0x01 什么是oss-fuzz

谷歌的oss-fuzz能够针对开源软件进行持续的模糊测试，其测试开发团队也提到“OSS-Fuzz的目的是利用更新的模糊测试技术与可拓展的分布式执行相结合，提高一般软件基础架构的安全性与稳定性。OSS-Fuzz结合了多种模糊测试技术/漏洞捕捉技术（即原来的libfuzzer）与清洗技术（即原来的AddressSanitizer），并且通过ClusterFuzz为大规模可分布式执行提供了测试环境。”，当然fuzzer也可以选择AFL,libfuzzer

先下载源码

拉取镜像

1
2
3
4
5
6
7
8
9

# docker pull ubuntu:18.04
18.04: Pulling from library/ubuntu
23884877105a: Pull complete 
bc38caa0f5b9: Pull complete 
2910811b6c42: Pull complete 
36505266dcc6: Pull complete 
Digest: sha256:3235326357dfb65f1781dbc4df3b834546d8bf914e82cce58e6e6b676e23ce8f
Status: Downloaded newer image for ubuntu:18.04
docker.io/library/ubuntu:18.04

count

ARM pwn，虽然本地运行不起来，但是也不需要，直接挂远程就行了，

先是200次循环计算出结果后，输入一串字符处有溢出，将变量覆盖为0x12235612调用后门

网上的修改本机host文件方法亲测不管用

通过码去云下载是真的香 https://gitee.com/

注册并登录后创建仓库

拉到下面导入已有你仓库

将github链接导入并创建就完成了

之后进入gitee中的库下载就行了，速度快到飞起

x86和MIPS指令集的差异

1、MIPS指令系统大量使用寄存器，包括返回地址也是存放在ra寄存器中的

2、没有堆栈直接操作的指令，也就是就没有push 和pop 指令

3、所有指令都是32位编码，也就是说所有的数据和指令都是4字节对齐

由于MIPS固定指令长度，造成其编译后的二进制文件和内存占用空间比x86的要大

MIPS指令集使用uclibc C标准库，x86使用libc的C标准库

MIPS的指令用法和两者的差异可以参考这里

认真梳理一下re2dl_runtime_resolve

原理

写个c程序自己测试一下：

1
2
3
4
5
6
7
8
9
10
11
12
13

#include <stdio.h>
void vuln(){
	char buf[28];
	read(0,buf,128);
}
int main(int argc, char const *argv[])
{
	char name[] = "input your name: ";
	write(1,name,strlen(name));
	vuln();
	return 0;
}
// gcc -g -m32 -fno-stack-protector test.c test32

DynELF简介

在做漏洞利用的时候，由于ASLR的影响，我们在获取某些函数地址的时候，需要一些特殊操作；一种方法是先泄露出libc.so中的某个函数，然后根据函数之间的偏移，计算我们需要的函数地址，但是这种方法局限于我们需要找到和目标服务器上一样的libc.so，而有些特殊情况下往往找不到对应的libc.so文件；另一种方法就是利用如pwntools的DynELF模块，对内存进行搜索，直到得到我们需要的函数。

由于初学也是因为太笨的原因一直没有彻底学习一下brop，今天因为某些原因必须做一道 brop 把自己逼出来了

写在前面

BROP攻击基于一篇发表在Oakland 2014的论文Hacking Blind，作者是Standford的Andrea Bittau，以下是相关的paper和slide链接：

paper

slide

以及BROP的原网站地址

Afl-Fuzz

AFL(American fuzzy lop)号称是当前最高级的Fuzzing测试工具之一，由谷歌Michal Zalewski所开发。通过对源码编译时进行插桩（简称编译时插桩）的方式自动产生测试用例来探索二进制程序内部新的执行路径；与其它基于插桩技术的fuzz相比，afl-fuzz具有较低的性能消耗，有各种高效的fuzzing策略和tricks最小化技巧，不需要先进行复杂的配置。当然AFL也支持对没有源码的二进制程序进行学习方式，但是需要QEMU的支持。

程序保护全开，程序功能：

1
2
3
4

1.add
2.delete
3.edit
4.exit