这个头文件里面放着的是汇编器编译汇编到二进制时插入的汇编代码。

这里只分析64位的

trampoline_fmt_64

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

static const u8* trampoline_fmt_64 =

  "\n"
  "/* --- AFL TRAMPOLINE (64-BIT) --- */\n"
  "\n"
  ".align 4\n"
  "\n"
  "leaq -(128+24)(%%rsp), %%rsp\n"
  "movq %%rdx,  0(%%rsp)\n"
  "movq %%rcx,  8(%%rsp)\n"
  "movq %%rax, 16(%%rsp)\n"
  "movq $0x%08x, %%rcx\n"
  "call __afl_maybe_log\n"
  "movq 16(%%rsp), %%rax\n"
  "movq  8(%%rsp), %%rcx\n"
  "movq  0(%%rsp), %%rdx\n"
  "leaq (128+24)(%%rsp), %%rsp\n"
  "\n"
  "/* --- END --- */\n"
  "\n";

从main函数开始

1

u8* inst_ratio_str = getenv("AFL_INST_RATIO");

先是从环境变量中拿了AFL_INST_RATIO，这是插入指令的密度

从main函数开始，可以看到主要就这三行

1
2
3
4
5

find_as(argv[0]);

edit_params(argc, argv);

execvp(cc_params[0], (char**)cc_params);

0x01 什么是oss-fuzz

谷歌的oss-fuzz能够针对开源软件进行持续的模糊测试，其测试开发团队也提到“OSS-Fuzz的目的是利用更新的模糊测试技术与可拓展的分布式执行相结合，提高一般软件基础架构的安全性与稳定性。OSS-Fuzz结合了多种模糊测试技术/漏洞捕捉技术（即原来的libfuzzer）与清洗技术（即原来的AddressSanitizer），并且通过ClusterFuzz为大规模可分布式执行提供了测试环境。”，当然fuzzer也可以选择AFL,libfuzzer

先下载源码

拉取镜像

1
2
3
4
5
6
7
8
9

# docker pull ubuntu:18.04
18.04: Pulling from library/ubuntu
23884877105a: Pull complete 
bc38caa0f5b9: Pull complete 
2910811b6c42: Pull complete 
36505266dcc6: Pull complete 
Digest: sha256:3235326357dfb65f1781dbc4df3b834546d8bf914e82cce58e6e6b676e23ce8f
Status: Downloaded newer image for ubuntu:18.04
docker.io/library/ubuntu:18.04

count

ARM pwn，虽然本地运行不起来，但是也不需要，直接挂远程就行了，

先是200次循环计算出结果后，输入一串字符处有溢出，将变量覆盖为0x12235612调用后门

网上的修改本机host文件方法亲测不管用

通过码去云下载是真的香 https://gitee.com/

注册并登录后创建仓库

拉到下面导入已有你仓库

将github链接导入并创建就完成了

之后进入gitee中的库下载就行了，速度快到飞起

x86和MIPS指令集的差异

1、MIPS指令系统大量使用寄存器，包括返回地址也是存放在ra寄存器中的

2、没有堆栈直接操作的指令，也就是就没有push 和pop 指令

3、所有指令都是32位编码，也就是说所有的数据和指令都是4字节对齐

由于MIPS固定指令长度，造成其编译后的二进制文件和内存占用空间比x86的要大

MIPS指令集使用uclibc C标准库，x86使用libc的C标准库

MIPS的指令用法和两者的差异可以参考这里

认真梳理一下re2dl_runtime_resolve

原理

写个c程序自己测试一下：

1
2
3
4
5
6
7
8
9
10
11
12
13

#include <stdio.h>
void vuln(){
	char buf[28];
	read(0,buf,128);
}
int main(int argc, char const *argv[])
{
	char name[] = "input your name: ";
	write(1,name,strlen(name));
	vuln();
	return 0;
}
// gcc -g -m32 -fno-stack-protector test.c test32

DynELF简介

在做漏洞利用的时候，由于ASLR的影响，我们在获取某些函数地址的时候，需要一些特殊操作；一种方法是先泄露出libc.so中的某个函数，然后根据函数之间的偏移，计算我们需要的函数地址，但是这种方法局限于我们需要找到和目标服务器上一样的libc.so，而有些特殊情况下往往找不到对应的libc.so文件；另一种方法就是利用如pwntools的DynELF模块，对内存进行搜索，直到得到我们需要的函数。