3、honggfuzz环境配置和实战

1、介绍

本文介绍 libfuzzer 和 afl 联合增强版 honggfuzz，同时利用 honggfuzz 来 fuzz 网络应用程序。
honggfuzz也是google开发的一款fuzz，其设计思路和 libfuzzer 与 afl 类似，感觉就是 libfuzzer 和 afl 的增强版。

2、编译安装

git clone https://github.com/google/honggfuzz.git
cd honggfuzz
make

(1) honggfuzz 的使用文档在

https://github.com/google/honggfuzz/tree/master/docs

(2) 对几条命令做个解释

honggfuzz -f input_dir -z -s -- /usr/bin/djpeg

-f : 指定初始样本集目录
-z : 使用编译时的指令插桩信息来 为 样本变异做回馈， 默认选项
-s : 表示目标程序从 stdin 获取输入，即样本数据通过 stdin 喂给程序

honggfuzz -f input_dir -- /usr/bin/djpeg ___FILE___

___FILE___ : 类似于 afl 的 @@ , 表示程序通过文件获取输入，fuzz 过程会被替换为相应的样本文件名

honggfuzz -f input_dir -P -- /usr/bin/djpeg_persistent_mode

-P : 表示使用 persistent 模式

3、简单示例

（1）libfuzzer模式

用 libfuzzer-workshop 里面的 libxml2 来进行 fuzz 测试，

https://github.com/Dor1s/libfuzzer-workshop/tree/master/lessons/08

下载那个 libxml2.tgz 然后解压，用 hfuzz-clang 编译

tar xvf libxml2.tgz 
cd  libxml2/
CC=/home/fuzzers/honggfuzz/hfuzz_cc/hfuzz-clang CXX=/home/fuzzers/honggfuzz/hfuzz_cc/hfuzz-clang++ 
export CC=/home/fuzzers/honggfuzz/hfuzz_cc/hfuzz-clang
export CXX=/home/fuzzers/honggfuzz/hfuzz_cc/hfuzz-clang++ 
./autogen.sh 
CC=/home/fuzzers/honggfuzz/hfuzz_cc/hfuzz-clang CXX=/home/fuzzers/honggfuzz/hfuzz_cc/hfuzz-clang++  ./configure 
make -j100

/home/fuzzers/honggfuzz/ 是 honggfuzz 所在的目录，然后会生成 libxml2/.libs/libxml2.a 。

看看 fuzzer 代码

#ifdef __cplusplus
extern "C" {
#endif

#include <inttypes.h>
#include "libxml/parser.h"
#include <stdlib.h>

#include <libhfuzz/libhfuzz.h>

FILE* null_file = NULL;

int LLVMFuzzerInitialize(int* argc, char*** argv)
{
    null_file = fopen("/dev/null", "w");
    return 0;
}
int LLVMFuzzerTestOneInput(const uint8_t* buf, size_t len)
{
    xmlDocPtr p = xmlReadMemory((const char*)buf, len, "http://www.google.com", "UTF-8", XML_PARSE_RECOVER | XML_PARSE_NONET);
    if (!p) {
        return 0;
    }
    xmlDocFormatDump(null_file, p, 1);
    xmlFreeDoc(p);
    return 0;
}

#ifdef __cplusplus
}
#endif

和 libfuzzer 的代码基本一致，用 hfuzz-clang 编译（类似于 libfuzzer , 需要和 libhfuzz.a 链接）。

/home/fuzzers/honggfuzz/hfuzz_cc/hfuzz-clang persistent-xml2.c -Ilibxml2/include  libxml2/.libs/libxml2.a  /usr/lib/x86_64-linux-gnu/liblzma.a /home/fuzzers/honggfuzz/libhfuzz/libhfuzz.a -lz -o persistent-xml2

然后运行 fuzz

/home/fuzzers/honggfuzz/honggfuzz -W out -f ~/vmdk_kernel/libfuzzer-workshop-master/lessons/08/corpus2/ -- ./persistent-xml2

-W : 指定输出目录
-f : 指定 初始样本集目录

（2）Persistent 模式

honggfuzz 还支持 persistent 模式 ， 而且他这种模式实现的比 afl 要 更加容易使用。直接上 demo

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <signal.h>
#include <string.h>
#include <inttypes.h>
extern HF_ITER(uint8_t** buf, size_t* len);
void test(char* buf){
    if (buf[0] == 'f') {
      printf("one\n");
      if (buf[1] == 'o') {
        printf("two\n");
        if (buf[2] == 'o') {
          printf("three\n");
          if (buf[3] == '!') {
            printf("four\n");
            abort();
          }
        }
      }
    }
}
int main(void) {
  for (;;) {
    size_t len;
    uint8_t *buf;

    HF_ITER(&buf, &len);
    test(buf);

  }
  return 0;
}

代码和普通的应用差不多， 需要注意的就是 HF_ITER ，程序可以通过这个宏 来获取 honggfuzz 生成的样本数据，这就非常方便了，我们可以把它插入对数据处理的逻辑， 然后循环这段逻辑，就可以不断的进行 fuzz 而不用重新起进程。

对应到上面的代码就是， 一个死循环，循环里面使用 HF_ITER 获取数据，然后把数据喂给我们要测试的逻辑 （这里是 test 函数）， 在 test 函数内部 如果满足条件，会触发 abort 模拟一个crash， 让 honggfuzz 捕获到。

编译

/home/fuzzers/honggfuzz/hfuzz_cc/hfuzz-clang test.c /home/fuzzers/honggfuzz/libhfuzz/libhfuzz.a -o test

然后运行

mkdir in
echo 111 > in/1
/home/fuzzers/honggfuzz/honggfuzz -P -f in/ -W out -- ./test

-P ： 用于开启 persistent 模式
马上就能看的 crash 了。

然后会在 out 目录生成触发 crash 的文件

persistent $ xxd out/SIGABRT.PC.7ffff6efa428.STACK.17326c6e5e.CODE.-6.ADDR.\(nil\).INSTR.cmp____\$0xfffffffffffff000\,%rax.fuzz 
00000000: 666f 6f21                                foo!

内容满足触发 abort 的条件

（3）Honggfuzz NetDriver

honggfuzz 自带的一个库 用于 fuzz socket 类程序。

https://github.com/google/honggfuzz/tree/master/libhfnetdriver

文章出自博客 https://www.cnblogs.com/hac425/p/9416915.html 的前半部分，请移步原博客查看完整详情。