使用反馈驱动 Fuzzer 工具 Honggfuzz 进行漏洞挖掘

honggfuzz 简介

honggfuzz 是由 google 开发的一款基于代码覆盖率的 fuzzer，与 afl、libfuzzer 并驾齐驱。也是一款效率很高的反馈驱动 fuzz 工具。

项目	Honggfuzz
项目地址	https://github.com/google/honggfuzz
开发者	Google
是否更新	不断更新

honggfuzz 特性

• 多进程和多线程，因此 fuzz 速度非常快
• 支持持久性 fuzz（Persistent Fuzzing），长时间调用重复模糊测试的API的进程
• 易于使用，将其提供给一个简单的语料库目录（对于反馈驱动的模糊测试甚至可以是空的），它将逐步发展，并利用基于反馈的覆盖率指标对其进行扩展
• 使用底层接口监视进程，更有可能从 crash 中发现并报告被劫持和忽略的信号
• 支持多种 fuzz 方式（基于硬件的（CPU：分支/指令计数，Intel BTS，Intel PT）和基于软件的反馈驱动的模糊模式）（比其他基于覆盖率的反馈驱动的模糊器更多）

下载项目

$ git clone https://github.com/google/honggfuzz

编译和安装

$ make
$ sudo make install

实战分析

测试 demo 如下（可以与 afl 对比：经典 Fuzzer 工具 AFL 模糊测试指南），这里为了体现 afl 的插桩功能，特意多写了几个 if 分支，在分支深处，会发生栈溢出

#include <stdio.h>
#include <unistd.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <sys/fcntl.h>

int main(int argc, char const *argv[])
{
	if(argc != 2)
	{
		printf("null args!\n");
		return -1;
	}

	/* Get file state */
	struct stat fstat;
	if(stat(argv[1], &fstat))
	{
		printf("Failed ^_^\n");
		return -1;
	}

	/* Open file */
	FILE * fd = NULL;
	fd = open(argv[1], O_RDONLY);
	if(fd == -1)
	{
		printf("open file failed!\n");
		return -1;
	}

	/* Select */
	char buf[15];
	if(read(fd, buf, 2) == -1)
	{
		printf("read failed!");
		return -1;
	}

	if(buf[0] == 'a' && buf[1] == 'b')
	{
		if(read(fd, buf, 4) != -1)
		{
			if(buf[2] == 's')
			{
				read(fd, buf, fstat.st_size - 6);
				printf("%s\n", buf);
			}
		}
	}

	return 0;
}

上述代码，如果走到最深处，极有可能发生栈溢出。当用户输入的第一个字符是 a，第二个字符是 b，第五个字符是 s，就满足条件。我们的目的是，只给定一个符合格式用例（原始种子，这里就是一个能让程序跑起来的测试用例，即字符串）。fuzz 工具会自动变异生成其他更多的测试用例，寻找能否让代码走到不同的分支（类似于暴力破解）。

源码插桩

hfuzz-clang hfuzzDemo.c -o hfuzzDemo

每一个 if 语句代表每一个条件分支，在 IDA 的反汇编窗口现实的就是一个基本块。一个 if 语句就是一个新分支，如下所示，我们用 hfuz-clang 编译后的反汇编代码，在每个 if 语句中，都已经自动插桩，_sanitizer_cov_trace_const 是插桩函数，用来记录污点。这是 LLVM 编译器自带的优化选项，可以粗略计算代码覆盖率。

生成语料库

新建 in 目录，在目录下新建文件，写入种子，变异算法会根据此种子变异生成各种测试用例，喂给程序，比如写入以下信息（根据代码，当第一个字符为 a，第二个字符为 b，第五个字符 为 s，可能会发生溢出）

hello world

开始 fuzzing

honggfuzz -e txt -u -z -Q -i ./in -W ./result -- ./hgfuzzDemo ___FILE___

参数分析

• e 指定测试用例的扩展名
• u 保存所有测试用例
• z 源码插桩
• Q 打印被测试程序的输出
• i 语料库，即种子，也就是最原始的测试用例
• W 工作目录
• --分隔 honggfuzz 与被测程序
• ___FILE___ 被测程序的参数，用占位符代替文件名，类似于 AFL 中的 @@

运行截图

结果分析

result 目录下存放了结果，包括了 HONGGFUZZ.REPORT.TXT 以及使得程序崩溃的测试用例

Q&A 可能遇到的问题

问题一：

linux/bfd.c:28:10: fatal error: bfd.h: No such file or directory
 #include <bfd.h>
          ^~~~~~~
compilation terminated.
Makefile:259: recipe for target 'linux/bfd.o' failed
make: *** [linux/bfd.o] Error 1

这是因为没有 binutils-dev

apt-get install binutils-dev

问题二：

linux/unwind.c:27:10: fatal error: libunwind-ptrace.h: No such file or directory
 #include <libunwind-ptrace.h>
          ^~~~~~~~~~~~~~~~~~~~
compilation terminated.
Makefile:259: recipe for target 'linux/unwind.o' failed
make: *** [linux/unwind.o] Error 1

如果提示以下错误，这是因为没有 libunwind-dev

apt-get install libunwind-dev

问题三：
Ubuntu 18.0.4 闪退，所以测试环境为 Kali

总结

honggfuzz 跟传统 fuzz 工具相比，最大的优势就是 fuzzing 速度特别快，多线程多进程的优势让 honggfuzz 可以充分利用 CPU 资源，极大的提高找到崩溃测试用例的速率。这里，我们使用的例子，与笔者在 经典 Fuzzer 工具 AFL 模糊测试指南 提到的例子是一样的，然而

这里用一个十分随意的语料库 hello world，很快就找到了 crash ；相比之前所说的 afl，笔者故意设置了一个与程序崩溃的测试用例高度相似*的用例作为原始语料库，花费了较长时间才找到 crash*。 所以 honggfuzz 的效率显而易见。