AFL 使用学习


阅读数: 次   

安装

AFL 下载地址

http://lcamtuf.coredump.cx/afl/

安装方式 

1
2
3
4
5
wget http://lcamtuf.coredump.cx/afl/releases/afl-latest.tgz
tar xvf afl-latest.tgz
cd afl-2.52b
# make && make install
sudo make && sudo make install

安装后保存在 /usr/local/bin

image-20210309142235881

在执行的过程中会遇到一些错误,但都给出了提示,如:

1
echo core > /proc/sys/kernel/core_pattern

学习

基础使用

https://paper.seebug.org/841/

1
2
3
4
5
6
7
8
9
10
afl-gcc 和afl-g++ 分别对应的是gcc 和g++ 的封装   可以编译文件,并在源文件中添加特殊指令用于 afl fuzz 编译插装
afl-clang 和afl-clang++ 分别对应clang 的c 和c++ 编译器封装À。
afl-fuzz 是AFL 的主体,用于对目标程序进行fuzz。
afl-analyze 可以对用例进行分析,通过分析给定的用例,看能否发现用例中有意义的字段。
afl-qemu-trace 用于qemu-mode,默认不安装,需要手工执行qemu-mode 的编译脚本进行编译,后面会介绍。
afl-plot 生成测试任务的状态图
afl-tmin 和afl-cmin 对用例进行简化
afl-whatsup 用于查看fuzz 任务的状态
afl-gotcpu 用于查看当前CPU 状态
afl-showmap 用于对单个用例进行执行路径跟踪

处理流程图 来自 上面链接

image-20210309143127979

使用方法为

如果有源码 ,使用 afl-gcc 进行编译插装

afl-fuzz -i ./testcases/-o ./results ./vuln1

-i 指定 输入的数据目录

-o 指定输出的结果目录

fuzz 简单事例

我们编写一个 存在漏洞的 程序

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
#include <stdio.h>
#include <string.h>
 
int main(void)
{
    char login[32];
    char passwd[32];
 
    printf("Login: \n");
    gets(login);
    printf("Password: \n");
    gets(passwd);
 
    if (strcmp(login, "root") == 0) {
        if (strcmp(passwd, "root") == 0) {
            printf("Access Granted.\n");
            return 0;
        }
    }
 
    printf("Access Denied.\n");
    return 1;
}

存在 gets 的栈溢出漏洞。

利用 afl-gcc 编译。并不需要 cananry 保护

afl-gcc -fno-stack-protector -z execstack test.c -o test1

image-20210309145205626

然后是创建 fuzz 用的测试用例。

创建 input 目录

image-20210309145811440

然后返回左面创建 res 目录

然后切到root用户,修改core_pattern文件内容为core

echo core > /proc/sys/kernel/core_pattern

然后运行

afl-fuzz -i ./input/ -o ./res/ ./test1

image-20210309150032935

image-20210309150051544

uniq crashes,如果它的值不为0,表明已经有输入导致了程序崩溃,在results/crashes文件夹里存有相应文件

image-20210309150138725

里面保存的就是程序逻辑中 不同程序路径下的输入内容

image-20210309150430735

比如这里就 是可以输入 root root

queue 目录下保存了 不同的输入 内容

测试crashes 数据

cat ./res/crashes/id\:000001\,sig\:11\,src\:000004\,op\:ext_AO\,pos\:0 | ./test1

image-20210309165908809

窗口解读

  • Process timing:Fuzzer运行时长、以及距离最近发现的路径、崩溃和挂起经过了多长时间。
  • Overall results:Fuzzer当前状态的概述。
  • Cycle progress:我们输入队列的距离。
  • Map coverage:目标二进制文件中的插桩代码所观察到覆盖范围的细节。
  • Stage progress:Fuzzer现在正在执行的文件变异策略、执行次数和执行速度。
  • Findings in depth:有关我们找到的执行路径,异常和挂起数量的信息。
  • Fuzzing strategy yields:关于突变策略产生的最新行为和结果的详细信息。
  • Path geometry:有关Fuzzer找到的执行路径的信息。
  • CPU load:CPU利用率

语料库

初始输入数据(也叫种子文件)作为Fuzzing的起点,这些输入甚至可以是毫无意义的数据,AFL可以通过启发式算法自动确定文件格式结构。

需要保证

  1. 是有效输入
  2. 尽量小的体积

AFL 算法

1) 把用户提供的初始测试用例加载到队列(queue)中;

2) 从队列中获取下一个测试输入文件;

3) 在保持程序行为的前提下,尝试修剪(trim)测试用例(体积)到最小;

4) 使用传统的模糊测试策略中的各种已有的研究方法,重复变异文件;

5) 如果生成的变异结果能够驱动新的状态转换(通过插桩记录),则把这一测试用例加入到队列中;

6) 调到第2步。

对二进制程序插桩

操作 利用 qemu 插装 黑盒

1
2
cd qemu_mode
./build_qemu_support.sh

谢谢你请我吃糖果

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

很惭愧<br><br>只做了一点微小的工作<br>谢谢大家