Fuzzing 101

模糊測試 101 2021/08/30 Presented by LJP

Outline - Fuzzing 簡介 - 各種 fuzzer 的簡介/安裝/操作/Case Study -
AFL - libFuzzer - honggfuzz 2

# whoami - LJP / LJP-TW - Pwn / Rev
- NTUST / NCTU / NYCU - 10sec CTF Team 3

Fuzzing 簡介 4

Fuzzing 簡介 - 模糊測試 aka fuzz testing / fuzzing -
產生隨機輸入餵給程式，檢查程式是否異常 5

Fuzzing 簡介 - 產生輸入方式 - Generation-based - 基於一定的格式產生出 input -
Mutation-based - 通過舊 input 變異出新 input 6

Fuzzing 簡介 - 測試方式 - 白箱 - 黑箱 - 灰箱
7

AFL 簡介 8

AFL 簡介 - AFL (American Fuzzy Lop) - https://github.com/google/AFL -
Coverage-guided - 以使 code coverage 變大為目標 - Mutation-based - Linux only 9

AFL 簡介 10 Ref: https://www.freebuf.com/articles/system/191536.html

AFL 安裝 11

AFL 安裝 - OS: Ubuntu 20.04 (其他 Linux distribution 也可嘗試)
- 能給越多 CPU、 RAM 越好 - 下載 AFL - https://github.com/google/AFL - 進到 AFL 目錄執行指令 - make - sudo make install 12

AFL 基本操作 13

AFL 基本操作 - 大致上流程如下 1. 建立目錄 2. 編譯程式 3. 新增
test cases 4. 執行 afl-fuzz 5. 檢查結果 14

AFL 基本操作 1 > 建立目錄 - 可以參考以下目錄配置 - fuzz-dir -
victim - 放置待測試程式碼 - fuzz-in - fuzz-out - run.sh - 存放 afl-fuzz 指令 15

AFL 基本操作 2 > 編譯程式 - 使用 AFL 改過的編譯器： afl-gcc
- 使用方式與 gcc 相同 - afl-gcc test1.c -o test1-afl 16

AFL 基本操作 3 > 新增 test cases - 存放一些正常使用的 test
cases - 可以更快找到執行路徑 - Size 盡量小一點 - 可以從軟體官方網站給的範例 - echo -ne “aaa” > fuzz-in/aaa.txt 18

AFL 基本操作 4 > 執行 afl-fuzz - afl-fuzz -i fuzz-in
-o fuzz-out victim/test1-afl - 可以將命令存到 run.sh 19

AFL 基本操作 4 > 執行 afl-fuzz 20

AFL 基本操作 5 > 檢查結果 21 - 查看是否產生出 crash -
試圖重現 crash - 通過 debug 試圖追蹤漏洞位置、成因

AFL 基本操作 5 > 檢查結果 22 - fuzz-out 目錄結構如下 -
crashes - 會造成 crash 的 test case 存放在此 - hangs - queue - fuzz_bitmap - fuzzer_stats - plot_data

AFL 面板資訊 23

AFL 面板資訊 24 Ref: https://lcamtuf.coredump.cx/afl/status_screen.txt

AFL 面板資訊 25 run time: 總執行時間 last new path: 距離上次發現新路徑的時間
last uniq crash: 距離上次發現新 crash 的時間 last uniq hang: 距離上次發現新 hang 的時間

AFL 面板資訊 26 cycles done: 完成的 cycle 數若變成綠色表示再出現 crash
的機率很低, 可以停止 fuzzing 了 total paths: 發現的路徑數 uniq crashes: 發現的 crash 數 uniq hangs: 發現的 hang 數

AFL 面板資訊 27 now processing: 正在測試的 test case ID paths
timed out: 因超時而放棄繼續測試的 test cases 數

AFL 面板資訊 28 map density: 執行到的路徑數和整張 map 大小的比例左邊為此次執行到的路徑數比例右邊為所有執行到的路徑數比例
count coverage: ???

AFL 面板資訊 29 now trying: 目前執行的變異方式 stage execs: 執行了幾個 /
此 stage 要執行多少 test cases total execs: 共執行了幾個 test cases exec speed: 執行速度

AFL 面板資訊 30 favored paths: Fuzzer 感興趣的路徑數 new edges on:
code coverage 較好的 test case 數 total crashes: 總共的 crash 數 total tmouts: 總共的 timeout 數

AFL 面板資訊 31 fuzzing strategy yields: 各種變異策略的狀態

AFL 面板資訊 32 levels: 目前 fuzzing 路徑的深度 pending: 尚未執行過的 input
數 pend fav: fuzzer 較想執行的 input 數 own finds: 在平行 fuzzing 中, 此 section 找到的新路徑數 imported: 在平行 fuzzing 中, 其他 section 找到的新路徑數 stability: 若同個輸入皆為同個輸出, 則此值為 100%

AFL 實作細節 33

AFL 實作細節 - Coverage measurements - Instrument - Fork server
- 變異策略 34

AFL 實作細節 > Coverage measurements - 先了解什麼是 code coverage -
此次測試中執行到哪些路徑? - 測試到越多路徑, 越有機會發現漏洞 - 畢竟沒有測試到的路徑, 就不可能發現漏洞 - 跟買彩券一樣 - 又要先了解兩個東西 - Basic block - Edge 35

AFL 實作細節 > Coverage measurements - Basic block - 此區塊第一個指令被執行到後,
這個區塊的所有指令都一定會被執行到 - 例如右圖的三個 BB 36

AFL 實作細節 > Coverage measurements - Edge - BB 之間的連線
37

AFL 實作細節 > Coverage measurements - AFL 主要紀錄哪些 edge 被走過,
而不是紀錄哪些 BB 被走過 - <from, to> - 紀錄方式如下 - 給每一個 BB 一個隨機值 - 執行右邊算法 - shared_mem: 共享記憶體 38

而不是紀錄哪些 BB 被走過 - 此算法好處是 - 簡單 - 快速 - 能夠分辨 A->B 和 B->A 39

而不是紀錄哪些 BB 被走過 - 面板資訊中的 map density 與此相關 40

AFL 實作細節 > Instrument - 先講講 afl-gcc - afl-gcc 實際上只是
gcc 的 wrapper - 設定了許多 gcc 參數 - 其中最主要影響是設定了 -B - -B <dir> - 將 <dir> 加入到編譯器搜尋路徑中 - Dir 設定為 afl-as 所在目錄 - 編譯時 as 是使用 afl-as 41

AFL 實作細節 > Instrument - afl-as - 在將 assembly 送往真正的
as 之前, 進行 instrument - Instrument 意思為插入一段 code, 對岸用語為插樁 - 這邊就是插入實作前面 code coverage 算法的 code 42

AFL 實作細節 > Instrument - afl-as - 存放各種暫存器 - 將代表
BB 的隨機數存到 rcx - 呼叫 __afl_maybe_log - 復原各種暫存器 43

AFL 實作細節 > Instrument - afl-as - 逆向一下以 afl-gcc 編譯的程式
- 各種被 instrument 44

AFL 實作細節 > Fork Server - 試想怎麼實作一個 fuzzer - 每次
fuzz 前先創造出一個新的 process 來測試 - 每次都用 fork + execve 創造新 process ? - 缺點是 execve 時有各種準備工作 - 這些工作每次創造新 process 時都會做 - 都是一樣的工作 (e.g. library load) - 因此浪費效能 45 Ref: https://lcamtuf.blogspot.com/2014/10/fuzzing-binaries-without-execve.html

AFL 實作細節 > Fork Server 46

AFL 實作細節 > Fork Server - AFL 的設計思路 - 既然每次
execve 都會做一次一樣的準備工作 - 能不能讓 process 做完準備工作後, 就先停在這個已經準備好的狀態 - 而每次要 fuzz 時, 是直接複製這個已經準備好的狀態 47 Ref: https://lcamtuf.blogspot.com/2014/10/fuzzing-binaries-without-execve.html

AFL 實作細節 > Fork Server - AFL fuzzer 的確會先 fork
+ execv 創造 process - execv 跟 execve 差不多 - Process 的 main 再執行 fork - 還記得 process 的 main 被 instrument 嗎 - 執行到 main 時表示準備工作都完成了 - 此次 fork 後, parent 的用途就像是用來記住這個準備完成狀態 - Child 的用途則是真正拿來測試 48 Ref: https://lcamtuf.blogspot.com/2014/10/fuzzing-binaries-without-execve.html

AFL 實作細節 > Fork Server 49

AFL 實作細節 > 變異策略 - AFL 集合各種變異策略, 而非只做某種理論的 PoC 50
Ref1: https://github.com/google/AFL/blob/master/docs/technical_details.txt

AFL 實作細節 > 變異策略 - Deterministic stage - Havoc stage
- Splicing stage 51 Ref: https://www.usenix.org/system/files/sec19-lyu.pdf

AFL 實作細節 > 變異策略 - Deterministic stage - 初次 mutate
的 test case 會進到的部分 - 以固定的方式去變異 - 此部分沒有隨機性 52 Ref: https://www.usenix.org/system/files/sec19-lyu.pdf

AFL 實作細節 > 變異策略 - Havoc stage - 執行各種隨機變異 -
將各種操作隨機組合在一起產生出變異測資 - 看 code 註解感受一下 53 Ref: https://www.usenix.org/system/files/sec19-lyu.pdf

AFL 實作細節 > 變異策略 54 共 16 個 cases

AFL 實作細節 > 變異策略 - Splicing stage - 將兩個 test
cases 接在一起產出新的 test case 55 Ref: https://www.usenix.org/system/files/sec19-lyu.pdf

AFL Case Study 56

AFL Case Study - AFL 挖到的洞很多 - Reference 中有列出 -
挑幾個 cases 跟大家分享 - 看看大神們怎麼用 AFL 挖洞 57 Ref: https://lcamtuf.coredump.cx/afl/

AFL Case Study PHP 篇 58

AFL Case Study > PHP 篇 - Heap use after
free while unserializing untrusted data - CVE-2017-12932 - CVE-2017-12934 - Buffer over-read while unserializing untrusted data - CVE-2017-12933 - Out-of-bounds read for crafted JPEG data - CVE-2018-10549 59 Ref: https://www.tripwire.com/state-of-security/vert/fuzzing-php-for-fun-and-profit/

AFL Case Study > PHP 篇 - php -r 參數可以把接下來的字串當作
php 執行 - 通過以上, 就能從 stdin 餵入 serialized 字串 - 藉此測試 unserialize 60

AFL Case Study > PHP 篇 - 在主要想測試的 code 前加入一行
__AFL_INIT() - 增進效能 61

AFL Case Study > PHP 篇 - Deferred instrumentation -
還記得前面講到的 fork server 嗎? - 將原本在 main 開頭啟動的 fork server 改成到 __AFL_INIT() 處才啟動 - 有些程式在主要邏輯之前還會進行一些準備工作, 若想連這些準備工作的時間都節省, 就可以用這個方式 62 Ref: https://github.com/google/AFL/blob/master/llvm_mode/README.llvm

AFL 實作細節回顧 > Fork Server 63

AFL Case Study > PHP 篇 - 在主要想測試的 code 外層加上
__AFL_LOOP() - 再更增進效能 64

AFL Case Study > PHP 篇 - Persistent mode -
之所以要創造新的 process 用來測試的原因是要一個隔離環境 - 怕測一測測爆了 - 怕不同輪次的測試之間其實會互相影響 - 但其實也可以同一個 process 重複測試, 只要確保每次測試時狀態有復原成原狀即可 65

AFL Case Study > PHP 篇 - Persistent mode -
__AFL_LOOP() 區間中的 code 會在同個 process 底下被測試 66

AFL Case Study > PHP 篇 - 上面提到的兩個功能皆為 AFL LLVM_MODE
提供的功能 - Deferred instrumentation - Persistent mode 67

AFL Case Study > PHP 篇 - 安裝方式 - 從
Reference 下載對應版本的 clang + llvm 壓縮包解壓縮 - 將解壓縮後的目錄底下的 bin 加入到 PATH 環境變數中 68 Ref: https://github.com/llvm/llvm-project/releases/tag/llvmorg-12.0.1

AFL Case Study > PHP 篇 - 安裝方式 - 移動到
AFL 目錄 - cd llvm_mode - make - cd ../ - sudo make install 69 Ref: https://github.com/llvm/llvm-project/releases/tag/llvmorg-12.0.1

AFL Case Study > PHP 篇 - Source code 修改後,
編譯方式 70

AFL Case Study > PHP 篇 - 這邊新知識點的部分除了使用 afl-clang-fast 作為
compile 以外 - 還有編譯時加入的環境變數 AFL_USE_ASAN=1 71

AFL Case Study > PHP 篇 - Address Sanitizer (ASAN)
- 記憶體越界讀寫不一定會馬上造成程序崩潰 - ASAN 在 malloc()、 free()、 stack buffer 分配附近加上檢查程式 - 若有記憶體越界讀寫， ASAN 就能回報 - 通過 AFL_USE_ASAN=1 啟用 72

AFL Case Study > PHP 篇 - Address Sanitizer (ASAN)
- 但須注意由於其實作的方式, 導致其很消耗記憶體 - 想像一下要監控記憶體存取這件事情怎麼實作 - 對於 32-bit 程序，要消耗 800 MB - 對於 64-bit 程序, 要消耗 20 TB 73

AFL Case Study > PHP 篇 - 練習一下以下這些東西 - Deferred
instrumentation (__AFL_INIT()) - Persistent mode (__AFL_LOOP()) - ASAN (AFL_USE_ASAN=1) 74

AFL Case Study > PHP 篇 - 修改前面章節「AFL 基本操作」
中的範例程式 - 前面 init 和 printf 不是主要邏輯, 將 __AFL_INIT() 設定在他們後面 - 主要邏輯部分用 __AFL_LOOP() 包住 - 在 LOOP 的結尾要將必要的變數回復原狀 - 這邊是重新設定陣列 s 75

AFL Case Study > PHP 篇 - 設定範例 test case
76

AFL Case Study > PHP 篇 - 編譯使用 - AFL_USE_ASAN=1
- afl-clang-fast - -m32 77

AFL Case Study > PHP 篇 - 在 x64 上
compile x86 程式需要額外安裝 - sudo apt install gcc-multilib - 另外有遇到以下問題 78

AFL Case Study > PHP 篇 - 解法 - 雖然骯髒但是有效
(? 79

AFL Case Study > PHP 篇 - 開始 fuzz 就撞牆
80

AFL Case Study > PHP 篇 - 開始 fuzz -
新增 -m 參數 81

AFL Case Study > PHP 篇 - AFL 面板 82

AFL Case Study Knot DNS 篇 83

AFL Case Study > Knot DNS 篇 - Knot DNS
為 open source 的 DNS Server - AFL 通常 fuzz 的對象都是以 stdin 或是檔案作為輸入 - 要如何將 AFL 應用到以 socket 作為輸入的程式? 84 Ref: https://www.fastly.com/blog/how-fuzz-server-american-fuzzy-lop

AFL Case Study > Knot DNS 篇 - 註解 AFL
的部分是作者有進行修改 code 的地方 85

AFL Case Study > Knot DNS 篇 - 作者核心概念是通過另外讀 stdin
或是檔案, 再添加網路相關的 code 把檔案內容通過 network API 送給 server - 重點看一下 code 86

AFL Case Study > Knot DNS 篇 87

AFL Case Study > Knot DNS 篇 - Knot DNS
Server 情境是 UDP select server - 寫一個測試用 server 模擬一下 - 基於 reference 小改的 server, 加了一些 bug 當作測試 88 Ref: https://www.geeksforgeeks.org/tcp-and-udp-server-using-select/

AFL Case Study > Knot DNS 篇 89

AFL Case Study > Knot DNS 篇 - 解釋一下新增的 code
- 使用者輸入會是以 <size>: <data> 的形式 - e.g. 10: aaaabbbbcc - 會創造 <size> 大小的記憶體 - 將 <data> 複製進去 - 結束後會釋放記憶體 90

AFL Case Study > Knot DNS 篇 - 為了讓 AFL
fuzz 而需要改 code - 從 stdin 讀取 test case - 往 udp socket fd 傳送資料 - 在 select 前加 code 91

AFL Case Study > Knot DNS 篇 - 定義因上一頁操作所需要的變數 92

AFL Case Study > Knot DNS 篇 - 由於 server
通常是有一個 loop 一直 handle client - 導致不會停止, AFL 會以為是 timeout - 在 server 處理完資料後加上強制結束 93

AFL Case Study > Knot DNS 篇 - 新增 test
case 94

AFL Case Study > Knot DNS 篇 - 編譯使用 -
AFL_USE_ASAN=1 - afl-clang-fast - -m32 95

AFL Case Study > Knot DNS 篇 - 開始 fuzz
96

AFL Case Study > Knot DNS 篇 - AFL 面板
97

libFuzzer 簡介 98

libFuzzer 簡介 - A library for coverage-guided fuzz testing -
是 LLVM project 的一部分 - Fuzzing 的目標與 AFL 相比 - AFL fuzz 整支程式 - libFuzzer fuzz 某幾個函數 99 Ref: https://llvm.org/docs/LibFuzzer.html

libFuzzer 簡介 - In-process - 在同個 process 中進行 fuzzing -
Coverage-guided - Mutation-based 100 Ref: https://llvm.org/docs/LibFuzzer.html

libFuzzer 安裝 101

libFuzzer 安裝 - 安裝 clang (版本高於 6.0) - 從 Reference
下載對應版本的 clang + llvm 壓縮包解壓縮 - 將解壓縮後的目錄底下的 bin 加入到 PATH 環境變數中 - 前面 AFL Case Study - PHP 篇有安裝過 102 Ref: https://github.com/llvm/llvm-project/releases/tag/llvmorg-12.0.1

libFuzzer 基本操作 103

libFuzzer 基本操作 - 大致上流程如下 1. 實作 fuzz target 2. 編譯程式
3. 開始執行測試 4. 檢查結果 104

libFuzzer 基本操作 1 > 實作 fuzz target - Fuzz target
需撰寫類似以下程式 - LLVMFuzzerTestOneInput() 105

libFuzzer 基本操作 1 > 實作 fuzz target - 舉個栗子 106
Ref: https://github.com/google/fuzzing/blob/master/tutorial/libFuzzer/fuzz_me.cc

libFuzzer 基本操作 2 > 編譯程式 - 使用 clang - 參數加上
-fsanitize - fuzzer 為必要 - 其他 sanitizer 為選用 107

libFuzzer 基本操作 3 > 開始執行測試 - 直接執行編譯出來的程式 108

libFuzzer 基本操作 3 > 開始執行測試 - 編譯出來的程式能通過給予參數來設定有的沒的 109

libFuzzer 基本操作 3 > 開始執行測試 - 給予 test cases 作為引導
110

libFuzzer 基本操作 3 > 開始執行測試 - Corpus google 翻譯成語料集 -
以上測試中, 當有輸入可以到達新的路徑, 則此輸入會被記下來 - 當作下次變異的原始檔案 111

libFuzzer 基本操作 4 > 檢查結果 - 若有 crash, 則在執行的目錄底下會有造成 crash
的輸入檔案 112

libFuzzer 輸出資訊 113

libFuzzer 輸出資訊 114

libFuzzer 輸出資訊 115 Seed: 本次亂數的種子若想重現此次結果, 則在執行時加上參數 seed e.g. a.out
–seed=3624627797

libFuzzer 輸出資訊 116 -max-len 設定測資最大長度

libFuzzer 輸出資訊 117 #7: 第 7 次的輸入 NEW: Event code
(後面介紹) cov: 目前覆蓋的 code blocks / edges 數目 ft: 用什麼方式計算 code coverage corp: 幾個 test corpus/test corpus 的 size (單位為 Byte) lim: 目前 corpus 大小限制, 不超過 max_len exec/s: 每秒 fuzzer iterations 的數量 rss: 目前記憶體消耗 L: 新輸入的大小 MS <n> <operations>: 使用的變異方式及次數

libFuzzer 輸出資訊 - Event codes - READ - 已讀取完 input
samples - INITED - 完成 initialization - NEW - 創造了新的 test case - REDUCE - 找到了更小的、能發現一樣特徵的 input 118

libFuzzer 輸出資訊 - Event codes - pulse - Fuzzer 已生成了
2^n 個輸入 - (沒什麼功能, 就是告訴使用者 fuzzer 還在工作) - DONE - 執行到了指定的 iteration 數量 (以 -runs 指定) - 執行到了指定的時間 (以 -max_total_time 指定) - RELOAD - 重新從 corpus 目錄載入 input 119

libFuzzer Case Study OpenSSL 篇 120

libFuzzer Case Study > OpenSSL 篇 - OpenSSL 為被廣泛使用的密碼學函數庫, 實作了
SSL / TLS - Heartbleed (CVE-2014-0160) - 能讓攻擊者讀取 64 KB 資料 - 可能含有 SSL private key、 session cookie、密碼 121 Ref: https://devco.re/blog/2014/04/09/openssl-heartbleed-CVE-2014-0160/

libFuzzer Case Study > OpenSSL 篇 - Heartbleed 當初應該是通過 code
review 發現 - 通過 fuzzing 則能很輕易的找到此漏洞 - google/fuzzer-test-suite 提供了快速建置其 fuzzer 的方式 122 Ref: https://github.com/google/fuzzing/blob/master/tutorial/libFuzzerTutorial.md#heartbleed

libFuzzer Case Study > OpenSSL 篇 - 執行不到 1 分鐘就找到
crash 123

libFuzzer Case Study > OpenSSL 篇 - 觀察一下其 fuzz target
怎麼寫 - 主要測試 BIO_write() - 其他 code 為配置環境 124 Ref: https://github.com/google/fuzzer-test-suite/blob/master/openssl-1.0.1f/target.cc

honggfuzz 簡介 125

honggfuzz 簡介 - Multi-process & Multi-threaded - Coverage-guided - 以更底層的技術去計算
code coverage - Mutation-based 126

honggfuzz 簡介 - Repos 底下提供大量 real world examples 可供參考學習 -
apache-httpd - bind - openssl - … - AFL 和 libFuzzer 綜合起來的加強版 127 Ref: https://github.com/google/honggfuzz/tree/master/examples

honggfuzz 安裝 128

honggfuzz 安裝 - 安裝 dependencies - sudo apt install binutils-dev
libunwind-dev - 安裝 honggfuzz - git clone https://github.com/google/honggfuzz.git - cd honggfuzz - make - sudo make install 129

honggfuzz 基本操作 130

honggfuzz 基本操作 - 大致上流程如下 1. 建立目錄 2. 編譯程式 3. 新增
test cases 4. 執行 honggfuzz 5. 檢查結果 131

honggfuzz 基本操作 1 > 建立目錄 - 可以參考以下目錄配置 - fuzz-dir -
victim - 放置待測試程式碼 - fuzz-in - run.sh - 存放 honggfuzz 指令 132

honggfuzz 基本操作 2 > 編譯程式 - hfuzz-clang test1.c -o test1
133

honggfuzz 基本操作 3 > 新增 test cases - echo -ne
"2\ntestyo\n" > fuzz-in/testcase 134

honggfuzz 基本操作 4 > 執行 honggfuzz - honggfuzz -i fuzz-in
-x -s -- ./victim/test1 - 可以將命令存到 run.sh 135 Ref: https://github.com/google/honggfuzz/blob/master/docs/USAGE.md

honggfuzz 基本操作 4 > 執行 honggfuzz 136

honggfuzz 基本操作 5 > 檢查結果 - 檢視 HONGGFUZZ.REPORT.TXT - 拿觸發
crash 的 test case 重現 bug 137

honggfuzz Case Study Apache 篇 138

honggfuzz Case Study > Apache 篇 - Apache 為廣泛使用的 Web
Server - Fuzz server 的難處在前面章節「AFL Case Study - Knot DNS 篇」提到過 - AFL 通常 fuzz 的對象都是以 stdin 或是檔案作為輸入 - 要如何將 AFL 應用到以 socket 作為輸入的程式 - 來觀察如果是使用 honggfuzz, 要怎麼處理以上問題 139

honggfuzz Case Study > Apache 篇 - Reference 中沒有完整的安裝+編譯教學 -
使用了 httpd-master.honggfuzz.patch 檔案 - 使用後會產生出 compile_and_install.asan.sh - 執行以上腳本就編譯出 fuzz target - 直接 fuzz 即可 - 重點就是看 patch 跟腳本做了什麼 140 Ref: https://github.com/google/honggfuzz/tree/master/examples/apache-httpd

honggfuzz Case Study > Apache 篇 - 在 patch 中會發現,
沒有大量向 source code 添加為了 fuzz 而寫的 code - compile_and_install.asan.sh 中也只是編譯相關指令 - 編譯器使用 hfuzz-pcguard-clang - 總之, source code 更改非常的少, 就能直接 fuzz 了 141 Ref: https://github.com/google/honggfuzz/tree/master/examples/apache-httpd

honggfuzz Case Study > Apache 篇 - Apache 為廣泛使用的 Web
Server - Fuzz server 的難處在前面章節「AFL Case Study - Knot DNS 篇」提到過 - AFL 通常 fuzz 的對象都是以 stdin 或是檔案作為輸入 - 要如何將 AFL 應用到以 socket 作為輸入的程式 - 來觀察如果是使用 honggfuzz, 要怎麼處理以上問題 - 使用上幾乎不需要改 source code - 跟 AFL 相比方便太多了 142

honggfuzz Case Study > Apache 篇 143

honggfuzz Case Study > Apache 篇 - 實驗一下 - 拿另一個比較垃圾的
web server 來測試 - 確定有 bug 144

honggfuzz Case Study > Apache 篇 - 修改 Makefile 使其以
hfuzz-clang 編譯/連結 - make 145

honggfuzz Case Study > Apache 篇 - 按照說明文件敘述執行 Server, 確定運作正常
- 雖然 log 直接講有 double free 就是了 146

honggfuzz Case Study > Apache 篇 - 新增 test cases
- 在網路上尋找 http request corpus - 把 reference clone 下來 - 把 httpreq/corpus 複製到 fuzz-in/ 147 Ref: https://github.com/dvyukov/go-fuzz-corpus/tree/master/httpreq/corpus

honggfuzz Case Study > Apache 篇 - 開始 fuzz 就撞牆
148

honggfuzz Case Study > Apache 篇 - 將 main 修改成
HFND_FUZZING_ENTRY_FUNCTION - src/ezhttpd.c 149

honggfuzz Case Study > Apache 篇 - 重新編譯 - 將
EZhttpd/obj 和 EZhttpd/bin 刪除 - make 150

honggfuzz Case Study > Apache 篇 - 再度 fuzz 再撞牆
151

honggfuzz Case Study > Apache 篇 - 換個 fuzz 指令後,
終於成功 fuzz 152

honggfuzz Case Study > Apache 篇 - 雖然撞了一點牆, 還是比 AFL
好用多了 153

154 Q & A

155 感謝收聽疫情期間少出門勤洗手

Fuzzing 101

Fuzzing 101

More Decks by LJP-TW

Other Decks in Technology

Featured

Transcript