Windows下整数溢出分析

by Netfairy - 2015-10-10

0x00前言

整数溢出就是往存储整数的内存单位存放的数据大于该内存单位所能存储的最大值,整数溢出有时候间接导致缓冲区溢出。如JPEG溢出漏洞(MS04-028)。


0x01整数溢出分类

整数溢出可以分为无符号整数的下溢和上溢,有符号数的问题。


0x02无符号数的下溢和上溢

无符号数的下溢是由于无符号数不能识别负数导致的,看一个例子:

#include<stdio.h>
#include<windows.h>
unsigned char shellcode[] ="\x41\x41\x41\x41\x42\x42\x42\x42\x43\x43\x43\x43\x0f\x10\x02\x50\x90\x90\x90\x90";
int main(int argc,char **argv)
{
	unsigned int i;
	char str[8]="1234567";
	LoadLibrary("c:\\netfairy.dll");
	scanf("%d",&i);
	if(i>7)
	{	MessageBox(NULL,"输入太大","ERROR",NULL);
		return false;
	}
	else
	{
		for(unsigned int j=0;j<=i-1;j++)
		{
			str[j]=shellcode[j];
			if(j>=64)
				break;
		}
		printf("%s\n",str);
	}

	getchar();
	return true;
}

在上面的代码中,假设shellcode是我们可以控制的。本意是想把shellcode的前n个字节复制到str中,n在if(i>7)做了检查,所以最大复制7个字节,我们看n不大于7的时候

1.png

n不大于7的时候输出正常,但是i是一个无符号数,如果我们输入0的话,可以绕过if(i>7)的检查进入for循环,j也是一个无符号数,j<i-1,如果i=0,那么i-1就是-1,由于无符号数不能识别负数,所以i-1转为正的0xffffffff。那么就会复制超长的数据到str,导致覆盖返回地址,而shellcode假如我们可以控制的话,这就是一个由于无符号整数下溢造成的漏洞。验证如图:

2.png


无符号整数的上溢也差不多,稍微修改上面的代码如下:

//在32位的编译器上,unsigned int最大值:4294967295==0xffffffff
#include<stdio.h>
#include<windows.h>
unsigned char shellcode[] ="\x41\x41\x41\x41\x42\x42\x42\x42\x43\x43\x43\x43\x0f\x10\x02\x50\x90\x90\x90\x90";
int main(int argc,char **argv)
{
	unsigned int i;
	char str[8]="1234567";
	LoadLibrary("c:\\netfairy.dll");
	scanf("%d",&i);
	if(i>7)
	{	MessageBox(NULL,"输入太大","ERROR",NULL);
		return false;
	}
	else
	{
		printf("%d\n",i);
		MessageBox(NULL,"输入正确","Congratulations",NULL);
	}

	getchar();
	return true;
}
程序初起来没有问题,如果输入大于7,就提示错误。然而,我们知道无符号整数最大容纳的值为0xffffffff,也就是十进制4294967295。假如在上面我们输入4294967296会怎么样呢?我们可以看一下:

3.png

哇,竟然绕过了检查。原因在于4294967296=0xffffffff+1=0。这就是无符号整数的上溢问题,在某些情况下也能产生漏洞。


0x03有符号整数的问题

有符号数见得比较多的问题就是有符号数被当成无符号数使用,比如下面的这个例子:

//在32位的编译器上,unsigned int最大值:4294967295==0xffffffff. int 最大值2147483647。也就是0x7fffffff
#include<stdio.h>
#include<windows.h>
unsigned char shellcode[] ="AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA";
int main(int argc,char **argv)
{
	int len;
	char str[256];
	scanf("%d",&len);
	if(len>=256)  //这是个有符号数,如果太大,就被看成是负数,能绕过这里的检查
	{
		MessageBox(NULL,"输入有误","ERROR",NULL);
		return false;
	}
	printf("%d",len);
	memcpy(str,shellcode,len);  //memcpy把len看成是无符号数使用,会溢出str

	getchar();
	return true;
}
本来是想把不大于255个字符由shellcode复制到str,在if(len>=256)做了检查,但是,int 是有符号数,正数的范围最大值是2147483647。也就是0x7fffffff。如果再加1,它就会转为0x80000000,十进制是-2147483648,就可以绕过if(len>=256)检查,因为负数肯定比256小。然后memcpy(str,shellcode,len);把len看成无符号数使用,就是2147483648,复制这个多字符,缓冲区肯定溢出啦。


0x04小结

大家平时普遍重视堆栈溢出,其实整数溢出也比较常见,虽然大多时候整数溢出不能利用。尤其在Fuzzing技术中,更多的是挖掘到整数溢出问题。典型的暴力修改为0xffff,这是一个临界值。