【软件安全实验】使用American Fuzzy Lop工具挖掘 C/C++程序漏洞

最新推荐文章于 2024-05-17 01:07:56 发布
最新推荐文章于 2024-05-17 01:07:56 发布
阅读量749 收藏 11
点赞数 16
分类专栏: 实验 文章标签: 安全 c++ 开发语言 AFL 程序漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45858191/article/details/135096712
版权

文章目录

实验要求

使用American Fuzzy Lop工具挖掘C/C++程序漏洞。

实验步骤

一、安装American Fuzzy Lop

1、下载American Fuzzy Lop

wget https://lcamtuf.coredump.cx/afl/releases/afl-latest.tgz

在这里插入图片描述

tar -zxvf afl-latest.tgz

在这里插入图片描述


cd afl-2.52b

在这里插入图片描述

2、安装gcc编译器

sudo apt-get install gcc

在这里插入图片描述

3、make并展示指令列表,确认安装成功

make
sudo make install

在这里插入图片描述在这里插入图片描述

二、安装漏洞语料库、目标C程序

1、安装漏洞语料库

mkdir testbugcase
cd testbugcase
wget http://samples.ffmpeg.org/tests/DivX-test/Xmen-OpenDivX-200-slow.avicd ..

在这里插入图片描述

2、确定目标C程序
选择的目标程序是ultrix42-src下的/usr/bin/deroff.d下的deroff.c以及
同目录下的chroot.c(加强测试)
在这里插入图片描述

三、开始测试

1、对代码进行编译

afl-gcc -g -o afl_test deroff.c

在这里插入图片描述

2、编辑配置

sudo su root
echo ecore > /proc/sys/kernel/core_pattern
exit

在这里插入图片描述

3、fuzzing程序deroff.c

afl-fuzz -i testcase -o output ./afl_test sam2p @@

fuzzing时的面板如下所示:
在这里插入图片描述
(3)编译测试chroot.c加强测试

具体步骤同上,具体结果如下所示:
在这里插入图片描述在这里插入图片描述

在这里插入图片描述

生生不息~
关注
  • 16
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android-afl (American Fuzzy Lop for Anadroid)编译安装
潇湘淑女
04-20 2648
android-afl (American Fuzzy Lop for Anadroid)的编译安装
AFL模糊测试
无痕的博客
09-08 2875
fuzz测试工具-AFL,实现对源码或二进制文件的模糊测试
最新模糊测试-AFL学习笔记之C C++_lcamtuf博客,2024年最新3年C C++开发工程师面试经验分享
最新发布
2401_84978642的博客
05-17 269
这可能是最重要的一步!大型测试用例不仅需要被测试的二进制文件花费更多的时间和内存来解析,而且还使得模糊测试处理的效率大大降低。为了说明这一点,假设您随机地一次翻转文件中的位。假设如果您翻转#47位,将会遇到一个安全漏洞;翻转任何其他位只会导致文档无效。现在,如果您的开始测试用例的长度为100个字节,那么您将有71%的机会在前1,000个exec中触发错误——不错!但是,如果测试用例的长度为1 KB,则我们将在同一时间范围内随机击中正确模式的可能性将降低至11%。
C++这几天找漏洞心得
个人进步之路
07-29 278
C++这几天找漏洞心得
C++通用漏洞汇总
thesum的专栏
04-07 951
http://cwe.mitre.org/data/lists/659.html
AFL(American Fuzzy Lop)安装教程
weixin_39132520的博客
01-26 1831
下载源码: git clone https://github.com/google/AFL.git --depth=1 cd AFL Makefile中自定义安装位置: vi Makefile 编译安装: make make install llvm模式安装afl-clang-fast和afl-clang-fast++: cd llvm_mode make 如果出现下面的错误,请使用clang-4.0和llvm-config-4.0编译(此处错误原因为clang版本为6.0,而ll..
【AFL学习笔记(一)】简单的使用AFL进行漏洞挖掘测试
音尘啊
10-18 1078
本文使用的是Ubuntu 20.4 版本进行演示。
AFL:American Fuzzy lop-面向安全的模糊器
05-12
1)引导模糊测试的挑战模糊检测是识别实际软件安全问题的最强大,最成熟的策略之一。 它负责迄今为止在安全性至关重要的软件中发现的绝大多数远程代码执行和特权提升错误。 不幸的是,起毛还比较浅。 盲目的,随机...
Fuzzy-Logic-Controllers-fuzzy.zip_软件设计/软件工程_C/C++_
08-11
在"Fuzzy Logic Controllers-fuzzy.pdf"文档中,读者可以期待找到关于模糊逻辑控制器的深入理论解释、实例分析以及可能的C/C++代码示例,帮助理解如何在实际项目中应用模糊逻辑技术。 总之,模糊逻辑控制器提供了一...
afl.rs:with使用American Fuzzy Lop模糊Rust代码
02-05
使用American Fuzzy Lop(AFL)进行Rust代码模糊测试详解》 在软件开发过程中,确保代码的安全性和稳定性是至关重要的。其中,模糊测试(Fuzz Testing)是一种广泛应用于发现程序潜在漏洞和错误的有效手段。...
:rabbit: 使用 American Fuzzy Lop 模糊 Rust 代码
06-28
模糊测试是一种软件测试技术,用于通过向软件提供伪随机数据作为输入来发现安全性和稳定性问题。AFLplusplus是一种流行的、有效的、现代的基于AFL 的模糊测试工具。这个库 afl.rs 允许在用 Rust 编程语言编写的代码...
apr-fuzz:尝试构建使用American Fuzzy Lop的仪表的模糊器,但使用Python
05-05
前冲这是尝试构建使用American Fuzzy Lop工具(但在Python中)的模糊器。 目前,它做的并不多。用法到今天为止,我还没有重写afl-gcc / afl-as,因此您需要使用American Fuzzy Lop的编译器/汇编程序包装器来构建二...
模糊测试-AFL学习笔记之C/C++
关注网络安全、云原生安全
07-15 5524
参考 afl 简介 AFL(American Fuzzy lop)是一种面向安全的模糊器,它采用新型的编译时检测和遗传算法来自动发现干净、有趣的测试用例,这些用例会触发目标二进制文件中的新内部状态。这大大改善了模糊代码的功能覆盖范围。该工具生成的紧凑的合成语料库还可用于其他更耗费人力或资源的测试方案的种子。 与其他仪器化的模糊测试器相比,afl-fuzz的设计实用:它具有适度的性能开销,使用各种高效的模糊测试策略和工作量最小化技巧,基本上不需要配置,并且可以无缝地处理复杂的实际用例,例如,常见的图.
漏洞挖掘篇(基础)
热门推荐
m0_57929980的博客
06-22 1万+
漏洞挖掘篇(基础):介绍漏洞挖掘的方法,包括:符号执行、污点分析等,主要讲解词法分析、数据流分析、模糊测试的原理和使用,补充AFL模糊测试框架部分内容。
AFL 漏洞挖掘
tomyyyyy
09-03 980
AFL 漏洞挖掘技术漫谈(一):用 AFL 开始你的第一次 Fuzzing 转载自天融信阿尔法实验室 一、前言 模糊测试(Fuzzing)技术作为漏洞挖掘最有效的手段之一,近年来一直是众多安全研究人员发现漏洞的首选技术。AFL、LibFuzzer、honggfuzz等操作简单友好的工具相继出现,也极大地降低了模糊测试的门槛。笔者近期学习漏洞挖掘过程中,感觉目前网上相关的的资源有些冗杂,让初学者有...
American Fuzzy Lop(AFL)的安装与简单使用
weixin_50972562的博客
03-09 2036
American Fuzzy Lop(AFL)的安装与简单使用
LAVA: Large-scale Automated Vulnerability Addition
Scarlett_geng的博客
12-26 1204
abstract LAVA:一种基于动态染色的新技术,通过自动向源程序代码中插入大量的真实的bugs来生成真实的语料库。 每个LAVA的bug都可以由一个完整的input触发,而正常的输入是不可能做到这一点的。而且这些漏洞都是人合成的。 ...
漏洞挖掘之Fuzzing和AFL原理理解
秀玉轩晨的博客
11-02 5105
漏洞挖掘技术 漏洞挖掘发展过程中,有很多的技术被提出,最有效的技术仍然是Fuzzing。学术界提出的包括静态分析,动态分析,污点分析,符号分析等方法多少具有局限性。 Fuzzing与AFL漏洞挖掘技术Fuzzing与AFL的历史Fuzzing的原理思想AFLAFL的工作流程 Fuzzing与AFL的历史 Fuzzing在90年代被提出,目前已有30年历史,但真正大的发展是在2013年,它是一个动态测试的过程基本思路是想办法生成一大堆输入,扔给程序测试,观察在测试过程中出现的bug和问题。 整个过程的核心是怎
AFL漏洞分析工具安装使用-----学术小白
sinat_41213285的博客
07-20 1471
Crashwalk安装及使用 crashwalk是一款全自动化的漏洞分析工具 sudo apt-get install golang go get -u github.com/bnagy/crashwalk/cmd/… 安装 exploitable ~/src/exploitable/exploitable/exploitable.py mkdir~/src cd ~/src git clone https://github.com/jfoote/ex...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值