缓冲区溢出的原因及危害

这篇文章主要介绍缓冲区溢出的一些问题及应对策略。

什么是缓冲区溢出?大意就是为某特定的数据结构分配内存,然后修改内存时没有控制好截止条件,使得修改了边界之外的内存;比如在栈上分配的内存数组int iData[100],然后修改数组元素:

for (int i = 0; i <= 100; ++i) {//todo},如果在32位机器上,可能分配多于100*sizeof(int)个字节的空间,然后iData[0]在低地址,iData[1]....在高地址,理论上这里修改iData[100]可能不会影响其他变量或调用函数时需要保存的参数;再比如

char szToBuf[1024];

char szFromBuf[2048];

memcpy(szFromBuf, szToBuf, strlen(szFromBuf))就非常可能改写ebp,返回地址等引起严重的问题。这些都会因为编码问题或者不完全了解底层的实现,导致出现缓冲区溢出,进而引起可被利用的漏洞。以下列举比较隐晦的可能导致缓冲区溢出的情况:

1由整数漏洞引起的问题,如溢出,截断,隐式转换等;以下分别列举相应的例子:

整数溢出:一般指的是有符号整数溢出,结果值不能用该类型表示时就会发生,这种情况是未定义的行为,如int16_t i = INT16_MAX;i ++;那么在内存中原来i的位模式是011111***11111,然后加1后的补码为1000***0000是最小的负数了,那么有下面的代码:

int16_t i = 0;

while (i <= INT16_MAX)

{

    iData[i] = 100;

 i ++;

}

那么这里就会发生溢出了,非法访问了iData[0]前面的内存,这段代码也是无限循环,这个例子有点特殊。

截断:比如32的int,赋值给16位的int16_t,那么就取低16位,这里截断后的位模式不变,不管赋值给有符号的还是无符号的16位的类型,只是告诉编译器如何解释这些位模式。

这里列举无符号的截断,如

int main(int argc, char * argv[])

{

    unsigned short int iLen = 0;

    iLen = strlen(argv[1]) + strlen(argv[2]) + 1;

    char * pBuff = (char *)malloc(iLen);

    if (pBuff == NULL) { return -1; }

    strcpy(pBuff, argv[1]);

    strcat(pBuff, argv[2]);

}

这段代码的意思是以两个串的长度加1,开辟总的内存空间,然后拷贝两个串至pBuff中,外加个空白符结尾。这里的问题是当strlen(argv[1]) + strlen(argv[2])的和超过unsigned short int所能表示的最大值时,发生截断,最后iLen的值是小于min(strlen(argv[1], strlen(argv[2])))的,那么在拷贝时就会发生缓冲区溢出。

再比如大学写的有问题的二分查找,有这么一行:

int iMid = (iLeft + iRight) / 2;而这可能因为视iLeft和iRight的类型而定,如果都为无符号类型,那么可能两个数的和导致回绕,使得(iLeft + iRight)/2后的值小于min(iLeft,iRight),那么就取不到[iLeft,iRight]索引处的数据了;正确的写法应该是:int iMid = iLeft + (iRight-iLeft) / 2;如果为有符号,可能导致溢出,两个数的和为负数了,导致引用错误的内存地址;

有/无符号的隐式转换:如把无符号赋值给有符号,有符号赋值给无符号,假设类型大小一致的情况下[大小不一致需要扩展],转换是位模式不变,变的是解释这些位的方式,值可能会改变。比如:

求和:

int computeSum(int iArray[],unsigned int iLen)

{

       int iSum = 0;

  for (int i = 0; i <= iLen -1; ++i)

       {

             //TODO

       }

      return iSum;

}

如果这样调用computeSum(***, 0),因为iLen为无符号,那么0-1为-1,有符号转换成无符号为INT32_MAX,就出现了非法内存访问;

其他情况:如没有完全检测边界值:

int * pValue = new[10];

int insertValue(int iPos, int iValue)

{

    if (iPos > 9)  //should be if (iPos > 9 || iPos < 0)

    {

        return -1;

    }

    pValue[iPos] = iValue;

   return 0;

}

如果iPos不小心是负数的话,代码块pValue[iPos]被编译器转换为如下形式:((char*)pValue + sizeof(int) * iPos),那么写入就会发生在pValue地址前面而引起一些问题;

像很多C字符串库函数,比如strcpy,sprintf等都没有控制要操作的字节数,可能会导致多拷贝字节,而缓冲区溢出往往导致栈溢出,覆盖重要的ebp和函数返回地址,和其他变量,破坏栈。

下篇会介绍下网络编程方面的知识。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,362评论 5 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,330评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,247评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,560评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,580评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,569评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,929评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,587评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,840评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,596评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,678评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,366评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,945评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,929评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,165评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 43,271评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,403评论 2 342

推荐阅读更多精彩内容