AFL++简单学习

已于 2024-01-16 21:42:34 修改
阅读量1.6k 收藏 25
点赞数 27
分类专栏: FUZZ 文章标签: 安全威胁分析
于 2024-01-16 16:41:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42981705/article/details/135626016
版权

简介

AFL++ 是 Google 的 AFL 的一个分支,具有更快的速度,更多的突变,更多的自定义模块等

  • AFL++可以使用Qemu、Unicorn或Frida 三种模式进行Fuzzing,虽然不如有源码进行Fuzzing高效,但是其适用面广,并且同样能提高漏洞挖掘效率。
  • AFL++的qemu模式可完成对无源码固件的Fuzzing测试,目前还不支持MIPS。
  • AFL++使用qemu用户模式模拟仿真来运行二进制文件,其使用的qemu是进行修改的版本,在程序执行时检测基本块,根据收集的信息生成测试用例,通过生成的大量测试用例触发不同的代码路径,从而提高代码的覆盖率,提高触发Crash的概率。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

论文:Andrea Fioraldi, Dominik Maier, Heiko Eißfeldt, and Marc Heuse. “AFL++: Combining incremental steps of fuzzing research”. In 14th USENIX Workshop on Offensive Technologies (WOOT 20). USENIX Association, Aug. 2020.
论文讲解:https://mp.weixin.qq.com/s/a_Y0-pvn-WDbfS91lzZNrQ
源码:https://github.com/AFLplusplus/AFLplusplus

编译AFL++

Docker 构建

docker pull aflplusplus/aflplusplus
docker run -ti -v /location/of/your/target:/src aflplusplus/aflplusplus

自行构建

环境

Ubuntu18.04
afl++ v4.09
gcc9 g++9
clang llvm-dev

sudo apt-get update
sudo apt-get install -y build-essential python3-dev automake cmake git flex bison libglib2.0-dev libpixman-1-dev python3-setuptools cargo libgtk-3-dev
#try to install llvm 14 and install the distro default if that fails
sudo apt-get install -y lld-14 llvm-14 llvm-14-dev clang-14 || sudo apt-get install -y lld llvm llvm-dev clang
sudo apt-get install -y gcc-$(gcc --version|head -n1|sed 's/\..*//'|sed 's/.* //')-plugin-dev libstdc++-$(gcc --version|head -n1|sed 's/\..*//'|sed 's/.* //')-dev
sudo apt-get install -y ninja-build # for QEMU mode
git clone https://github.com/AFLplusplus/AFLplusplus
cd AFLplusplus
make distrib
sudo make install

make distrib还构建了 FRIDA 模式、QEMU 模式、unicorn_mode 等。如果你只想要普通的 AFL++:
make all
如果您想要编译一些辅助工具但对纯二进制目标不感兴趣,请选择:
make source-only

构建目标选项

  • all:主要的 AFL++ 二进制文件和 llvm/gcc 工具
  • binary-only:仅二进制模糊测试的所有内容:frida_mode、nyx_mode、qemu_mode、frida_mode、unicorn_mode、coresight_mode、libdislocator、libtokencap
  • source-only:用于源代码模糊测试的所有内容:nyx_mode、libdislocator、libtokencap
  • distrib:一切(适用于仅二进制和源代码模糊测试)
  • man:从程序的帮助选项创建简单的手册页
  • install:安装使用上面的构建选项编译的所有内容
  • clean:清理所有已编译的内容,而不是下载的内容(除非不在结帐时)
  • deepclean:清理所有内容,包括下载
  • code-format:格式化代码,请在提交并发送 PR 之前执行此操作!
  • tests:运行测试用例以确保所有功能仍然正常工作
  • unit:执行单元测试(基于cmocka)
  • help:显示这些构建选项

编译选项

STATIC - 编译 AFL++ 静态
CODE_COVERAGE - 编译代码覆盖率目标(请参阅 docs/instrumentation/README.llvm.md)
ASAN_BUILD - 使用内存清理程序编译 AFL++ 以进行调试
UBSAN_BUILD - 使用未定义的行为清理程序编译 AFL++ 工具以进行调试
DEBUG - 无优化、-ggdb3、所有警告和 -Werror
LLVM_DEBUG - 显示 llvm 弃用警告
PROFILING - 使用分析信息编译 afl-fuzz
INTROSPECTION - 使用突变内省编译 afl-fuzz
NO_PYTHON - 禁用 python 支持
NO_SPLICING - 禁用 afl-fuzz 中的剪接突变,不建议用于正常模糊测试
NO_UTF - 不要在状态屏幕中使用 UTF-8 进行线条渲染(回退到普通 AFL 的 G1 框绘图)
NO_NYX - 禁用构建 nyx 模式依赖项
NO_CORESIGHT - 禁用构建 coresight(仅限arm64)
NO_UNICORN_ARM64 - 禁用在arm64上构建独角兽
AFL_NO_X86 - 如果在非 intel/amd 平台上编译
LLVM_CONFIG - 如果您的发行版不使用 llvm-config 的标准名称(例如 Debian)

AFL++使用

测试目标及其说明

  • Binary-only: fuzzing_binary-only_targets.md
  • GUI programs: best_practices.md#fuzzing-a-gui-program
  • Libraries: frida_mode/README.md
  • Network services: best_practices.md#fuzzing-a-network-service
  • Non-linux: unicorn_mode/README.md

选择测试目标

例如: Cisco RV130 VPN 路由器的固件:https://software.cisco.com/download/home/285026141/type/282465789/release/1.0.3.55?i=!pp
该文件名为RV130X_FW_1.0.3.55.bin
使用binwalk提取二进制文件,jsonparse和xmlparser1二进制文件进行模糊测试,由于没有源码,所以需要使用qemu模式
例如:
TP-Link SR20路由器的固件,固件的下载地址如下:https://static.tp-link.com/2018/201806/20180611/SR20(US)_V1_180518.zip

$ binwalk -Me tpra_sr20v1_us-up-ver1-2-1-P522_20180518-rel77140_2018-05-21_08.42.04.bin

了解目标接受的输入

qemu-arm-static和 --help 参数运行xmlparser1会显示用法
在这里插入图片描述
我们可以创建一个测试 XML 文件并运行xmlparser1。
在这里插入图片描述

收集语料库

对于基于变异的模糊测试工具而言,需要为其准备一个或多个起始的输入案例,这些案例通常能够很好的测试目标程序的预期功能,这样我们就可以尽可能多的覆盖目标程序。

收集语料的来源多种多样。通常目标程序会包含一些测试用例,我们可以将其做位我们初始语料的一部分,此外互联网上也有些公开的语料库你可以收集他们做为你的需要。

关于语料库的主动性选择,这个更多需要你对fuzzing 目标内部结构的了解。例如你当你要fuzzing的目标对随着输入的规模内存变化非常敏感,那么制作一批很大的文件与较小的文件可能是一个策略,具体是否是否有效取决于你经验、以及对目标的理解。

此外,需要注意控制语料库的规模,太过庞大的语料库并不是好的选择,太过潘达的语料库会拖慢fuzzing的效率,尽可能用相对较小的语料覆盖更多目标代码的预期功能即可。

一些常见的在线样本集

https://files.fuzzing-project.org/
http://samples.ffmpeg.org/
http://lcamtuf.coredump.cx/afl/demo/
https://github.com/MozillaSecurity/fuzzdata
https://github.com/strongcourage/fuzzing-corpus
https://github.com/Cisco-Talos/clamav-fuzz-corpus
https://github.com/mozilla/pdf.js/tree/master/test/pdfs
https://github.com/codelibs/fess-testdata
https://github.com/google/honggfuzz/tree/master/examples/apache-httpd
精简语料库

在AFL++中可以使用工具afl-cmin从语料库中去除不会产生新路径和覆盖氛围的重复输入,并且AFL++官方提示强烈建议我们对语料库唯一化,这是一个几乎不会产生坏处的友谊操作。
具体的使用如下:

  • 将收集到的所有种子文件放入一个目录中,例如 INPUTS。
  • 运行 afl-cmin:

# 如果要通过模糊测试来调用目标程序 bin/target INPUTFILE ,请将目标程序将从中读取的 INPUTFILE 参数替换为 @@
afl-cmin -i INPUTS -o INPUTS_UNIQUE -- bin/target -someopt @@
# 如果目标从 stdin(标准输入)读取,只需省略 , @@ 因为这是默认值:
afl-cmin -i INPUTS -o INPUTS_UNIQUE -- bin/target -someopt

构建输入输出文件

需要自行构建输入文件夹:用来存储初始种子,即将上述种子存到一个文件夹中
需要构建输出文件夹:用来存储测试反馈与记录

运行AFL++

如果程序从 stdin 读取,afl-fuzz请像这样运行:

./afl-fuzz -i seeds_dir -o output_dir -- \
/path/to/tested/program [...program's cmdline...]

要添加字典,请添加-x /path/to/dictionary.txt到 afl-fuzz。
如果程序从文件获取输入,则可以将其放入@@程序的命令行中;AFL++ 将为您放置一个自动生成的文件名。
以上面目标为例:


$ QEMU_LD_PREFIX=./squashfs-root/ /home/iot/tools/AFLplusplus/afl-fuzz -Q -i squashfs-root/bmp-input/ -o squashfs-root/bmp-output/ -- ./squashfs-root/usr/bin/bmp2tiff @@ /dev/null # root权限下
# -Q:适用qemu模式
# -i:输入文件夹
# -o:输出文件夹
# @@:表示将用来替换的样本
# /dev/null:忽略错误信息


$ QEMU_LD_PREFIX=./squashfs-root/ ../AFLplusplus/afl-fuzz \
            -Q \
            -i input-xml/ \
            -o output-xml/ \
            -- ./squashfs-root/usr/sbin/xmlparser1 -f @@

双连字符 (–) 之后的所有内容都指定要与其参数一起运行的目标程序。@@ 参数代表文件名。在运行时,AFL++ 会将@@ 参数替换为输入文件的名称。

结果分析

输出目录会有结果信息
触发崩溃的两个文件位于/default/crashes目录中。
可以进一步重复执行造成crash的种子
在这里插入图片描述

总结

AFL++作为一个覆盖率引导的模糊测试工具,拥有自己的变异算法,由于其使用广泛,因此相关教程及实验资料较多,学习使用的曲线平滑,并且其目前更新频率较高,对LLVM的支持以及各类Sanitizer的支持也使得其能更快的发现更多的漏洞。

其对于闭源应用程序(使用-Q参数开启QEMU模式)和有源码的应用程序都可以进行FUZZING,但是对于复杂的程序会碰见路径爆炸或执行速度较慢的问题,后者可以通过AFL++的持久模式来进行加速,此时需要使用者对被测程序拥有一定的了解(可能涉及到逆向和源码修改的问题)。

参考资料

https://mp.weixin.qq.com/s/0xqYOP-MSS4PmRrJJ6Acqw
https://mp.weixin.qq.com/s/jXztoXqdox-th5LxpWdMnQ
https://mp.weixin.qq.com/s/vNEVdwaLeIKvGm8JPgfduw
https://mp.weixin.qq.com/s/752lYRaCcaF-9I2ErvapiQ
https://mp.weixin.qq.com/s/kyt4JkZlmxBBiVfFVqYY2g
https://github.com/AFLplusplus/AFLplusplus
https://mp.weixin.qq.com/s/Bw8xoaeeqrRdvK2ZZisC1A

清白之年1024
关注
  • 27
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
AFL++: Combining Incremental Steps of Fuzzing Research
席八
10-13 7868
AFL++:结合模糊化研究的增量步骤 摘要 在本文中,我们介绍了AFL++,一个社区驱动的开源工具,它结合了最先进的模糊研究,使研究具有可比性、可复制性、可组合性,最重要的是可使用性。它提供了多种新颖的特性,例如它的定制变异器api,能够在许多阶段扩展模糊化过程。有了它,经验丰富的安全测试人员也可以编写特定目标的变体。我们希望AFL++不仅能成为当前研究的一个新的基线工具,也能成为未来研究的一个新的基线工具,因为它可以快速测试新技术,不仅可以评估单一技术相对于现有技术的有效性,还可以与其他技术相结合。本文对
afl分割文本_按长度
10-14
易语言是一种中国本土的编程语言,它的设计目标是使编程更加简单、直观,让不懂计算机的人也能进行程序开发。在易语言中,处理字符串的函数通常非常丰富,"afl分割文本_按长度"就是其中之一,它提供了一种创新的文本...
黑盒模糊测试之AFL++
席八
09-08 1288
运行 1 个带有 LAF ( + ) 的 afl-fuzz -Q 实例,或者您可以使用 FRIDA 模式,只需切换并删除 LAF 实例AFL_PRELOAD=libcmpcov.soAFL_COMPCOV_LEVEL=2-Q-O。然后运行尽可能多的实例,只要你有-Q模式的内核,或者 - 甚至更好 - 使用二进制重写器,如Dyninst,RetroWrite,ZAFL等。如果二进制重写器适用于您的目标,那么您可以正常使用afl-fuzz,并且它的速度将是QEMU模式的两倍(但比QEMU持久模式慢)。
AFL++ (PlusPlus) 介绍与实践
热门推荐
qq_40229814的博客
02-23 1万+
文章目录一、AFL++简介缝合块AFL基础款1 基于覆盖率指标的反馈2 变异3 fork 服务器缝合怪 一、AFL++简介 AFL++ 结合现今所有基于AFL框架改进方案,形成一个整体,即取其精华,去其糟粕,形成一款终极版AFL——AFL++。 下面以AFL基础款框架的几个部分,分别介绍AFL++结合了哪些改良部分。 缝合块 AFL基础款 AFL 是一款基于突变的、覆盖率引导的FUZZer。 它改变一组测试用例以达到程序中以前未探索的代码。覆盖率发生变化时,触发新覆盖率的测试用例将保存为测试用例队列的一部分
2024年网安最新AFL++简单学习_afl++ iot(1)
2401_84297796的博客
05-01 120
QEMU_LD_PREFIX=./squashfs-root/ /home/iot/tools/AFLplusplus/afl-fuzz -Q -i squashfs-root/bmp-input/ -o squashfs-root/bmp-output/ – ./squashfs-root/usr/bin/bmp2tiff @@ /dev/null # root权限下。这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。
AFL++模糊测试
无痕的博客
09-08 1527
fuzz测试工具--AFL++,可以使用Qemu、Unicorn或Frida 三种模式对IOT二进制文件进行Fuzzing测试
AFL++实战(一)-黑盒测试FFmpeg
someng的博客
06-29 5841
AFL++下载及安装 git clone https://github.com/AFLplusplus/AFLplusplus cd AFLplusplus apt install build-essential libtool-bin python3-dev automake flex bison libglib2.0-dev libpixman-1-dev clang python3-setuptools llvm make distrib make install 如果输入 afl-fuzz -Q
AFL++实战(三)-测试nodejs
someng的博客
07-03 860
# 安装 apt-get install -y --no-install-recommends python gawk software-properties-common add-apt-repository -y ppa:ubuntu-toolchain-r/test apt-get install -y --no-install-recommends libstdc++6 git clone --depth 1 https://github.com/mozilla/gecko-dev git clon
AFL++: Combining Incremental Steps of Fuzzing Research 翻译
大草的博客
01-20 2262
Combining Incremental Steps of Fuzzing Research 论文翻译
AFL intraday strat.rar_afl_finance
07-14
AFL代码基于简单易懂的语法,使得交易者无需深入编程知识也能创建复杂的交易逻辑。 在这个"AFL intraday strat"策略中,我们可以预期它包含了用于日内交易的特定规则和算法。可能包括以下几点核心知识点: 1. **...
unicorefuzz:使用UnicornaflAFL ++对内核进行模糊处理
02-20
Unicorefuzz 使用UnicornAFLAFL ++对内核进行模糊处理。 有关详细信息,请浏览或观看。 有什么好处吗? 。 Unicorefuzz设置 安装python2和python3(ucf使用python3,但是qemu / unicorn需要python2来构建) 运行./setup.sh ,最好在Virtualenv内部运行(否则,将使用--user安装其他python deps)。 在安装过程中,将拉并安装和以及python deps。 享受ucf 升级中 从早期版本的ucf升级时: Unicorefuzz将自动通知您配置更改和新选项。 或者,运行ucf spec来输出注释后的类似config.py spec的元素。 probe_wrapper.py现在是ucf attach 。 harness.py现在更名为ucf emu 。 歌依然没有变。 调试
afl主窗口不可见_控件可见
10-14
易语言是一种中文编程语言,设计目标是使编程变得更加简单、直观,适合初学者和专业人士使用。在易语言中处理窗口和控件的操作相对直接,但实现特定的界面效果如透明窗口需要一些技巧。 首先,我们需要理解“窗口...
技术基础:从头开始学习 Dojo
12-24
Dojo 由 Dojo 基金会维护,遵循 Academic Free License (AFL) 和修改后的 BSD 许可,为开源软件。 **基础理论:** Dojo Toolkit 的核心特性分为四个主要部分:Base、Core、Dijit 和 DojoX。 1. **Base**:基础包...
learning-fuzzing:理学硕士论文中关于学习与模糊相结合的代码
04-27
学习与模糊相结合 该存储库包含: activelearner :原型工具,该工具使用LearnLib进行主动学习,并与我们的libafl库集成以进行模糊测试。 ... simpletarget :简单状态机目标,用于测试学习实现。
AFL++代码详解】简易使用教程
z1nk的博客
01-11 941
介绍AFL++的简易使用
AFL++实战(六)-测试light-LPR
someng的博客
07-09 1706
light-LPR HyperLRP是一个开源的、基于深度学习高性能中文车牌识别库,由北京智云视图科技有限公司开发,支持PHP、C/C++、Python语言,Windows/Mac/Linux/Android/IOS 平台。项目源码 light-LPR的下载 #安装opencv4.0及以上 #安装cmake3.0以上版本 git clone https://github.com/lqian/light-LPR 有源码测试 测试代码 #include <../include/PlateDetectio
网络安全最全AFL++简单学习_afl++ iot
最新发布
2401_84300859的博客
05-04 1002
AFL++作为一个覆盖率引导的模糊测试工具,拥有自己的变异算法,由于其使用广泛,因此相关教程及实验资料较多,学习使用的曲线平滑,并且其目前更新频率较高,对LLVM的支持以及各类Sanitizer的支持也使得其能更快的发现更多的漏洞。其对于闭源应用程序(使用-Q参数开启QEMU模式)和有源码的应用程序都可以进行FUZZING,但是对于复杂的程序会碰见路径爆炸或执行速度较慢的问题,后者可以通过AFL++的持久模式来进行加速,此时需要使用者对被测程序拥有一定的了解(可能涉及到逆向和源码修改的问题)。
AFL++实战(五)-测试HyperLPR
someng的博客
07-07 603
HyperLPR Node.js 是一个基于Chrome JavaScript 运行时建立的一个平台。 Node.js是一个事件驱动I/O服务端JavaScript环境,基于Google的V8引擎,V8引擎执行Javascript的速度非常快,性能非常好。 简单的说 Node.js 就是运行在服务端的 JavaScript。项目源码 HyperLPR的下载 #安装opencv4.0及以上, freetype库 #安装cmake3.0以上版本,支持c++11的c++编译器,如gcc-6.3 有源码测试 配
AFL+2016CCS
07-25
AFL++AFL的一个分支版本,它是学术模糊研究的一部分基础模糊器,并且在业界也得到了广泛的使用。AFL++最初是作为AFL补丁和补丁的集合,但后来重新实施了非基于AFL的研究,例如REDQUEEN,以及对AFL的研究级扩展,以使其可以用于AFL++。在AFL++的基础上添加了新颖的功能。AFL++的种子调度是其中一个重要的功能。此外,AFL++社区在提供补丁、错误修复和新功能方面发挥了积极的作用。还要感谢FuzzBench的Jonathan Metzman、Abhishek Arya和László Szekeres提供的支持。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* *2* *3* [AFL++: Combining Incremental Steps of Fuzzing Research 翻译](https://blog.csdn.net/sinat_38816924/article/details/112910305)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值