文章目錄

• 概念介紹
• • 1. 模糊測(cè)試的概念
  • • 1.1 模糊測(cè)試技術(shù)的核心思想
    • 1.2 模糊測(cè)試的方法
  • 2. 模糊測(cè)試的過(guò)程
  • • 2.1 確定測(cè)試目標(biāo)
    • 2.2 確定預(yù)期輸入
    • 2.3 生成模糊測(cè)試用例
    • 2.4 執(zhí)行模糊測(cè)試用例
    • 2.5 監(jiān)視異常
    • 2.6 異常分析并確認(rèn)漏洞
• 實(shí)驗(yàn)流程
• • 1. 安裝AFL
  • 2. 安裝漏洞語(yǔ)料庫(kù)、目標(biāo)C程序
  • 3. 開(kāi)始測(cè)試
• 參考內(nèi)容

概念介紹

1. 模糊測(cè)試的概念

1.1 模糊測(cè)試技術(shù)的核心思想

• 模糊測(cè)試(Fuzz Testing)主要屬于黑盒測(cè)試和灰盒測(cè)試領(lǐng)域，是一種基于缺陷注入的軟件安全測(cè)試技術(shù)。
• 模糊測(cè)試技術(shù)的核心思想是通過(guò)監(jiān)視非預(yù)期輸入可能產(chǎn)生的異常結(jié)果來(lái)發(fā)現(xiàn)軟件問(wèn)題。
  • 具體來(lái)說(shuō)就是使用大量半有效的數(shù)據(jù)，以程序是否出現(xiàn)異常作為標(biāo)志，發(fā)現(xiàn)應(yīng)用程序中結(jié)構(gòu)可能存在的安全漏洞。
  • 半有效數(shù)據(jù)是指，對(duì)應(yīng)用程序來(lái)說(shuō)，測(cè)試用例的必要標(biāo)識(shí)部分和大部分?jǐn)?shù)據(jù)是有效的，這樣待測(cè)程序就會(huì)認(rèn)為這是一個(gè)有效的數(shù)據(jù)，但是同時(shí)該數(shù)據(jù)的其他部分是無(wú)效的。這樣，應(yīng)用程序就有可能發(fā)生錯(cuò)誤，這種錯(cuò)誤可能導(dǎo)致應(yīng)用程序的崩潰或者觸發(fā)相應(yīng)的安全漏洞。

1.2 模糊測(cè)試的方法

• 模糊測(cè)試可以簡(jiǎn)單到隨意敲打鍵盤(pán)來(lái)輸入隨機(jī)數(shù)據(jù)。
• 早期的模糊測(cè)試方法多是基于對(duì)單一數(shù)據(jù)進(jìn)行一維或多維變異來(lái)形成測(cè)試數(shù)據(jù)。當(dāng)前，模糊測(cè)試已經(jīng)演變成了更為有效的、自動(dòng)化更加健全的技術(shù)。
• 模糊測(cè)試方法分類(lèi)如下：
  • 預(yù)生成測(cè)試用例。需要理解對(duì)象規(guī)約支持的數(shù)據(jù)結(jié)構(gòu)和可接受的范圍，然后對(duì)應(yīng)生成測(cè)試邊界條件或者是違反規(guī)約的測(cè)試用例。生成測(cè)試用例很費(fèi)神，但是可以復(fù)用。用完用例，測(cè)試結(jié)束。
  • 隨機(jī)生成輸入。效率最低，但是可以快速識(shí)別目標(biāo)是否有非常糟糕的代碼。
  • 手工協(xié)議變異測(cè)試。比隨機(jī)生成更加初級(jí)。優(yōu)點(diǎn)是可充分發(fā)揮自己過(guò)去的經(jīng)驗(yàn)和“直覺(jué)”。常用于Web應(yīng)用安全測(cè)試。
  • 變異或強(qiáng)制性測(cè)試。模糊器從一個(gè)有效的協(xié)議樣本或是數(shù)據(jù)格式樣本開(kāi)始，持續(xù)不斷地打亂數(shù)據(jù)包或是文件中的每一個(gè)字節(jié)、字、雙字或是字符串。雖然該方法浪費(fèi)了CPU資源，但是不需要對(duì)應(yīng)用進(jìn)行研究，并且整個(gè)模糊測(cè)試過(guò)程可以完全自動(dòng)化。
  • 自動(dòng)協(xié)議生成測(cè)試。需要先對(duì)應(yīng)用進(jìn)行研究，理解和解釋協(xié)議規(guī)約或文件定義。但是這種方法并不基于協(xié)議規(guī)約或文件定義創(chuàng)建硬編碼的測(cè)試用例，而是創(chuàng)建一個(gè)描述協(xié)議規(guī)約如何工作的文法。例如，SPIKE和SPIKEfile工具都是這類(lèi)測(cè)試的典型例子，采用SPIKE腳本描述協(xié)議或是文件格式，并使用一個(gè)模糊測(cè)試引擎來(lái)創(chuàng)建輸入數(shù)據(jù)。

2. 模糊測(cè)試的過(guò)程

模糊測(cè)試可以分為6個(gè)基本階段，如圖所示：

2.1 確定測(cè)試目標(biāo)

• 不同的測(cè)試目標(biāo)使用的模糊測(cè)試技術(shù)和方法也不一樣。需要考慮對(duì)內(nèi)部開(kāi)發(fā)的應(yīng)用程序還是對(duì)第三方應(yīng)用程序進(jìn)行模糊測(cè)試。還必須選擇應(yīng)用程序中的具體的目標(biāo)文件或庫(kù)，尤其是選擇那些被多個(gè)應(yīng)用程序共享的庫(kù)，因?yàn)檫@些庫(kù)的用戶(hù)群體比較大，出現(xiàn)安全漏洞的風(fēng)險(xiǎn)也相應(yīng)較高。
• 在此過(guò)程中，針對(duì)被測(cè)試程序，在一些典型的漏洞信息網(wǎng)站（如SecurityFocus、Secunia、CNVD等），查找軟件開(kāi)發(fā)商歷史上曾出現(xiàn)的安全漏洞，分析這些漏洞的形成原因及編碼習(xí)慣，有針對(duì)性地選擇相應(yīng)的模糊測(cè)試工具和方法。

2.2 確定預(yù)期輸入

• 模糊測(cè)試是一個(gè)不斷枚舉輸入向量的過(guò)程，任何從客戶(hù)端發(fā)往目標(biāo)應(yīng)用程序的輸入都應(yīng)該作為輸入向量，比如一個(gè)http請(qǐng)求，包括請(qǐng)求頭、url以及發(fā)送的參數(shù)等，其他輸入向量還有文件名、環(huán)境變量以及注冊(cè)表鍵值等。
• 對(duì)不同的軟件，可以選擇性地側(cè)重某些輸入向量，但是一個(gè)完整的模糊測(cè)試過(guò)程應(yīng)該進(jìn)行充分、完全的測(cè)試。
• 例如，對(duì)tcp協(xié)議處理軟件進(jìn)行模糊測(cè)試，不僅要對(duì)數(shù)據(jù)部分進(jìn)行測(cè)試，序號(hào)、確認(rèn)號(hào)、數(shù)據(jù)偏移字段、標(biāo)志位、保留字段、窗口以及校驗(yàn)和等部分也應(yīng)該被納入模糊測(cè)試的范圍。

2.3 生成模糊測(cè)試用例

• 確定待測(cè)試目標(biāo)和輸入向量后，應(yīng)該根據(jù)不同的輸入向量選擇不同的模糊器來(lái)生成模糊測(cè)試用例。由于數(shù)據(jù)量較大，這個(gè)階段通常會(huì)采用自動(dòng)化方式完成。
• 模糊器常用的生成測(cè)試數(shù)據(jù)的方法如下：
  • 基于生成的方法，在對(duì)目標(biāo)軟件輸入數(shù)據(jù)格式的規(guī)約有深刻了解的基礎(chǔ)上，自動(dòng)生成一些不滿(mǎn)足數(shù)據(jù)規(guī)約的測(cè)試樣本。
  • 基于變異的生成方法，從一個(gè)合法的樣本出發(fā)，通過(guò)某些算法不斷地修改其中一些數(shù)據(jù)，生成一批畸形的測(cè)試用例。
  • 生成和變異相結(jié)合的方法。

2.4 執(zhí)行模糊測(cè)試用例

• 執(zhí)行模糊測(cè)試用例就是將上一階段生成的大量模糊測(cè)試數(shù)據(jù)不斷發(fā)送給待測(cè)試目標(biāo)程序。面對(duì)大量的模糊測(cè)試數(shù)據(jù)，同樣需要使用自動(dòng)化工具來(lái)完成。

2.5 監(jiān)視異常

• 監(jiān)視異常可以發(fā)現(xiàn)程序哪里發(fā)生故障，并根據(jù)監(jiān)視信息進(jìn)一步分析為什么會(huì)產(chǎn)生故障。由于模糊測(cè)試過(guò)程比較長(zhǎng)，當(dāng)測(cè)試用例的數(shù)目較多時(shí)，常常需要采用自動(dòng)化的方式實(shí)現(xiàn)。
• 當(dāng)前常用的異常監(jiān)視技術(shù)依據(jù)原理分為兩種：
  • 基于調(diào)試的方法。在調(diào)試模式下啟動(dòng)目標(biāo)軟件，通過(guò)操作系統(tǒng)平臺(tái)提供的調(diào)試API，開(kāi)發(fā)有針對(duì)性的異常檢測(cè)模塊。此方法實(shí)現(xiàn)異常監(jiān)視雖然難度較大，但更加高效。
  • 基于插樁的方法。在模糊測(cè)試過(guò)程中，僅僅通過(guò)觀(guān)察程序的輸入、輸出，對(duì)了解軟件內(nèi)部的運(yùn)行信息往往是不夠的。例如軟件運(yùn)行過(guò)程中內(nèi)部變量的狀態(tài)信息、模塊之間的交互信息等，這些信息對(duì)于發(fā)現(xiàn)漏洞及定位漏洞來(lái)說(shuō)特別重要。基于插樁的方法就是在保證被測(cè)試程序原有邏輯完整的基礎(chǔ)上，在程序中插入一些探針（又稱(chēng)為“探測(cè)儀”，本質(zhì)上是進(jìn)行信息采集的代碼段，可以是賦值語(yǔ)句或采集覆蓋信息的函數(shù)調(diào)用），通過(guò)探針的執(zhí)行并拋出程序運(yùn)行的特征數(shù)據(jù)，通過(guò)對(duì)這些數(shù)據(jù)的分析，可以獲得程序的控制流和數(shù)據(jù)流信息，進(jìn)而得到邏輯覆蓋等動(dòng)態(tài)信息，從而實(shí)現(xiàn)測(cè)試目的的方法。目前常用的插樁方法分為源代碼插樁、靜態(tài)代碼插樁和二進(jìn)制代碼插樁等。
    • 源代碼插樁(Source Code Instrumentation)。這是一種最自然的方式，即在編寫(xiě)軟件時(shí)，在需要監(jiān)視的地方插入檢測(cè)代碼，如增加輸出信息語(yǔ)句、增加日志語(yǔ)句等，尤其是面向切面編程技術(shù)(Aspect Oriented Programming)可以較好地用于源代碼插樁，有效分離業(yè)務(wù)邏輯與監(jiān)測(cè)邏輯。
    • 靜態(tài)代碼插樁。例如在Java中，字節(jié)碼插樁可以直接更改中間代碼文件（如Java的.class文件等）或在類(lèi)被類(lèi)加載器(Class Loader)裝載時(shí)進(jìn)行字節(jié)碼插樁。字節(jié)碼插樁擁有執(zhí)行效率高、插樁點(diǎn)靈活等優(yōu)點(diǎn)，使其在面向切面編程領(lǐng)域大放光彩，并陸續(xù)出現(xiàn)了BCEL、Javassit和ASM等工具。
    • 基于二進(jìn)制的插樁。該技術(shù)可以進(jìn)一步提高模糊測(cè)試的異常檢測(cè)能力，但是其系統(tǒng)消耗較大，且大部分為商業(yè)插樁軟件。常用的二進(jìn)制插樁工具有DynamoRIO、Dyninst和Pin等。

2.6 異常分析并確認(rèn)漏洞

• 異常分析并確認(rèn)漏洞是模糊測(cè)試過(guò)程中的最后一步，主要分析目標(biāo)軟件產(chǎn)生異常的位置與引發(fā)異常的原因。常用的分析方法是借助于IDA Pro、OllDbg和SoftICE等二進(jìn)制分析工具進(jìn)行人工分析。

實(shí)驗(yàn)流程

1. 安裝AFL

• 下載AFL源代碼wget https://lcamtuf.coredump.cx/afl/releases/afl-latest.tgz tar -zxvf afl-latest.tgz cd afl-2.52b
• 安裝gcc編譯器
  • 原本打算通過(guò)安裝llvm與clang進(jìn)行編譯，不過(guò)在之后執(zhí)行sudo make install的時(shí)候報(bào)錯(cuò)"Oops, the instrumentation does not seem to be behaving correctly..."，經(jīng)查可能是llvm版本問(wèn)題，故改為gcc編譯。
  sudo apt-get install gcc
• make并展示指令列表，確認(rèn)安裝成功make sudo make install alf-fuzz
  
  

2. 安裝漏洞語(yǔ)料庫(kù)、目標(biāo)C程序

• 安裝漏洞語(yǔ)料庫(kù)mkdir testcase cd testcase wget http://samples.ffmpeg.org/tests/DivX-test/Xmen-OpenDivX-200-slow.avi cd ..
• 確定目標(biāo)C程序：選擇的目標(biāo)C程序是off-the-shelf C程序ultrix42-deroff.c，其內(nèi)容存在于testfile.c內(nèi)
  

3. 開(kāi)始測(cè)試

• 對(duì)代碼進(jìn)行編譯

  afl-gcc -g -o afl_test testfile.c

• 開(kāi)始fuzzing程序

  • 原本使用的指令為afl-fuzz -i testcase -o output . /afl test，報(bào)錯(cuò)內(nèi)容為
    
  • 修改配置，執(zhí)行以下指令，結(jié)果如圖sudo su root echo ecore > /proc/sys/kernel/core_pattern exit
  • 此問(wèn)題解決之后再次報(bào)錯(cuò)顯示內(nèi)存的50M限制被占滿(mǎn)，該用以下指令解決該問(wèn)題。afl-fuzz -i testcase -o output ./afl_test sam2p @@

• fuzzing時(shí)的面板
  

• 結(jié)束后的面板
  

參考內(nèi)容

博客：AFL(American Fuzzy Lop)的初次使用使用

教材：機(jī)械工業(yè)出版社《軟件安全技術(shù)》

博客：AFL(American fuzzy lop) 二進(jìn)制程序模糊測(cè)試工具學(xué)習(xí)

論壇：llvm_mode error with llvm 13: "Oops, the instrumentation does not seem to be behaving correctly"報(bào)錯(cuò)的原因

博客：AFL黑盒測(cè)試FFmpeg（參照使用了此博客內(nèi)實(shí)驗(yàn)流程使用的測(cè)試語(yǔ)料庫(kù)）

博客：fuzzing工具之AFL的安裝與使用（參照使用此博客內(nèi)實(shí)驗(yàn)流程的指令格式，解決"Oops, the program crashed with one of the test cases provided." 報(bào)錯(cuò)）

代碼：有漏洞的off-the-shelf C程序ultrix42-deroff.c

官方網(wǎng)頁(yè)：AFL官網(wǎng)

總結(jié)

以上是生活随笔為你收集整理的[课业] | 软件安全 | 使用American Fuzzy Lop工具挖掘C/C++程序漏洞的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。