Integer Overflow

Basic Information

U srcu integer overflow je ograničenje koje nameću veličine tipova podataka u programiranju i tumačenje podataka.

Na primer, 8-bitni bezpotpisni ceo broj može predstavljati vrednosti od 0 do 255. Ako pokušate da sačuvate vrednost 256 u 8-bitnom bezpotpisnom celom broju, ona se vraća na 0 zbog ograničenja njegove kapaciteta skladištenja. Slično tome, za 16-bitni bezpotpisni ceo broj, koji može da drži vrednosti od 0 do 65,535, dodavanje 1 na 65,535 će vratiti vrednost nazad na 0.

Štaviše, 8-bitni potpisani ceo broj može predstavljati vrednosti od -128 do 127. To je zato što se jedan bit koristi za predstavljanje znaka (pozitivan ili negativan), ostavljajući 7 bita za predstavljanje magnitude. Najnegativniji broj se predstavlja kao -128 (binarno 10000000), a najpozitivniji broj je 127 (binarno 01111111).

Max values

Za potencijalne web vulnerabilities veoma je zanimljivo znati maksimalne podržane vrednosti:

fn main() {

let mut quantity = 2147483647;

let (mul_result, _) = i32::overflowing_mul(32767, quantity);
let (add_result, _) = i32::overflowing_add(1, quantity);

println!("{}", mul_result);
println!("{}", add_result);
}

#include <stdio.h>
#include <limits.h>

int main() {
int a = INT_MAX;
int b = 0;
int c = 0;

b = a * 100;
c = a + 1;

printf("%d\n", INT_MAX);
printf("%d\n", b);
printf("%d\n", c);
return 0;
}

Primeri

Čista prelivanja

Ispisani rezultat će biti 0 jer smo preli u char:

#include <stdio.h>

int main() {
unsigned char max = 255; // 8-bit unsigned integer
unsigned char result = max + 1;
printf("Result: %d\n", result); // Expected to overflow
return 0;
}

Signed to Unsigned Conversion

Razmotrite situaciju u kojoj se potpisani ceo broj čita iz korisničkog unosa i zatim se koristi u kontekstu koji ga tretira kao nep potpisani ceo broj, bez pravilne validacije:

#include <stdio.h>

int main() {
int userInput; // Signed integer
printf("Enter a number: ");
scanf("%d", &userInput);

// Treating the signed input as unsigned without validation
unsigned int processedInput = (unsigned int)userInput;

// A condition that might not work as intended if userInput is negative
if (processedInput > 1000) {
printf("Processed Input is large: %u\n", processedInput);
} else {
printf("Processed Input is within range: %u\n", processedInput);
}

return 0;
}

U ovom primeru, ako korisnik unese negativan broj, biće interpretiran kao veliki nesigned integer zbog načina na koji se binarne vrednosti interpretiraju, što može dovesti do neočekivanog ponašanja.

Ostali primeri

• https://guyinatuxedo.github.io/35-integer_exploitation/int_overflow_post/index.html

• Samo 1B se koristi za čuvanje veličine lozinke, tako da je moguće prepuniti je i naterati je da misli da je dužina 4 dok je zapravo 260 kako bi se zaobišla zaštita provere dužine

• https://guyinatuxedo.github.io/35-integer_exploitation/puzzle/index.html

• Dati nekoliko brojeva, pronaći koristeći z3 novi broj koji pomnožen sa prvim će dati drugi:

(((argv[1] * 0x1064deadbeef4601) & 0xffffffffffffffff) == 0xD1038D2E07B42569)

• https://8ksec.io/arm64-reversing-and-exploitation-part-8-exploiting-an-integer-overflow-vulnerability/

• Samo 1B se koristi za čuvanje veličine lozinke, tako da je moguće prepuniti je i naterati je da misli da je dužina 4 dok je zapravo 260 kako bi se zaobišla zaštita provere dužine i prepisala u steku sledeća lokalna promenljiva i zaobišla obe zaštite

ARM64

Ovo se ne menja u ARM64 kao što možete videti u ovom blog postu.