什么是整数溢出？溢出方式(回绕，截断），表现，危害

关注「嵌入式大杂烩」，星标公众号，一起进步！

来源：博客园

一、什么是整数溢出

由于整数在内存里面保存在一个固定长度的空间内，它能存储的最大值和最小值是固定的，如果我们尝试去存储一个数，而这个数又大于这个固定的最大值时，就会导致整数溢出。（x86-32 的数据模型是 ILP32，即整数（Int）、长整数（Long）和指针（Pointer）都是 32 位。）

二、溢出类型及表现

1、溢出

只有符号的数才会发生溢出。对于signed整型的溢出，C的规范定义是“undefined behavior”，也就是说，编译器爱怎么实现就怎么实现。对于大多数编译器来说，仍然是回绕。

2、回绕

无符号数会回绕（常绕过一些判断语句）。对于unsigned整型溢出，C的规范是有定义的——“溢出后的数会以2^(8*sizeof(type))作模运算”，也就是说，如果一个unsigned char（1字符，8bits）溢出了，会把溢出的值与256求模。例如：

unsigned char x = 0xff;
printf("%d\n",  x);
上面的代码会输出：0 （因为0xff 1是256，与2^8求模后就是0）

3、截断

将一个较大宽度的数存入一个宽度小的操作数中，高位发生截断

三、简单了解整数溢出的危害

1、整数回绕之后，会导致索引越界，取到不确定的数据。

2、或者判断失效，形成死循环。

3、回绕之后，导致分配超大内存。

四、Keil将变量加入Watch后，如果溢出显示的值后会带个“？”号

观察到这种情况就要注意了。

五、例子

第一种情况——有符合号溢出举个例子：

int i;
i = INT_MAX; // 2 147 483 647
i ; 
printf("i = %d\n", i); // i = -2 147 483 648


第二种情况——无符号回绕举个列子：

unsigned int ui;
ui = UINT_MAX; // 在 x86-32 上为 4 294 967 295 
ui ;
printf("ui = %u\n", ui); // ui = 0
ui = 0;
ui--; 
printf("ui = %u\n", ui); // 在 x86-32 上，ui = 4 294 967 295


第三种情况——高位截断截断举俩例子：

加法截断：

0xffffffff 0x00000001

= 0x0000000100000000 (long long)

= 0x00000000 (long)

乘法截断：

0x00123456 * 0x00654321

= 0x000007336BF94116 (long long)

= 0x6BF94116 (long)

漏洞多发的函数

1、memcpy(void *dest, const void *src, size_t n)函数

2、strncpy(char *dest,const char *scr, size_t n)函数

ps说明：其中参数n，是size_t类型，size_t是一个无符号整型的类型。

C语言源码示例：

示例一：

char buf[80];
void vulnerable() 
{
    int len = read_int_from_network();
    char *p = read_string_from_network();
    if (len > 80) 
    {
        error("length too large: bad dog, no cookie for you!");
        return;
    }
    memcpy(buf, p, len);
}
当给len赋值为负数时，可绕过if判断，因为memcpy()函数中 的len是size_t类型会把负数len转换为整数，当len被赋值后绝对值很大时就会复制大量的内容到buf中，发生溢出。

示例二：

void vulnerable() 
{
    size_t len;
    // int len;
    char* buf;

    len = read_int_from_network();
    buf = malloc(len   5);
    read(fd, buf, len);
    ...
}
这个例子看似避开了缓冲区溢出的问题，但是如果 len 过大，len 5 有可能发生回绕。

比如说，在 x86-32 上，如果 len = 0xFFFFFFFF，则 len 5 = 0x00000004，这时 malloc() 只分配了 4 字节的内存区域，然后在里面写入大量的数据，缓冲区溢出也就发生了。（如果将 len 声明为有符号 int 类型，len 5 可能发生溢出）

示例三：

void main(int argc, char *argv[]) 
{
    unsigned short int total;
    total = strlen(argv[1])   strlen(argv[2])   1;
    char *buf = (char *)malloc(total);
    strcpy(buf, argv[1]);
    strcat(buf, argv[2]);
    ...
}
这个例子接受两个字符串类型的参数并计算它们的总长度，程序分配足够的内存来存储拼接后的字符串。

首先将第一个字符串参数复制到缓冲区中，然后将第二个参数连接到尾部。如果攻击者提供的两个字符串总长度无法用 total 表示，则会发生截断，从而导致后面的缓冲区溢出。

来源：https://www.cnblogs.com/jopny

本文来源网络，版权归原作者所有。如涉及作品版权问题，请联系我进行删除。