LibAFL的安装及基本使用

最新推荐文章于 2024-05-13 09:38:09 发布
最新推荐文章于 2024-05-13 09:38:09 发布
阅读量1.3k 收藏 8
点赞数 3
分类专栏: 模糊测试 工具 文章标签: 模糊测试 LibAFL Rust
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013648063/article/details/129270024
版权

本教程安装LibAFL使用的是Ubuntu 22.04 操作系统

1. 安装

1.1 Rust 安装

Rust的安装,参照Rust官网:https://www.rust-lang.org/tools/install

curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh

1.2 LLVM安装

直接apt安装,安装的应该是LLVM 14,LibAFL说是在LLVM 11-15之间就行。

sudo apt update
sudo apt-get install llvm clang

1.3 LibAFL安装

cargo install cargo-make
git clone https://github.com/AFLplusplus/LibAFL
cd LibAFL
cargo build --release

自此安装完毕。

2. 基本使用

现在来使用这个LibAFL已经写好的模糊测试器(libfuzzer)来测试libpng。主要参考官方的这个教程:https://github.com/AFLplusplus/LibAFL/tree/main/fuzzers/libfuzzer_libpng

这个模糊测试器在LibAFL/fuzzers/libfuzzer_libpng目录下,先把他build起来。

cd fuzzers/libfuzzer_libpng
cargo build --release

这个操作会生成两个编译器(libafl_cc和libafl_cxx)的wrapper,需要使用他们来编译程序。他们会出现在target/release的文件夹下。

然后下载libpng,并解压

wget https://deac-fra.dl.sourceforge.net/project/libpng/libpng16/1.6.37/libpng-1.6.37.tar.xz
tar -xvf libpng-1.6.37.tar.xz

然后使用libafl_cc编译器来编译libpng,

cd libpng-1.6.37
./configure --enable-shared=no --with-pic=yes --enable-hardware-optimizations=yes
make CC="$(pwd)/../target/release/libafl_cc" CXX="$(pwd)/../target/release/libafl_cxx" -j `nproc`

然后可以发现编译后的静态库在这个目录下libpng-1.6.37/.libs/libpng16.a

因为我们测试的是libpng,它是一个库,所以还需要编译一个harness,来调用libpng的库。harness.cc位于fuzzers/libfuzzer_libpng下。

./target/release/libafl_cxx ./harness.cc libpng-1.6.37/.libs/libpng16.a -I libpng-1.6.37/ -o fuzzer_libpng -lz -lm

开始测试,先在一个终端运行下面的程序,它会开启一个tcp端口(1337),等待fuzzer 客户端连接,这个端口是本地的,目的只是用来初始化的握手。后续的通信是通过shared map。目前需要在libfuzzer_libpng的目录下运行,才可以访问到libpng的语料库。

./fuzzer_libpng

然后在另外开启另外一个终端,运行下面命令

./fuzzer_libpng

再切回到原来的终端,会发现开始跑模糊测试了。

这是第一个终端的界面,需要在另外一个终端执行./fuzzer_libpng才会出现下面的情况

在这里插入图片描述

另一个终端的界面

在这里插入图片描述

3. libfuzz_libpng是如何构造的

进入src目录下,会发现有lib.rs和bin目录,bin目录存放的是编译器wrapper的代码,也就是负责插桩的代码。lib.rs是构建fuzzer的代码。

3.1 libafl_cc.rs

简单来看就是个clang的包装器,加了个-fsanitize-coverage=trace-pc-guard选项。

下面是chatgpt对这部分代码的解释,感觉说的没啥问题。

这是一个Rust语言编写的程序,主要目的是作为一个编译器的包装器(wrapper)来调用Clang编译器,并在编译时链接静态库并进行覆盖率分析。
程序接受命令行参数作为输入,然后根据参数执行不同的操作。如果命令行参数的数量少于2,则程序会抛出一个panic异常。否则,程序会尝试解析命令行参数并使用Clang编译器进行编译。如果编译成功,则程序以编译器的返回代码(exit code)退出,否则程序也会抛出一个panic异常。
具体来说,程序首先使用Rust标准库中的env模块获取命令行参数,并检查是否至少传入了一个参数。接下来,程序通过调用ClangWrapper::new()方法创建一个ClangWrapper对象,然后根据包装器(wrapper)的名称来判断要使用C++编译器还是C编译器。如果包装器的名称以"cc"结尾,则使用C编译器,否则如果名称以"++"、"pp"或"xx"结尾,则使用C++编译器。如果无法确定应该使用哪种编译器,则程序会抛出一个panic异常。
然后,程序使用ClangWrapper对象的方法来添加链接静态库、设置覆盖率分析等编译选项,并运行编译器进行编译。如果编译器成功完成编译,则程序使用编译器的返回代码(exit code)退出。
总之,这个程序主要是作为一个包装器(wrapper)来调用Clang编译器,以便在编译时添加一些额外的选项。在这种情况下,它被用于编译fuzz测试。

use std::env;

use libafl_cc::{ClangWrapper, CompilerWrapper};

pub fn main() {
    let args: Vec<String> = env::args().collect();
    if args.len() > 1 {
        let mut dir = env::current_exe().unwrap();
        let wrapper_name = dir.file_name().unwrap().to_str().unwrap();

        let is_cpp = match wrapper_name[wrapper_name.len()-2..].to_lowercase().as_str() {
            "cc" => false,
            "++" | "pp" | "xx" => true,
            _ => panic!("Could not figure out if c or c++ wrapper was called. Expected {dir:?} to end with c or cxx"),
        };

        dir.pop();

        let mut cc = ClangWrapper::new();
        if let Some(code) = cc
            .cpp(is_cpp)
            // silence the compiler wrapper output, needed for some configure scripts.
            .silence(true)
            .parse_args(&args)
            .expect("Failed to parse the command line")
            .link_staticlib(&dir, "libfuzzer_libpng")
            .add_arg("-fsanitize-coverage=trace-pc-guard")
            .run()
            .expect("Failed to run the wrapped compiler")
        {
            std::process::exit(code);
        }
    } else {
        panic!("LibAFL CC: No Arguments given");
    }
}

3.2 lib.rs

lib.rs代码有点多,分段来看,首先导入库的部分,继承了LibAFL里很多有用的组件。

//! A libfuzzer-like fuzzer with llmp-multithreading support and restarts
//! The example harness is built for libpng.
use mimalloc::MiMalloc;
#[global_allocator]
static GLOBAL: MiMalloc = MiMalloc;

use core::time::Duration;
#[cfg(feature = "crash")]
use std::ptr;
use std::{env, path::PathBuf};

use libafl::{
    bolts::{
        current_nanos,
        rands::StdRand,
        tuples::{tuple_list, Merge},
        AsSlice,
    },
    corpus::{Corpus, InMemoryCorpus, OnDiskCorpus},
    events::{setup_restarting_mgr_std, EventConfig, EventRestarter},
    executors::{inprocess::InProcessExecutor, ExitKind, TimeoutExecutor},
    feedback_or, feedback_or_fast,
    feedbacks::{CrashFeedback, MaxMapFeedback, TimeFeedback, TimeoutFeedback},
    fuzzer::{Fuzzer, StdFuzzer},
    inputs::{BytesInput, HasTargetBytes},
    monitors::MultiMonitor,
    mutators::{
        scheduled::{havoc_mutations, tokens_mutations, StdScheduledMutator},
        token_mutations::Tokens,
    },
    observers::{HitcountsMapObserver, StdMapObserver, TimeObserver},
    schedulers::{
        powersched::PowerSchedule, IndexesLenTimeMinimizerScheduler, StdWeightedScheduler,
    },
    stages::{calibrate::CalibrationStage, power::StdPowerMutationalStage},
    state::{HasCorpus, HasMetadata, StdState},
    Error,
};
use libafl_targets::{libfuzzer_initialize, libfuzzer_test_one_input, EDGES_MAP, MAX_EDGES_NUM};

再看下主函数,主要是调用fuzz函数,传入了三个参数,分别是语料库的路径、崩溃文件目录以及随机种子。

pub fn libafl_main() {
    // Registry the metadata types used in this fuzzer
    // Needed only on no_std
    //RegistryBuilder::register::<Tokens>();

    println!(
        "Workdir: {:?}",
        env::current_dir().unwrap().to_string_lossy().to_string()
    );
    fuzz(
        &[PathBuf::from("./corpus")],
        PathBuf::from("./crashes"),
        1337,
    )
    .expect("An error occurred while fuzzing");
}

fuzz函数中,首先创建了MultiMonitor来打印调试信息。

let monitor = MultiMonitor::new(|s| println!("{s}"));

RestartingManager让目标程序在模糊测试过程中崩溃时重新启动程序。

 let (state, mut restarting_mgr) =
        match setup_restarting_mgr_std(monitor, broker_port, EventConfig::AlwaysUnique) {
            Ok(res) => res,
            Err(err) => match err {
                Error::ShuttingDown => {
                    return Ok(());
                }
                _ => {
                    panic!("Failed to setup the restarter: {err}");
                }
            },
        };

edges_observer使用覆盖率映射表来观察程序的执行情况

  let edges_observer = unsafe {
        HitcountsMapObserver::new(StdMapObserver::from_mut_ptr(
            "edges",
            EDGES_MAP.as_mut_ptr(),
            MAX_EDGES_NUM,
        ))
    };

判断输入是否有趣。主要是基于覆盖率和执行的时间来进行判断。

    let time_observer = TimeObserver::new("time");
    let map_feedback = MaxMapFeedback::new_tracking(&edges_observer, true, false);

    let calibration = CalibrationStage::new(&map_feedback);
    let mut feedback = feedback_or!(
        // New maximization map feedback linked to the edges observer and the feedback state
        map_feedback,
        // Time feedback, this one does not need a feedback state
        TimeFeedback::with_observer(&time_observer)
    );

判断输入是否是最终想要的,即是不是PoC。

let mut objective = feedback_or_fast!(CrashFeedback::new(), TimeoutFeedback::new());

如果重启失败了,需要重新创建状态。

  let mut state = state.unwrap_or_else(|| {
        StdState::new(
            // RNG
            StdRand::with_seed(current_nanos()),
            // Corpus that will be evolved, we keep it in memory for performance
            InMemoryCorpus::new(),
            // Corpus in which we store solutions (crashes in this example),
            // on disk so the user can get them after stopping the fuzzer
            OnDiskCorpus::new(objective_dir).unwrap(),
            // States of the feedbacks.
            // The feedbacks can report the data that should persist in the State.
            &mut feedback,
            // Same for objective feedbacks
            &mut objective,
        )
        .unwrap()
    });

创建png字典。主要是libpng需要合法的png图片来作为输入。

if state.metadata().get::<Tokens>().is_none() {
        state.add_metadata(Tokens::from([
            vec![137, 80, 78, 71, 13, 10, 26, 10], // PNG header
            "IHDR".as_bytes().to_vec(),
            "IDAT".as_bytes().to_vec(),
            "PLTE".as_bytes().to_vec(),
            "IEND".as_bytes().to_vec(),
        ]));
    }

构造一个具有多阶段的变异器。


  let mutator = StdScheduledMutator::new(havoc_mutations().merge(tokens_mutations()));
  let power = StdPowerMutationalStage::new(mutator);
  let mut stages = tuple_list!(calibration, power);

从语料库获取种子的调度器(种子调度)

let scheduler = IndexesLenTimeMinimizerScheduler::new(StdWeightedScheduler::with_schedule(
        &mut state,
        &edges_observer,
        Some(PowerSchedule::FAST),
    ));

把前面的组件组装为1个fuzzer

let mut fuzzer = StdFuzzer::new(scheduler, feedback, objective);

构造harness的wrapper,不太理解这段代码,推测是libfuzzer的特性所以需要这么一段。

  let mut harness = |input: &BytesInput| {
      let target = input.target_bytes();
      let buf = target.as_slice();
      #[cfg(feature = "crash")]
      if buf.len() > 4 && buf[4] == 0 {
          unsafe {
              eprintln!("Crashing (for testing purposes)");
              let addr = ptr::null_mut();
              *addr = 1;
          }
      }
      libfuzzer_test_one_input(buf);
      ExitKind::Ok
  };

构建一个超时的执行器,也就是在给定的时间内执行程序。

 let mut executor = TimeoutExecutor::new(
        InProcessExecutor::new(
            &mut harness,
            tuple_list!(edges_observer, time_observer),
            &mut fuzzer,
            &mut state,
            &mut restarting_mgr,
        )?,
        // 10 seconds timeout
        Duration::new(10, 0),
    );
 // The actual target run starts here.
 // Call LLVMFUzzerInitialize() if present.
  let args: Vec<String> = env::args().collect();
  if libfuzzer_initialize(&args) == -1 {
      println!("Warning: LLVMFuzzerInitialize failed with -1");
  }

处理下初始语料库为空的情况

   // In case the corpus is empty (on first run), reset
    if state.must_load_initial_inputs() {
        state
            .load_initial_inputs(&mut fuzzer, &mut executor, &mut restarting_mgr, corpus_dirs)
            .unwrap_or_else(|_| panic!("Failed to load initial corpus at {:?}", &corpus_dirs));
        println!("We imported {} inputs from disk.", state.corpus().count());
    }

迭代执行

 let iters = 1_000_000;
    fuzzer.fuzz_loop_for(
        &mut stages,
        &mut executor,
        &mut state,
        &mut restarting_mgr,
        iters,
    )?;

总的来说有点像搭积木的感觉,但是目前对每个积木怎么搭的还不是很了解,后续再看看别的fuzzer是怎么实现的。

破落之实
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
afl安装+++binutils安装
刘某人 的博客
04-13 935
1.进入afl目录 执行: make sudo make all sudo make install 配置 export CC=afl-clang; export CXX=afl-clang++; 可以使用env来查看环境变量
learning-fuzzing:理学硕士论文中关于学习与模糊相结合的代码
04-27
activelearner :原型工具,该工具使用LearnLib进行主动学习,并与我们的libafl库集成以进行模糊测试。 afl :美国模糊Lop(AFL)模糊器,带有在原型工具中使用libafl库。 基准:使用cgenerate构建的一组学习...
LibAFL-legacy:AFL ++作为库
03-22
图书馆 LibAFL是为构建高效的模糊器而开发的模糊库/框架。 免责声明:LibAFL仍然是非常WIP,可能API会发生很大变化,请不要使用它。但是,也可以随时提出想法或提出问题。 LibAFL最初由 GSOC指导者作为GSOC项目开发: 内容 介绍 模糊测试的要素 特征 LibAFL入门 介绍 LibAFL是构建模糊器的框架,并支持多线程。 LibAFL背后的主要概念不是构建“最佳”模糊器,而是为您提供轻松为特定目标制作最佳模糊器的工具。 我们用C语言编写此代码,因此您不必这样做:最终将添加诸如rust之类的理智语言的绑定。 LibAFL包含构建模糊器的所有部分,请考虑“模糊器的LLVM”。 模糊测试的要素 LibAFL模糊器的定义如下(基于工作): 执行程序-执行目标和收集观察的结构(代码覆盖率,执行时间等)。 ./examples一个示例使用AFL ++ forkserver,
探索LibAFL:高效可定制的模糊测试
最新发布
gitblog_00025的博客
05-13 519
探索LibAFL:高效可定制的模糊测试库 项目地址:https://gitcode.com/AFLplusplus/LibAFL LibAFL是一个由Rust编写的高级模糊测试库,它赋予开发者极大的灵活性,让你可以在保留现成模糊器优点的同时,自由构建和扩展自己的测试工具。这个项目由一群活跃在安全领域的专家共同维护,并且具有广泛的支持和社区参与。 项目介绍 LibAFL的核心理念是模块化和自定义。...
AFL安装使用教程
weixin_44237378的博客
03-30 1589
安装 AFL简介:一个面向安全的模糊程序,采用新型的编译时工具和遗传算法来自动发现干净、有趣的测试用例,从而触发目标二进制文件中的新内部状态。 准备 Ubuntu 20.04 Target Platform:x86_64 and arm64 必备软件包: make/build-essential sudo apt-get install build-essential make 下载AFL包 https://lcamtuf.coredump.cx/afl/releases/afl-latest.tgz A
AFL安装教程
「鸿渐之翼」的博客
04-16 2844
AFL最初是由美国Michal Zalewski lcamt​​uf@google.com开发。 Fuzzing 是识别现实世界软件中安全问题的最强大和经过验证的策略之一;它负责迄今为止在安全关键软件中发现的绝大多数远程代码执行和权限提升错误。 不幸的是,fuzzing 也比较浅。盲目的、随机的突变使得它不太可能到达测试代码中的某些代码路径,从而使一些漏洞完全超出了该技术的范围。...
AFL基础篇0x01——安装、配置与使用
Gifoyle的博客
07-13 2905
AFL作为最有名的开源灰盒模糊测试引擎,得到了学术界与工业界的广泛关注。本文将简要介绍AFL在unbuntu linux18.04下的安装与配置,并介绍AFL的基础使用,(暂不介绍内部原理)如有不足之处还请诸位斧正。 1.下载 推荐到AFL的官网进行下载,链接如下 https://lcamtuf.coredump.cx/afl/ 2.安装 将压缩包解压完成之后,进入到其目录下打开终端 make sudo make install 如果在该目录下,出现了afl-fuzz的可执行文件,说明安装成功。(暂未遇到
AFL的安装使用
秀玉轩晨的博客
11-02 2039
链接: link. 链接: link.
AFL-Snapshot-LKM:Linux内核模块,实现了用于模糊化的快速快照机制
04-13
请注意:由于syscall挂接和内核中永无止境的更改,由于我们正在忙于libafl,我们无法对其进行维护。 如果您想接管开发工作,只需提出一个问题,然后让我们开始讨论。 在此期间,我们仍然接受拉取请求。 !!!!!!!!!!...
AFL入门教学——安装使用
计算机硕士的博客
11-05 1470
AFL入门教学——安装使用。AFL简介;AFL在WSL的Ubuntu-22.04系统上的安装;AFL使用
AFL入门学习<AFL 下载和安装
cyynid的博客
05-08 1496
AFL入门学习<AFL 下载和安装> FUZZ:Fuzzing技术是一种基于黑盒(或灰盒)的测试技术,通过自动化生成并执行大量的随机测试用例来发现产品或协议的未知漏洞。随着计算机的发展,Fuzzing技术也在不断发展。 AFL:American fuzzy lop 号称是当前最高级的Fuzzing 测试工具之一,由谷歌的Michal Zalewski 所开发。通过对源码进行重新编译时进行插桩(简称编译时插桩)的方式自动产生测试用例来探索二进制程序内部新的执行路径。与其他基于插桩技术的fuzzer
Fuzz初尝试:AFL安装使用
Bigotry_1的博客
04-19 5123
AFL初次尝试 看了一些fuzz的文章但是一直没有做过小的demo,这次算是入门级别的尝鲜。 AFL的安装 安装环境:vm虚拟机、Ubuntu18 首先检测LLVM和CLANG是否安装: sudo apt-get install clang sudo apt-get install llvm 安装时出现的问题: E: 无法获得锁 /var/lib/dpkg/lock-frontend - open (11: 资源暂时不可用) E: 无法获取 dpkg 前端锁 (/var/lib/dpkg/lock-f
American Fuzzy Lop(AFL)的安装与简单使用
weixin_50972562的博客
03-09 1964
American Fuzzy Lop(AFL)的安装与简单使用
fuzzing工具之AFL的安装使用
Hello!
06-21 1532
fuzzing工具之AFL的安装使用 AFL介绍: AFL即American Fuzzy Lop是当今使用最广泛的fuzzer,这个工具在程序执行前对程序源码进行插桩(instrumentation),以便在程序执行过程中实时获取程序的执行情况。AFL用遗传算法对程序的输入进行变异,用边覆盖(edge converage)来测试fuzzing的性能。 在执行过程中,AFL向被测程序中输入input,然后获取程序的覆盖率,将覆盖率大的input保留下来进行变异,然后在下一轮测试中向被测程序中输出这些变异后的
Libalf Linux安装
寂月的自我督促
07-22 219
首先在linux系统下,通过官网下载所需的资源。官网地址:http://libalf.informatik.rwth-aachen.de/ 这里只需要libalf和examples进行演示。下载好之后解压。然后使用console打开解压目录,【你的解压目录】/libalf/src。 然后输入make 将进行自动编译,会生成一个libalf.so的文件,之后打开前一个libalf目...
AFL安装细节记录
qq_37898024的博客
08-04 3512
最近在使用AFL工具做模糊测试工作,今天将AFL安装过程详细的记录下来。我选择的服务器是阿里云服务器。 一、程序介绍 AFL是一种面向安全的模糊器,它采用新型的编译时检测和遗传算法来自动发现有趣的测试用例,这些用例会触发目标二进制文件中的新内部状态。这大大改善了模糊代码的功能覆盖范围。该工具生成的紧凑的合成语料库还可用于播种其他更耗费人力或资源的测试方案。[1] 二、安装过程 下载安装使用wget https://lcamtuf.coredump.cx/afl/releases/afl-latest.
【论文分享】LibAFL: A Framework to Build Modular and Reusable Fuzzers
^_^
08-30 1848
AFL是软件安全测试领域的一个重要里程碑,使得fuzzing成为了一个主要的研究领域,并带动了大量的研究去提高fuzzing流水线上的各个方面。许多研究是通过fork AFL的代码来进行实现的。虽然一开始看起来挺合适的,但是要把多种fork合并到一个fuzzer,需要大量的工程开销,阻碍了不同技术客观和公正的评估。严重碎片化的fuzzing的生态阻止了研究者组合多种技术来实现新的原型系统。为了解决这个问题,这篇文章提出了LibAFL,一个框架来构建模块化和可重用的fuzzer。...
2、如何快速配置AFL
weixin_43234021的博客
06-15 572
1、安装AFL git clone https://github.com/google/AFL.git make sudo make install 2、安装QEMU 安装依赖项 sudo apt install libtool sudo apt-get install libtool-bin sudo apt-get install libglib2-dev sudo apt-get install zlib1g sudo apt install automake sudo apt inst
黑盒模糊测试之AFL++
席八
09-08 1264
运行 1 个带有 LAF ( + ) 的 afl-fuzz -Q 实例,或者您可以使用 FRIDA 模式,只需切换并删除 LAF 实例AFL_PRELOAD=libcmpcov.soAFL_COMPCOV_LEVEL=2-Q-O。然后运行尽可能多的实例,只要你有-Q模式的内核,或者 - 甚至更好 - 使用二进制重写器,如Dyninst,RetroWrite,ZAFL等。如果二进制重写器适用于您的目标,那么您可以正常使用afl-fuzz,并且它的速度将是QEMU模式的两倍(但比QEMU持久模式慢)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

破落之实

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值