[讨论]谁能准确地说出下面代码中存在什么严重漏洞？-经典问答-看雪-安全社区|安全招聘|kanxue.com

1

8

[讨论]谁能准确地说出下面代码中存在什么严重漏洞？

发表于: 2008-11-20 19:42 7089

[讨论]谁能准确地说出下面代码中存在什么严重漏洞？

supermilg

活跃值

2008-11-20 19:42

7089

最近，我在Windows Server中又挖到了一处新的漏洞，通知给微软的同时，觉得这个该漏洞代表了程序员编码过程中普遍忽略了的一类安全问题（至少我在写程序的时候很少会注意到这种问题（有点掉大家胃口））。分享一些写安全代码的经验，毕竟从别人的跟头里学习经验的开销比自己载跟头才学习的开销低。于是试着把这个新漏洞的问题抽象成了下面的程序，考考大家的眼力，看看大家能不能一眼看出漏洞出现在什么位置，什么条件下会引发问题？(高手可以自动飘过)
注意只有input从外界报文获取。

char* hello(unsigned input){
   char hello[] = "hello,baby!bala bala bala bala!\n";
   char *buffer;

   unsigned int hellosize = strlen(hello);
   unsigned int bufsize = hellosize*4 + 1;

   if ( (hellosize*input) > bufsize)
            return NULL;

   buffer = new char[bufsize];
   memset(buffer,0, bufsize);

   for (unsigned int i = 0; i<input; i++){
            strcpy( buffer + i*hellosize, hello);
   }
   return buffer;
}

登录后可查看完整内容

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！

收藏・1

免费・8

支持

分享

赞赏记录

参与人

雪币

留言

时间

一路南寻

为你点赞~

2024-5-31 06:33

Youlor

为你点赞~

2024-1-4 02:58

伟叔叔

为你点赞~

2023-11-30 05:17

QinBeast

为你点赞~

2023-9-10 00:27

PLEBFE

为你点赞~

2023-8-26 01:44

shinratensei

为你点赞~

2023-8-14 00:49

心游尘世外

为你点赞~

2023-8-2 05:41

飘零丶

为你点赞~

2023-7-21 00:07

查看更多

最新回复 (8)
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 2 楼莫非说的是整数溢出的事？？？当input是一个很大的数导致hellosize*input超过了unsigned int的范围时发生整数溢出由此引起缓冲区溢出。以前就有人公布过这种漏洞，不过那是个短整数溢出导致缓冲区溢出的情况。不过道理是一样。 2008-11-20 20:11 0
说爱我雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 82 粉丝 0 关注私信	说爱我 3 楼 unsigned int hellosize = strlen(hello); unsigned int bufsize = hellosize*4 + 1; 新手。 2008-11-20 20:24 0
icersg 雪币： 293 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 471 粉丝 0 关注私信	icersg 4 楼同意2楼的。单说楼主的这个例子，既不能控制覆盖内容，又没办法控制覆盖的范围，只能让程序垮掉，不能利用吧？有人能针对楼主的程序利用一下吗？ 2008-11-20 21:00 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 5 楼楼主大概是说他找到了个整数溢出的漏洞，已经报告给MS了。至于上面那个例子，就是为了说明有”整数溢出“这样的漏洞的。我看见过的一个公布的真实的整数溢出漏洞是网络服务中的，可以远程溢出，其危险程度无比大，还好那是很久之前的漏洞了。不知道楼主这次又挖掘出哪个服务中的漏洞了。。。 2008-11-20 21:14 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 6 楼函式名称跟变量名称同名 ? 2008-11-20 21:34 0
supermilg 雪币： 22 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 92 粉丝 0 关注私信	supermilg 7 楼感谢大家的讨论，和楼上说的一样，我希望告诉大家的是警惕整数溢出。问题最初出现在下面的这个判断语句： if ( (hellosize*input) > bufsize) 我想大家一定经常会写，通常我们容易忽略乘法带来的整数溢出，一旦整数溢出，这个条件就会被Bypass，导致后面的strcpy过量拷贝。我程序只是抽出MS程序员犯的实质错误，这个错误位于一个打了多次补丁的系统服务中，当然，这个函数也相当复杂，不是那么容易像这个程序一样一眼就看出来的。这次发现的这个漏洞也很严重，因为通常整数溢出都会带来堆溢出或栈溢出。事实上，建议大家看看CVE 2007年的一份漏洞统计报告，关于整数溢出产生的漏洞数量已经排到第三位，成为软件漏洞的第三大来源。因此大家写代码一定要警惕又警惕。一不小心就会踩地雷呀！ 2008-11-21 17:02 0
supermilg 雪币： 22 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 92 粉丝 0 关注私信	supermilg 8 楼》》函式名称跟变量名称同名 ? 确实好像我的程序写得有问题，谢谢提醒，哈哈，我还真没注意到! 2008-11-21 17:03 0
feix 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	feix 9 楼不错。提倡多发表一些关于安全代码的文章。 2009-1-23 10:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

supermilg

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区