C語言因直接操作內(nèi)存和高效性被廣泛應(yīng)用于系統(tǒng)級開發(fā)，但其缺乏邊界檢查的機制導(dǎo)致整數(shù)溢出成為安全漏洞的高發(fā)區(qū)。從符號轉(zhuǎn)換漏洞到無符號整數(shù)(unsigned)繞過安全檢查，攻擊者通過精心構(gòu)造的輸入觸發(fā)溢出，進而實現(xiàn)緩沖區(qū)溢出、權(quán)限提升甚至遠(yuǎn)程代碼執(zhí)行。本文結(jié)合典型漏洞案例，深入剖析整數(shù)溢出的攻擊原理與防御策略。

一、符號轉(zhuǎn)換漏洞：從類型不匹配到任意內(nèi)存寫入

符號轉(zhuǎn)換漏洞通常發(fā)生在有符號整數(shù)(signed)與無符號整數(shù)(unsigned)混合使用時。C語言在類型轉(zhuǎn)換時遵循“算術(shù)轉(zhuǎn)換規(guī)則”，即當(dāng)有符號數(shù)與無符號數(shù)參與運算時，有符號數(shù)會被隱式轉(zhuǎn)換為無符號數(shù)。若未對輸入范圍進行嚴(yán)格校驗，攻擊者可利用此特性繞過安全檢查。

典型案例：OpenSSH遠(yuǎn)程緩沖區(qū)溢出漏洞

在OpenSSH的auth2-chall.c文件中，input_userauth_info_response()函數(shù)存在整數(shù)溢出漏洞：

nresp = packet_get_int(); // 讀取網(wǎng)絡(luò)數(shù)據(jù)包中的整數(shù)值

if (nresp > 0) { // 檢查nresp是否為正數(shù)

response = xmalloc(nresp * sizeof(char *)); // 分配內(nèi)存

for (i = 0; i < nresp; i++) {

response[i] = packet_get_string(NULL); // 讀取字符串

}

}

攻擊原理：

符號轉(zhuǎn)換繞過檢查：packet_get_int()返回的nresp為有符號整數(shù)，但xmalloc的參數(shù)類型為size_t(無符號整數(shù))。若攻擊者發(fā)送負(fù)數(shù)(如-1)，在比較nresp > 0時會被視為無符號數(shù)0xFFFFFFFF(32位系統(tǒng))，從而繞過檢查。

整數(shù)溢出導(dǎo)致堆溢出：nresp * sizeof(char *)的計算中，-1的無符號轉(zhuǎn)換值為0xFFFFFFFF，乘以4后發(fā)生溢出(結(jié)果為0x00000004)，導(dǎo)致xmalloc僅分配4字節(jié)內(nèi)存。后續(xù)循環(huán)寫入大量數(shù)據(jù)時，覆蓋堆內(nèi)存中的函數(shù)指針或元數(shù)據(jù)，最終實現(xiàn)任意代碼執(zhí)行。

防御策略：

嚴(yán)格類型匹配：避免有符號與無符號數(shù)混合運算，統(tǒng)一使用size_t處理內(nèi)存相關(guān)操作。

輸入范圍校驗：在分配內(nèi)存前，顯式檢查nresp是否超過合理閾值(如nresp < MAX_ALLOWED_SIZE)。

使用安全函數(shù)：改用帶邊界檢查的內(nèi)存分配函數(shù)(如calloc替代malloc)。

二、unsigned繞過安全檢查：從回繞到緩沖區(qū)溢出

無符號整數(shù)溢出在C語言中是“定義明確的行為”(undefined behavior的例外)，即發(fā)生溢出時會對類型位寬取模。攻擊者利用此特性構(gòu)造輸入，使安全檢查失效并觸發(fā)溢出。

典型案例：字符串拼接緩沖區(qū)溢出

以下代碼片段試圖將兩個用戶輸入的字符串拼接至固定大小的緩沖區(qū)：

void concat_strings(char *str1, char *str2) {

size_t len1 = strlen(str1);

size_t len2 = strlen(str2);

char buf[256];

if (len1 + len2 < sizeof(buf)) { // 檢查總長度是否超過緩沖區(qū)

memcpy(buf, str1, len1);

memcpy(buf + len1, str2, len2);

buf[len1 + len2] = '\0';

}

}

攻擊原理：

無符號整數(shù)回繞繞過檢查：若len1和len2均為較大值(如0x100和0xFFFFFF00)，len1 + len2會發(fā)生溢出(結(jié)果為0x100 + 0xFFFFFF00 = 0x00000000)，導(dǎo)致條件len1 + len2 < sizeof(buf)成立。

緩沖區(qū)溢出：實際拼接時，memcpy會寫入超過buf大小的數(shù)據(jù)，覆蓋棧上的返回地址或函數(shù)指針，實現(xiàn)控制流劫持。

防御策略：

顯式溢出檢查：在計算長度前，檢查len1或len2是否接近SIZE_MAX - sizeof(buf)。

使用安全函數(shù)：改用snprintf或strlcpy等帶長度限制的字符串操作函數(shù)。

靜態(tài)分析工具：通過Coverity、Clang Static Analyzer等工具檢測潛在溢出風(fēng)險。

三、整數(shù)溢出攻擊的衍生場景

1. 循環(huán)條件繞過

以下代碼試圖限制循環(huán)次數(shù)以避免緩沖區(qū)溢出：

void read_data(int fd, char *buf, size_t max_len) {

int len = 0;

while (len < max_len) { // 檢查已讀取長度

len += read(fd, buf + len, max_len - len); // 讀取數(shù)據(jù)

}

}

攻擊原理：

若max_len為INT_MAX，且read返回負(fù)數(shù)(如-1)，len會因符號轉(zhuǎn)換變?yōu)?xFFFFFFFF，導(dǎo)致循環(huán)條件len < max_len恒成立，最終觸發(fā)無限循環(huán)或緩沖區(qū)溢出。

防御策略：

檢查返回值：確保read的返回值非負(fù)，且len不會超過max_len。

使用無符號類型：將len聲明為size_t以避免符號問題。

2. 數(shù)組越界訪問

以下代碼通過用戶輸入的索引訪問數(shù)組：

int get_array_element(int *arr, int index, size_t size) {

if (index >= 0 && index < size) { // 檢查索引范圍

return arr[index];

}

return -1;

}

攻擊原理：

若size為INT_MAX，攻擊者傳入index = -1，在比較index < size時，-1會被轉(zhuǎn)換為無符號數(shù)0xFFFFFFFF，導(dǎo)致條件成立并訪問非法內(nèi)存。

防御策略：

統(tǒng)一使用無符號索引：將index聲明為size_t，并確保size為合理值。

邊界檢查：在訪問數(shù)組前，顯式檢查index是否小于size。

四、防御整數(shù)溢出的通用策略

編譯器選項：啟用-fsanitize=undefined等編譯選項，在運行時檢測溢出。

靜態(tài)分析：通過SonarQube、Fortify等工具掃描代碼中的潛在溢出風(fēng)險。

安全編碼規(guī)范：

避免混合使用有符號與無符號整數(shù)。

對用戶輸入進行嚴(yán)格校驗。

使用安全的數(shù)學(xué)庫(如SafeInt、Arbitrary Precision Arithmetic)。

總結(jié)

C語言整數(shù)溢出的攻擊面廣泛，涵蓋符號轉(zhuǎn)換漏洞、無符號整數(shù)回繞、循環(huán)條件繞過等多種場景。攻擊者通過精心構(gòu)造輸入，利用C語言的隱式類型轉(zhuǎn)換和未定義行為，繞過安全檢查并觸發(fā)緩沖區(qū)溢出或控制流劫持。開發(fā)者需通過嚴(yán)格的輸入校驗、類型安全編程和安全工具輔助，構(gòu)建多層次的防御體系，從根本上降低整數(shù)溢出漏洞的風(fēng)險。