Integer Overflow

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングのトリックを共有するには、HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してください。

基本情報

整数オーバーフローの中心には、コンピュータプログラミングにおけるデータ型のサイズによって課せられる制限とデータの解釈があります。

例えば、8ビット符号なし整数は0から255までの値を表すことができます。8ビット符号なし整数に256の値を格納しようとすると、そのストレージ容量の制限により0にラップアラウンドします。同様に、16ビット符号なし整数は0から65,535までの値を保持でき、65,535に1を加えると値は0に戻ります。

さらに、8ビット符号付き整数は**-128から127までの値を表すことができます。これは、1ビットが符号（正または負）を表すために使用され、残りの7ビットが大きさを表すために使われるからです。最も負の数は-128**（バイナリ 10000000）として表され、最も正の数は127（バイナリ 01111111）として表されます。

最大値

潜在的なウェブの脆弱性にとって、サポートされている最大値を知ることは非常に興味深いです：

fn main() {

let mut quantity = 2147483647;

let (mul_result, _) = i32::overflowing_mul(32767, quantity);
let (add_result, _) = i32::overflowing_add(1, quantity);

println!("{}", mul_result);
println!("{}", add_result);
}

#include <stdio.h>
#include <limits.h>

int main() {
int a = INT_MAX;
int b = 0;
int c = 0;

b = a * 100;
c = a + 1;

printf("%d\n", INT_MAX);
printf("%d\n", b);
printf("%d\n", c);
return 0;
}

例

純粋なオーバーフロー

印刷された結果は0になります。なぜなら、charがオーバーフローしたからです：

#include <stdio.h>

int main() {
unsigned char max = 255; // 8-bit unsigned integer
unsigned char result = max + 1;
printf("Result: %d\n", result); // Expected to overflow
return 0;
}

Signed to Unsigned Conversion

ユーザー入力から符号付き整数が読み取られ、その後適切な検証なしに符号なし整数として扱われる状況を考えてみましょう：

#include <stdio.h>

int main() {
int userInput; // Signed integer
printf("Enter a number: ");
scanf("%d", &userInput);

// Treating the signed input as unsigned without validation
unsigned int processedInput = (unsigned int)userInput;

// A condition that might not work as intended if userInput is negative
if (processedInput > 1000) {
printf("Processed Input is large: %u\n", processedInput);
} else {
printf("Processed Input is within range: %u\n", processedInput);
}

return 0;
}

この例では、ユーザーが負の数を入力すると、バイナリ値の解釈方法により、大きな符号なし整数として解釈され、予期しない動作を引き起こす可能性があります。

その他の例

https://guyinatuxedo.github.io/35-integer_exploitation/int_overflow_post/index.html
パスワードのサイズを格納するのに1Bしか使用されていないため、オーバーフローさせて、実際の長さが260であるにもかかわらず、長さが4であると考えさせ、長さチェック保護を回避することが可能です。
https://guyinatuxedo.github.io/35-integer_exploitation/puzzle/index.html
いくつかの数値が与えられた場合、z3を使用して最初の数値と掛け算して2番目の数値を得る新しい数値を見つけます:

(((argv[1] * 0x1064deadbeef4601) & 0xffffffffffffffff) == 0xD1038D2E07B42569)

https://8ksec.io/arm64-reversing-and-exploitation-part-8-exploiting-an-integer-overflow-vulnerability/
パスワードのサイズを格納するのに1Bしか使用されていないため、オーバーフローさせて、実際の長さが260であるにもかかわらず、長さが4であると考えさせ、長さチェック保護を回避し、スタック内の次のローカル変数を上書きして両方の保護を回避することが可能です。

ARM64

これはARM64では変わりません。 このブログ記事で見ることができます。

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングのトリックを共有するには、HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してください。

PreviousArray Indexing NextFormat Strings

Last updated 1 day ago