Afl-Fuzz 初探

Afl-Fuzz

AFL(American fuzzy lop)号称是当前最高级的Fuzzing测试工具之一，由谷歌Michal Zalewski所开发。通过对源码编译时进行插桩（简称编译时插桩）的方式自动产生测试用例来探索二进制程序内部新的执行路径；与其它基于插桩技术的fuzz相比，afl-fuzz具有较低的性能消耗，有各种高效的fuzzing策略和tricks最小化技巧，不需要先进行复杂的配置。当然AFL也支持对没有源码的二进制程序进行学习方式，但是需要QEMU的支持。

安装

从官网下载最新版的源码，解压后进入目录

终端中输入以下命令进行安装
make
sudo make install

如上图就是安装成功了

afl安装的文件中作用分别为：

afl-gcc和afl-g++ 分别对应 gcc和g++的封装 
afl-clang和afl-clang++ 分别对应clang的c和c++的封装
afl-fuzz 是AFL的主体，用于对目标程序进行fuzz
afl-analyze可以对用例进行分析，通过分析给定的用例，看能否发现用例中有单方的字段 
afl-qemu-trace 用于qemu-mode，默认不安装 
afl-plot 生成测试任务的状态图
afl-tmin 和afl-cmin 对用例进行简化
afl-whatsup 用于查看fuzz任务的状态
afl-gotcpu 用于查看当前 cpu 状态
afl-showmap 用于对单个用例进行执行路径跟踪

白盒测试

在有源码的情况下我们可以用afl对源码重新编译时进行插桩

demo

#include <stdio.h> 
#include <stdlib.h> 
#include <unistd.h> 
#include <string.h> 
#include <signal.h> 
int vuln(char *str)
{
    int len = strlen(str);
    if(str[0] == 'A' && len == 66)
    {
        raise(SIGSEGV);
        //如果输入的字符串的首字符为A并且长度为66，则异常退出
    }
    else if(str[0] == 'F' && len == 6)
    {
        raise(SIGSEGV);
        //如果输入的字符串的首字符为F并且长度为6，则异常退出
    }
    else
    {
        printf("it is good!\n");
    }
    return 0;
}
int main(int argc, char *argv[])
{
    char buf[100]={0};
    gets(buf);//存在栈溢出漏洞
    printf(buf);//存在格式化字符串漏洞
    vuln(buf);
    return 0;
}

插桩编译

alf-gcc -g -o afl_demo demo.c，如果是c++源码 就用afl-g++

接着新建两个文件夹：fuzz_in、fuzz_out，分别 用来存放程序的输入用例和输出 结果

在fuzz_in中还需要创建一个democase文件，这个例子只需要输入一点东西就行了，所以democase就随便写个aaa就行了

在编译项目时，通常会有Makefile，这时需要在Makefile中添加内容：

gcc/g++重新编译目标程序的方法是：
CC = /path/to/afl/fla-gcc ./configure
make clean all

对于c++程序，则需要设置：
CXX=/path/to/afl/afl-g++

afl-clang和afl-clang++的用法类似

开始fuzz

在跑fuzz之前需要先设置core_pattern

sudo su 
echo core > /proc/sys/kernel/core_pattern

之后 就可以执行afl-fuzz了，通常的格式是：

afl-fuzz -i testcase_dir -o finding_dir /path/to/program [params]

或者用”@@”替换输入文件，fuzzer 会将其替换为实际执行的文件

afl-fuzz -i testcast_dir -o finding_dir /path/to/program @@

PS：常见参数的含义如下
  -f:testcase 的内容会作为afl_test的stdin
  -m:表示分配的内存空间
  -i:指定测试样本的路径
  -o:指定输出结果的路径
  /dev/null 使错误信息不输出到屏幕
  -t:设置程序运行超时值，单位为ms
  -M:运行主(Master) Fuzzer
  -S:运行从属(Slave) Fuzzer

接下来fuzz开始工作

Fuzz窗口

接下来介绍一下各个模块：

process timing:
run time :当前fuzzer的运行时间
last new path :最近一次发现新路径的时间
last uniq crash :最近一次崩溃的时间
last uniq hang :最近一次超时的时间

overall results:
cycles done:总周期数
total paths:总路径数
uniq crashes:崩溃次数
uniq hangs:超时次数

stage progress:
now trying :正在测试的fuzzing策略
stage execs :进度
total execs :目标执行总次数
exec speed :目标执行速度

需要注意几点：

1、last new path 如果报错，那么要及时修正命令行参数，不然继续fuzz也是徒劳（因为路径是不会改变的）；

2、cycles done 如果变绿了，说明后面即使继续fuzz的意义也不大了，因为出现crash的几率已经很低了，可以选择这个时候停止fuzz

3、uniq crashes 代表的是crash的数量

4、exec speed可以直观地反映当前跑得快不快，如果速度过慢，比如低于500次每秒，那么测试时间就会变得非常漫长，这时候就需要进一步调整优化我们的fuzzing

分析crash文件

PS：xxd命令的作用是将一个文件以十六进制的形式显示出来

接下来我们看一下刚刚生成的6个carshes

1、看这个数据情况可能是栈溢出

2、满足’F’开头且字符长度为6的异常退出情况

3、栈溢出

4、栈溢出

5、符合格式化字符串漏洞情况

6、符合’A’开头且字符长度为66的异常退出情况

可以用cat将crashes样例输入到程序中检测：

黑盒测试

所谓黑盒测试，通俗地讲就是对没有源码的代码进行测试，这时就用到AFL的QEMU模式了；

因为afl-qemu-trace默认不安装 ，所以要先手动安装一波

cd qemu_mode
./build_qemu_support.sh
cd ..
make install

现在起，只需要添加-Q选项即可使用QEMU模式进行fuzzing

afl-fuzz -Q -i testcase_dir -o findings_dir /path/to/program [params] @@

无源码fuzz

还是用上面的例子，但是这次用gcc进行编译gcc -o afl_demo2 demo.c，得到afl_demo2后就可以进行fuzz了

同样建立两个文件夹fuzz_in、fuzz_out，执行命令afl-fuzz -i fuzz_in -o fuzz_out -Q ./afl_demo2

可以看到，跟白盒测试时4119/sec的速度，674/sec是没得比的，但是可能是因为我之前跑过一次的原因，这6个crashes还是挺快跑出来的

并行测试

如果你有一台多核心的机器 ，可以将一个afl-fuzz绑定到一个对应的核心上，也就是说，机器上有几个核心就可以运行多少afl-fuzz实例，这样可以极大得提高运行速度；

查看机器的核心数cat /proc/cpuinfo | grep "cpu cores" | uniq

afl-fuzz并行fuzzing一般的做法是通过 -M 参数指定一个主Fuzzer(Master Fuzzer)、通过 -S 指定多个从Fuzzer(Slave Fuzzer)

afl-fuzz -i testcases/ -o sync_dir/ -M fuzzer1 -- ./program
afl-fuzz -i testcases/ -o sync_dir/ -S fuzzer2 -- ./program
afl-fuzz -i testcases/ -o sync_dir/ -S fuzzer3 -- ./program

这两种类型的Fuzzer执行不同的Fuzzing策略，前者进行确定性测试(deterministic),即对输入文件进行一些特殊而非随机的变异；后者进行完全随机的变异

这里可以看到-o指向的是同一个目录，并行测试中所有的Fuzzer相互协作 ，在找到新的代码路径时，相互传递新的测试用例，如下图中以Fuzzer0的角度来看，它查看其它Fuzzer的语料库，并通过比较id来同步感兴趣的测试用例

afl-whatsup可以查看每个fuzzer的运行状态和总体概况，加上-s参数只显示概况，其中的数据 都是所有fuzzer的总和

afl-gotcpu可以查看每个核心的使用状态