Integer Overflow

Hello :) ,
je me suis souvent posé la question du pourquoi du comment j’obtenais parfois des résultats ambigus avec mes entiers. Par exemple une somme de deux entiers positifs qui donnait un résultat négatif…
Ceci est en fait du à ce qu’on appelle “Integer Overflow” ou débordement d’entier.
Tout d’abord essayons de comprendre comment tout ceci fonctionne.

Les Entiers

Tout d’abord nous savons tous qu’il existe différents types de données (BYTE, WORD, DWORD, …). Prenons quelques exemples de type de données :

-Le type BYTE/SBYTE (en C c’est notre cher unsigned/signed char) : il est codé sur 1 octet donc 8 bits. Sa plage de valeur est donc comprise entre 0×00 et 0xFF.

-Le type WORD/SWORD (en C unsigned/signed short) : il est codé sur 2 octets donc 16 bits. Sa plage de valeur est comprise entre entre 0×0000 et 0xFFFF.

-De même le type DWORD/SDWORD (notre fameux unsigned/signed int) : codé sur 4 octets soit 32bits. Sa plage va de 0×00000000 à 0xFFFFFFFF;

De plus nous savons qu’un entier est soit positif, non-signé(unsigned), soit relatif, signé(signed). Pour les entiers positifs, il n’y a pas de complication. Pour un BYTE par exemple la plage de valeur est de 0 à 255.
Cependant voyons maintenant les entiers signés ou relatifs. Et oui ils peuvent être soit positifs soit négatifs d’où notre (petit) problème. Ce n’est en fait pas très compliqué. Prenons l’exemple d’un SBYTE (codé sur 1 octet et donc 8 bits). Il va en fait être partagé en deux parties, la première constituant le bit de poids fort et la seconde les 7 autres bits. Ce qui donne :

Si on parle binaire, les nombres compris entre 00000000 et 011111111 sont positifs et les nombres compris entre 10000000 et 11111111 sont négatifs. En hexa cela nous donne positif de 0×00 à 0×7F et négatif de 0×80 à 0xFF avec 0×80 = -128 (0xff =” -1.”)

Débordement d’entier

Pour commencer qu’est-ce qu’un débordement d’entier ? Et bien c’est tout simplement lorsque un entier prend une valeur qui n’est pas comprise dans sa plage. Par exemple un BYTE ne peut contenir la valeur 395 puisque supérieure à 255. Tout de même si vous tentez l’expérience vous verrez que votre variable prend une valeur (139 pour être précis). Tiens c’est bizarre tout ça.
En fait, lorsqu’on va tenter de mettre 395 dans notre variable c’est le résultat de 395 % 255 = 139 qui va être placé dans la variable.
Il se fera de même pour les autres types de données et les entiers relatifs.
Voici un code qui illustre tout ça :

Maintenant vous allez me dire, mais que se passe-t-il d’autre lors d’un débordement d’entier, une exception n’est pas levée ? Et bien à part dans le cas d’une division non. On verras plus tard pour ce cas particulier. Il y a parcontre des changements au niveau des flags notament le Carry Flag et le Overflow Flag. Le CF lui est armé à chaque fois qu’une opération déborde de la plage de valeur du type de donnée. Pour le OF c’est un peu plus compliqué. Il est mis à un lorsque le résultat d’une opération est de signe logiquement contraire à celui qu’il aurait du être, ceci étant du à un int overflow. Quelques exemples pour illustrer ceci :

-L’addition de deux nombres positifs qui donne un nombre négatif ou inversement. Ce qui est intéressant c’est si l’entier est signé ou non-signé le flag OF prend les mêmes valeurs. Voyez le code si dessous vous comprendrez peutêtre mieux:

Pour le premier résultat il n’y a pas de problème, on constate bien qu’il est négatif à cause de l’int overflow.
Pour le second c’est un peu plus surprenant. Le résultat 254 est positif cependant si on le converti en hexa 0xFE ou en binaire 11111110 on voit bien que si c’était un entier signé il serait négatif. Et bien c’est ce qui est pris en compte pour notre OF.

-La soustraction d’un nombre positif avec un nombre négatif qui donne un résultat négatif ou inversement.

-La multiplication de deux nombres positifs qui donne un résultat négatif, de même pour la division.

Tout à l’heure je parlais de l’instruction DIV mais aussi IDIV qui génèrent une exception lorsque le résultat ou quotient est trop grand. Voici un morceau de code qui génère l’exception :

MOV AX, 1000h
MOV BL, 10h
DIV BL

Et on obtient un joli message d’erreur:

A noter que l’exception générée est Integer Overflow, on s’en serait douté. Cette exception correspond à l’interruption 04h et comme nous le dis le manuel intel le handler de cette interruption ne va pas modifier grand chose au programme et celui-ci va planter. On nous dis aussi que l’instruction INTO (INTerruption on Overflow) génère l’exception Integer Overflow lorsque le OF est à 1. On va donc pouvoir « catcher » ou détecter une partie des Int Overflow là où on pense qu’ils peuvent avoir lieu. Je dis une partie en effet car l’OF n’est pas set à chaque fois comme dis précédemment. Il suffit de mettre un INTO après notre calcul puis de poser un handler et le tour est joué. Voici ce que ça donne :

Et voilà on arrive à détecter un Int overflow qui agit sur l’OF avant qu’il ne puisse faire mal.
Pour ce qui est des débordements d’entiers qui agissent seulement sur le CF il faut soit vérifier son état soit utiliser une instruction comme ADC (ADd with Carry)par exemple qui ajoute à l’opérande destination l’oprérande source et le contenu de CF.

C’est à peu près tout ce que je voulais expliquer. Je vous laisse donc avec un petit divertissement qui a fais peur à Overclok :p : MiniCrackme :)

Les codes et binaires sont disponibles ici.

Voilà à bientôt.

    • bouley
    • August 31st, 2009

    J’ai pas bien compris la subtilité ou la difficulté du crackme. L’analyse peut se faire directement en statique:
    [spoil+ à l'arrache]
    avant tout on a nombre saisi > 0×5f, à retenir
    après al-0×67 <= 0×10 al 0×1F3
    et enfin al+0×12 necessite un overflow, sinon badboy. On va prendre AL positif, donc après le add il doit passer en négatif pour overflow (soir MSB=1, donc al > 0×80)
    Après l’overflow, le into nous ramène en unhandledexceptionfilter ou ya rien de particulier (j’ai pas pigé l’utilité de la div et pas cherché plus loin vu que le reste fonctionne)

    Avec ça on en déduit:
    nombre saisi > 0×2yy (avec yy = 0×80, d’où 6E<=yy<=77
    Au final le nombre doit être:
    en hexa: de type AB, avec A sur 3 octets, 0×2<=A<0xFFFFFF, et 6e<=B<=77

    le premier nombre possible est donc 0×0026E = 622 (enfin il me semble, du moins ça marche)
    [/spoil]

    En tout cas bon exemple :)

    • admin
    • August 31st, 2009

    Salut,
    tout d’abord le but du crackme n’est pas d’être difficile mais juste de mettre en pratique un peu tout ça.
    Sinon ton analyse est pas mal :) . Pour la division elle est là pour limiter le nombre de solutions…
    Ton “AB, avec A sur 3 octets, 0×2<=A<0xFFFFFF, et 6e<=B<=77″ n’est donc pas tout à fait juste. Il te manque l’analyse de la 3e étape. Enfin tu as raison 622 marche très bien.
    En tout cas bien joué et merci pour le comm.
    Lilxam.

  1. Salut,
    Déjà bravo lilxam j’ai bien aimé, je connaissais très peu le principe (tu l’as vite constaté :) ) mais
    maintenant tu m’as eclairé pas mal de point. Bien joué ;) .
    Ensuite quand au monsieur qui réalise l’analyse statiquement c’est loin d’être mon cas !
    J’ai du sortir olly et m’y pencher pendant quelques temps, j’ai pris des notes au cours de la recherche de solutions
    je vous les propose :

    Lilxam Crackme – Integer Overflow
    ———————————

    N : nombre saisis.
    N1 : 1premier byte (à droite).
    ..
    NN : N ème byte.

    s : solution.

    1°) -N > 0×5F
    0×60XXXXXX <= s <= 0xFFXXXXXXXX

    -N1 – 0×67 <= 0×10
    N1 <= 77
    0xXXXXXX00 <= s 0×10,
    c’est pour cela qu’on rehausse la limite à 0×67.

    Stage 1 completed:
    0xXXXXXX67 <= s 0×1F3
    0×1F3 0×80 soit N1 => 6E

    Pour le moment, je passe les tests avec 0×0000026F (623).

    4°) -N-0×70
    -N2N1/8 <= 0xFF
    N2N1 notre dword avec les contraintes suivante :
    6E <= N1 0×1F3
    N2N1 <= 0×7F8

    A partir de ces règles on peut obtenir les solutions ; la mienne sera 0×1F31086F soit 523307119 mwhaha :) .

    Il y'a peut être des endroits où je me suis planté (ça m'etonnerait pas) m'enfin ça a l'air de fonctionner, encore une fois merci lilxam :) .
    Cordialement, 0vercl0k.

    • admin
    • August 31st, 2009

    Voilà bravo c’est tout à fait ça :) , du moins je crois ^^.
    Tu vois que c’était pas si compliqué :p.
    Merci et bonne continuation.
    Lilxam.

  2. slt
    j’ai une question ,quelle sons les conséquence de cette faille :?
    car jais vue une exploit d’un integer overflow dans microsoft paint qui exécute un shellcode 0o
    j’ai juste comprit que la faille et aux niveaux de dimension de l’image JPG car l’exploit créer une image de (32000*3200)
    avez-vous un tuto qui expliquer comment exécuter un shellcode avec cette faille comme pour les stack overflow classique ?
    je pense qu’il y a une relation avec les flag OF ,CF

    PS:dsl pour mon orthographe :’(

  1. No trackbacks yet.

Comment are closed.