honggfuzz 简介
honggfuzz 是由 google 开发的一款基于代码覆盖率的 fuzzer,与 afl、libfuzzer 并驾齐驱。也是一款效率很高的反馈驱动 fuzz 工具。
项目 | Honggfuzz |
---|---|
项目地址 | https://github.com/google/honggfuzz |
开发者 | |
是否更新 | 不断更新 |
honggfuzz 特性
- 多进程和多线程,因此 fuzz 速度非常快
- 支持持久性 fuzz(Persistent Fuzzing),长时间调用重复模糊测试的API的进程
- 易于使用,将其提供给一个简单的语料库目录(对于反馈驱动的模糊测试甚至可以是空的),它将逐步发展,并利用基于反馈的覆盖率指标对其进行扩展
- 使用底层接口监视进程,更有可能从 crash 中发现并报告被劫持和忽略的信号
- 支持多种 fuzz 方式(基于硬件的(CPU:分支/指令计数,Intel BTS,Intel PT)和基于软件的反馈驱动的模糊模式)(比其他基于覆盖率的反馈驱动的模糊器更多)
下载项目
$ git clone https://github.com/google/honggfuzz
编译和安装
$ make
$ sudo make install
实战分析
测试 demo 如下(可以与 afl 对比:经典 Fuzzer 工具 AFL 模糊测试指南),这里为了体现 afl 的插桩功能,特意多写了几个 if 分支,在分支深处,会发生栈溢出
#include <stdio.h>
#include <unistd.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <sys/fcntl.h>
int main(int argc, char const *argv[])
{
if(argc != 2)
{
printf("null args!\n");
return -1;
}
/* Get file state */
struct stat fstat;
if(stat(argv[1], &fstat))
{
printf("Failed ^_^\n");
return -1;
}
/* Open file */
FILE * fd = NULL;
fd = open(argv[1], O_RDONLY);
if(fd == -1)
{
printf("open file failed!\n");
return -1;
}
/* Select */
char buf[15];
if(read(fd, buf, 2) == -1)
{
printf("read failed!");
return -1;
}
if(buf[0] == 'a' && buf[1] == 'b')
{
if(read(fd, buf, 4) != -1)
{
if(buf[2] == 's')
{
read(fd, buf, fstat.st_size - 6);
printf("%s\n", buf);
}
}
}
return 0;
}
上述代码,如果走到最深处,极有可能发生栈溢出。当用户输入的第一个字符是 a,第二个字符是 b,第五个字符是 s,就满足条件。我们的目的是,只给定一个符合格式用例(原始种子,这里就是一个能让程序跑起来的测试用例,即字符串)。fuzz 工具会自动变异生成其他更多的测试用例,寻找能否让代码走到不同的分支(类似于暴力破解)。
源码插桩
hfuzz-clang hfuzzDemo.c -o hfuzzDemo
每一个 if 语句代表每一个条件分支,在 IDA 的反汇编窗口现实的就是一个基本块。一个 if 语句就是一个新分支,如下所示,我们用 hfuz-clang 编译后的反汇编代码,在每个 if 语句中,都已经自动插桩,_sanitizer_cov_trace_const
是插桩函数,用来记录污点。这是 LLVM 编译器自带的优化选项,可以粗略计算代码覆盖率。
生成语料库
新建 in 目录,在目录下新建文件,写入种子,变异算法会根据此种子变异生成各种测试用例,喂给程序,比如写入以下信息(根据代码,当第一个字符为 a,第二个字符为 b,第五个字符 为 s,可能会发生溢出)
hello world
开始 fuzzing
honggfuzz -e txt -u -z -Q -i ./in -W ./result -- ./hgfuzzDemo ___FILE___
参数分析
- e 指定测试用例的扩展名
- u 保存所有测试用例
- z 源码插桩
- Q 打印被测试程序的输出
- i 语料库,即种子,也就是最原始的测试用例
- W 工作目录
--
分隔 honggfuzz 与被测程序___FILE___
被测程序的参数,用占位符代替文件名,类似于 AFL 中的 @@
运行截图
结果分析
result 目录下存放了结果,包括了 HONGGFUZZ.REPORT.TXT
以及使得程序崩溃的测试用例
Q&A 可能遇到的问题
问题一:
linux/bfd.c:28:10: fatal error: bfd.h: No such file or directory
#include <bfd.h>
^~~~~~~
compilation terminated.
Makefile:259: recipe for target 'linux/bfd.o' failed
make: *** [linux/bfd.o] Error 1
这是因为没有 binutils-dev
apt-get install binutils-dev
问题二:
linux/unwind.c:27:10: fatal error: libunwind-ptrace.h: No such file or directory
#include <libunwind-ptrace.h>
^~~~~~~~~~~~~~~~~~~~
compilation terminated.
Makefile:259: recipe for target 'linux/unwind.o' failed
make: *** [linux/unwind.o] Error 1
如果提示以下错误,这是因为没有 libunwind-dev
apt-get install libunwind-dev
问题三:
Ubuntu 18.0.4 闪退,所以测试环境为 Kali
总结
honggfuzz 跟传统 fuzz 工具相比,最大的优势就是 fuzzing 速度特别快,多线程多进程的优势让 honggfuzz 可以充分利用 CPU 资源,极大的提高找到崩溃测试用例的速率。这里,我们使用的例子,与笔者在 经典 Fuzzer 工具 AFL 模糊测试指南 提到的例子是一样的,然而
这里用一个十分随意的语料库 hello world,很快就找到了 crash ;相比之前所说的 afl,笔者故意设置了一个与程序崩溃的测试用例高度相似*的用例作为原始语料库,花费了较长时间才找到 crash*。 所以 honggfuzz 的效率显而易见。