溢出技術(shù)就能夠利用這個(gè)溢出程序。卜而的例子列舉了另外幾個(gè)出現(xiàn)問題的運(yùn)算：P02_10.cinclude <stdio.h>int mam(int argc. chai *aigv)mt nl =nit 112 - 0x40000000;mt n6 = OxSfffiff;卩門!1敢"(0*%*)+1=%«0“只)11", nl, nl, nl+1. nl

12、+1);pmitff'%d(0x%x)+%d(0x%x)=%d(0x%x)n", n2.112,112,112, n2+n2, n2+n2); printf(',%d(0x%x)*4=%d(0x%x)nM, n2, n2, n2M, n2*4);pmitfV'%d(0x%x)d(0x%x)d(0x%x)ir, n2,112,116, n6. n2-n6. n2-n6); retuin 0;生成可執(zhí)行文件,運(yùn)行,得到如下結(jié)果:2147483647C0x7fffffff)tl=-2147483648C0x80000000>1073?41824<0x40

13、000000>*1073741824<0x40000000> =-2147483648 C0x80000000>107374ie24COx40000000>*4=0<0x0>1073741824<0x40000000>1879048193<0x8FfFfffF>=-1342177279<0xh0000001>以匕顯示的棊本上是可以被攻擊者利用的一馬運(yùn)算。很顯然，這些不正常的結(jié)果都是由整數(shù)溢出引起的，讀者可以自己分析其原理。 整數(shù)溢出還勺町能在動(dòng)態(tài)分配內(nèi)心時(shí)被利用?？慈绮反a：P02.11Cinclude <st

14、dio.h>禪include <stdlib.li>mt* anavcpy(uit *airay. mt len)mt *newanayw i;newaiiay = nialloc(len*sizeof(mt);pnnR”為 ncwanay 成功分配(1 了節(jié)內(nèi)存n”上n*sizeof(int); iffnewairay = NULL)return -1;priiitfC'循環(huán)運(yùn)彳亍次數(shù)：d(Ox%x)n",len,len);for(i = 0; 1 < len; i+)newairavi = ariayi;retuin newarray;mt mam

15、(int aigc, cliar *argv)mt airay = 12345;aiiaycpy(anay,atoi(aigT 1 );return 0;該代碼將arrav拷貝到nexvaiiav中，生成exe文件，運(yùn)彳：>P02_11 5顯示:叮n e zy祝功弁配2 8 再環(huán)運(yùn)行決數(shù)t 55x5看似沒令問題。但是如果輸入卜面的命令:>P02 _11 1073741824我們知道，1073741824的16進(jìn)制是0x40000000 ,從前一個(gè)例子可以看出， 0x40000000*4=0x0o因此，屏幕上顯示：ne war pa v-T1 內(nèi)存循壞運(yùn)行次數(shù)二 1073 74182

16、4<0x49000000>很顯然，這個(gè)看起來沒令問題的函數(shù)町能出現(xiàn)在沒仃為newanay分配內(nèi)存的情況卜S 卻向其里面拷貝數(shù)組元索，循環(huán)的次數(shù)還非常欽嚴(yán)電時(shí)造成系統(tǒng)崩潰。攻擊者通過選擇一 個(gè)合適的值給leii可以使得循壞反復(fù)執(zhí)行導(dǎo)致緩沖區(qū)溢出。還有一種情況，通過改寫malloc的控制結(jié)構(gòu)，也能夠在正常的函數(shù)運(yùn)行的過程屮插入 其他可執(zhí)行惡意代碼。P02_12cinclude <stdio.h>#mclude <stdlib.h>mt catstimg(cliai *bufl, cliai *bu£2, int lenl, mt len2)chai m

17、ybuf256;if(lenl + len2) > 256)超出 mybuf 容納范return -1;memcpy(mybuf, bufl, lenl);memcpy(mybuf + lenl, bu£2. Ieu2);pnmff 復(fù)制d+%dd 個(gè)字節(jié)到 rnybuf nMJen 1 ,kn2Jen 1 +kn2); retuin 0;mt mam(mt aigc, chai *argr)catstimg(aigvl,aigf2,atoi(aigvF3),atoi(aigv4);return 0;該例子看起來無懈可擊，并L進(jìn)行了 bnl和13相加Z后的檢他 輸入:>P02_12 China Hello 3 4顯示:復(fù)制3 T刃個(gè)字節(jié)到mybuf輸入:>P02_12 China Hello 100 300眾示:這看起來正常,但是如果輸入:>P02_12 China Hello 2147483647 12147483647的16進(jìn)制為Ox7FFFFFFFo該運(yùn)行結(jié)果為:程序崩潰。根本不會(huì)顯示：”超出myb