前言
本篇文章中主要记录Fuzzing101中Exercise 1的学习过程,关于文章中所用到的测试工具与测试目标,将会在后面的内容中展现。通过本文,将会展示如下知识点:
- 对目标应用程序进行插桩
- AFL-FUZZ的使用
- GDB验证fuzz结果
本次目标为Xpdf 3.02版本,该本存在一个不受控制的递归漏洞CVE-2019-13288,该漏洞是通过构造文件的方式,使得Parser.cc
文件中的Parser::getObj()
函数多次调用,由于每个被调用的函数都会在栈上开辟一块新的使用空间(栈帧),如果一个函数被递归调用太多次,就会导致栈内存耗尽
并导致程序崩溃
,因此远程攻击者可以利用这个漏洞进行DOS攻击
编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ