当前位置: 首页 > 技术干货 > AFL--模糊测试使用浅析

AFL--模糊测试使用浅析

发表于:2022-05-24 16:10 作者: 榉橡 阅读数(1289人)

 一、AFL简介

  AFLAmerican Fuzzy Lop)是由安全研究员Micha Zalewski 开发的一款基于覆盖引导(Coverage-guided)的模糊测试工具,它通过记录输入样本的代码覆盖率,从而调整输入样本以提高覆盖率,增加发现漏洞的概率。

从源码编译程序时进行插桩,以记录代码覆盖率(Code Coverage);
选择一些输入文件,作为初始测试集加入输入队列(queue);
将队列中的文件按一定的策略进行突变
如果经过变异文件更新了覆盖范围,则将其保留添加到队列中;
上述过程会一直循环进行,期间触发了crash的文件会被记录下来。

AFL--模糊测试使用浅析356.png

 二、AFL安装、测试

 1.安装AFL

 下载源码

AFL--模糊测试使用浅析382.png

 Make

AFL--模糊测试使用浅析389.png

 llvm_mode安装

AFL--模糊测试使用浅析403.png

 之后输入以下命令进行安装

AFL--模糊测试使用浅析418.png

 2.AFL测试

 下载一个有缺陷的c文件

AFL--模糊测试使用浅析440.png

 使用 afl-gcc/afl-clang 编译

AFL--模糊测试使用浅析466.png

 生成一些种子语料库

AFL--模糊测试使用浅析478.png

 开始fuzz

AFL--模糊测试使用浅析487.png

 提示修改/proc/sys/kernel/core_pattern

AFL--模糊测试使用浅析523.png

 再次运行之前的代码可看到fuzz进度

AFL--模糊测试使用浅析544.png

 现在就表示我们的ACL已经安装成功了,注意出现(odd,check syntax!)是表示样例根本没有进入到测试中去,需要调整语料库。

 Ctrl+C打断可以在out文件里看见我们的测试信息

AFL--模糊测试使用浅析641.png

 3.并行fuzz测试

 每个afl-fuzz进程占用CPU的一个核,实际上如果是多核的主机,AFL就可以并行工作

 首先先看自己有多少内核

AFL--模糊测试使用浅析711.png

 以上可以看出有四个内核意味着可以同时运行4个实例

 首先指定主实例   -M 用于主实例,将 -S 添加到所有从属实例。它们可以相互同步

 主实例:afl-fuzz -M master -i in/ -o out/ -m none -- ./imgRead_afl @@

 从实例:afl-fuzz -S slave1 -i in/ -o out/ -m none -- ./imgRead_afl @@

AFL--模糊测试使用浅析913.png

 在之前的out文件夹会多出俩个不同的文件夹masterhslave1

 现在尝试假如我们一次性运行5个实例会怎么样

 在运行第5个实例后报错,其他实例不受影响,也可以确定4个核在运行中

AFL--模糊测试使用浅析1007.png

 三、AFL模糊测试libjpeg-turbo

 libjpeg是专门处理Jpeg解码、编码、转码的自由软件库。libjpeg-turbo是其fork版本,还有一个基于libjpeg-turbo的fork的版本是MozJpeg。

 1.编译libjpeg-turbo

 首先下载libjpeg-turbo

 之后需要修改cmakelist.txt,进行插桩编译

 在cmakelist.txt中,在cmake_minimum_required命令下添加编译器选项,在前面添加,免得被覆盖,进行插桩编译

AFL--模糊测试使用浅析1254.png

 之后在libjpeg-turbo文件夹下

 mkdir build

 cd build

 cmake ..

 make

 sudo make install

AFL--模糊测试使用浅析1331.png

   AFL--模糊测试使用浅析1336.png

 安装好之后build的内容如下

AFL--模糊测试使用浅析1354.png

 之后利用程序的示例对是否成功安装libjpeg-turbo库进行测试

AFL--模糊测试使用浅析1391.png

 该函数有俩个参数  一个输入文件名,一个作为输出文件名

 具体作用就是调用了turbojpeg.h这个库函数对输入的jpg图片进行压缩

 因为修改了cmake中的编译器设置,应该库函数里已经是被插过桩的,所以在编译时是可以不用afl-gcc编译也可以进行检测

AFL--模糊测试使用浅析1521.png

 这样是可以生成可执行文件,也可以实现压缩图片的功能,这里也对之前的样例进行了修改,只接收一个变量,并且不对压缩文件进行保存

AFL--模糊测试使用浅析1585.png

 但在进行模糊测试时出现以下问题

AFL--模糊测试使用浅析1603.png

 没有插桩信息,无法进行测试

 发现它是动态编译的,虽然应该其动态链接库是插过桩的。但最后已知没有实现。这里最后考虑是想通过链接静态库实现。也是在网上查询未果后,发现在根目录下输入  make test,可以调用他自己的样例进行测试,这其中就包括了静态链接的测试

 在一个静态链接测试的项目下,查看其ling.txt,得到静态编译的方式

AFL--模糊测试使用浅析1771.png

 最后对自己的编译自己的样例

AFL--模糊测试使用浅析1787.png

 之后开始模糊测试

AFL--模糊测试使用浅析1798.png

 总共测试次数超过1亿次,开了4个并行

AFL--模糊测试使用浅析1819.png

AFL--模糊测试使用浅析1821.png

AFL--模糊测试使用浅析1823.png

AFL--模糊测试使用浅析1825.png

 4个样例的的最开始输入都是不一样的,可以从路径速度和总量上看出明显的区别,确实libjpeg-turbo在更新2.0之后,其安全性能得到了极大的提升,没有收到一个报错信息。

 2.内存错误检查工具

 这里有很多的内存检查工具,这里举个大概,只大概研究ASAN (-fsanitize=address)的使用和与AFL测试的结合

 这里测试了几个漏洞文件以此来明晰ASAN的作用

 编译文件模板如下

 g++ -fsanitize=address -fno-omit-frame-pointer -o t xxx.cpp

 这里只对几种漏洞进行展示

 use-after-fee

    AFL--模糊测试使用浅析2113.png

   AFL--模糊测试使用浅析2118.png

 可以看到漏洞的名称和发生的内存地址

 stack buffer overflow

AFL--模糊测试使用浅析2160.png

AFL--模糊测试使用浅析2162.png

 还有很多其他类型的漏洞可以进行检测

 Address Sanitizer 用法 - 简书 (jianshu.com)

 在AFL中启用ASAN的方式也比较简单

 在make时加上AFL_USE_ASAN=1

AFL--模糊测试使用浅析2320.png

 注意之后编译文件时需要加上启用asan的参数,不然会报错

AFL--模糊测试使用浅析2351.png

 3.构造自己的字典

 AFL自带自己的一个字典库,主要用于各种变异操作的

 如下是AFL的jpeg的字典

AFL--模糊测试使用浅析2404.png

 为了符合jpeg图片的实际,需要分析在jpeg中出现次数多且固定的字符

 这里挑选一些频率较高的字符加入字典

AFL--模糊测试使用浅析2460.png

 这里挑选的字符主要来源自各种jpeg的开头部分

 之后如果要使用字典需要使用-x参数进行指定字典文件

AFL--模糊测试使用浅析2512.png

 https://paper.seebug.org/496/#dictionary

 4.语料库蒸馏

 afl-cmin的核心思想是:尝试找到与语料库全集具有相同覆盖范围的最小子集。 举个例子,假设有多个文件,都覆盖了相同的代码,那么就丢掉多余的文件。

AFL--模糊测试使用浅析2695.png

 最后只留下一个文件

 afl-tmin(减小单个输入文件的大小)

 afl-tmin有两种工作模式,

 instrumented modecrash mode。默认的工作方式是instrumented mode

AFL--模糊测试使用浅析2801.png

 后面查资料得到tmin只能处理文件,文件夹需要修改脚本

AFL--模糊测试使用浅析2831.png

 精简到0bytes,后面在网上看到了相似的例子,这和tmin的精简策略有关,确实存在这种情况。

 如加上了参数-x,就会调用crash mode模式,会把导致程序非正常退出的文件直接剔除。这里测试的样例并没有crash例子,所以不进行测试。

 5.持久模式

 在持久模式下,AFL 仅模糊部分程序,而不是整个程序。只想模糊复杂软件中的特定功能时,这很有用。与分叉服务器模式相比,这提供了许多速度改进。

 具体例子如下:

AFL--模糊测试使用浅析3041.png

 对想要进行的部分进行修改

AFL--模糊测试使用浅析3056.png

 此时修改的文件是turbojpeg.c

 再修改cmakelist.txt如下

AFL--模糊测试使用浅析3097.png

 之后对库进行重新编译

AFL--模糊测试使用浅析3110.png

 编译方式

AFL--模糊测试使用浅析3117.png

 再进行afl-fuzz(与之前一致)

AFL--模糊测试使用浅析3138.png

 速度上确实比之前的速度要快,最快时比之前要快上俩倍多

 6.Afl-cov使用

 可以快速帮助我们调用lcovgcov处理来自afl-fuzz测试用例的代码覆盖率结果

 安装

 GCOV,它随gcc一起发布,所以不需要再单独安装,和afl-gcc插桩编译的原理一样,gcc编译时生成插桩的程序,用于在执行时生成代码覆盖率信息

 LCOV,它是GCOV的图形前端,可以收集多个源文件的gcov数据,并创建包含使用覆盖率信息注释的源代码HTML页面。

AFL--模糊测试使用浅析3360.png

 这里也可以使用apt-install afl-cov来安装,不过看网上建议这个版本实际使用上会有问题,所以这里还是直接下载源码

AFL--模糊测试使用浅析3426.png

 为了实现检查覆盖率需要修改cmakelist.txt如下

AFL--模糊测试使用浅析3457.png

 再次编译库

 编译文件

AFL--模糊测试使用浅析3470.png

 这里的afl-cov选择实时监控 也就是添加--live,先启动afl-cov,后启动afl-fuzz,当afl-fuzz退出时,afl-cov就会跟着退出

 启动afl-cov的命令

 /home/user/Desktop/afl-cov/afl-cov -d afl-cc --live --enable-branch-coverage -c . -e "cat AFL_FILE | ./ttt AFL_FILE" --overwrite

AFL--模糊测试使用浅析3693.png

 -d是之后afl-fuzz的输出文件,-c是直向源码文件的,在编译.c文件后,会生成一个.gno文件,-c 后面跟该文件的目录

 启动afl-fuzz(与之前一致)

AFL--模糊测试使用浅析3777.png

 Afl-fuzz退出后,afl-cov需要等一会才能正常退出,此时就可以看见生成分析的网页了

AFL--模糊测试使用浅析3826.png

 也可以针对已经生成的数据直接开启afl-cov,但要求编译已经加上了-fprofile-arcs -ftest-coverage

 

 网页首页

AFL--模糊测试使用浅析3899.png

 也可以进入到文件里,查看具体语句的执行次数

AFL--模糊测试使用浅析3923.pngAFL--模糊测试使用浅析3925.png

 7.afl_postprocess使用

 它最主要的作用就是可以规定生成种子的格式

AFL--模糊测试使用浅析3968.png

 作者在github上的样例的作用是让每个测试用例开头的标头都是GIF89a

 https://github.com/mirrorer/afl/blob/master/experimental/post_library/post_library.so.c

 编译方法

 gcc -shared -wall -O3 post_library.so.c -o post_library.so

 可以看看afl-fuzz.c对该方法的支持

AFL--模糊测试使用浅析4286.png

 获取AFL_POST_LIBRARY环境变量的值,自动加载afl_postprocess函数

 这里推荐使用export设定环境变量,需要说明的是export的环境变量只在当前的shell(BASH)或其子shell(BASH)下是有效的,shell关闭了,变量也就失效了,再打开新shell时就没有这个变量,需要使用的话还需要重新定义。如果需要一直使用,需要修改配置文件方法推荐

 https://blog.csdn.net/wx_it/article/details/118450790

AFL--模糊测试使用浅析4533.png

 加载后处理器库成功

AFL--模糊测试使用浅析4545.png

 也可以看到我们的测试样例变成了GIF格式,后处理库有效。

 测试其他的例子

AFL--模糊测试使用浅析4584.png

AFL--模糊测试使用浅析4586.png

 这部分需要注意的是对源码的处理,确保样例格式的满足输入的要求

 

 参考资料

Fuzzing open source softwares with AFL

AFL 漏洞挖掘技术漫谈(一):用 AFL 开始你的第一次 Fuzzing

AFL 漏洞挖掘技术漫谈(二):Fuzz 结果分析和代码覆盖率 

Fuzzing software: common challenges and potential solutions (Part 1) 

Fuzzing software: advanced tricks (Part 2)

AFL 源码分析


 实验推荐

 实验:Fuzz之AFL(合天网安实验室) 点击进入实操>>