什么是libfuzzer
libFuzzer 是一个in-process,coverage-guided,evolutionary 的 fuzz 引擎,是 LLVM 项目的一部分。
libFuzzer 和 要被测试的库 链接在一起,通过一个入口点将测试用例喂进待测库中,然后会根据代码覆盖率对输入语料进行变异
传统的fuzz是通过不断生成随机的测试用例,喂给函数或程序执行,然后检测是否出现crash,是一种纯随机的过程,而libcfuzzer是coverage-guided(覆盖率引导)的,即通过llvm插桩,检测代码执行路径,从而统计代码覆盖率,比较朴素的说法是,若覆盖率提高说明当前变异出来的测试样例是好的,可以留着以后继续变异。
libfuzzer安装
首先安装一下libcfuzzer
git clone https://github.com/Dor1s/libfuzzer-workshop.git
sudo ln -s /usr/include/asm-generic /usr/include/asm
apt-get install gcc-multilib
cd libfuzzer-workshop
./checkout_build_install_llvm.sh
cd libFuzzer/Fuzzer/
./build.sh
如果编译成功,会生成 libfuzzer-workshop/libFuzzer/Fuzzer/libFuzzer.a
libfuzzer helloworld
libcfuzzer要求实现一个入口,官网给出的例子是:
// fuzz_target.cc
extern "C" int LLVMFuzzerTestOneInput(const uint8_t *Data, size_t Size) {
DoSomethingInterestingWithMyAPI(Data, Size);
return 0; // Non-zero return values are reserved for future use.
}
其中Data是一个字节流指针,代表我们的输入数据,Size则是数据长度
然后我们在里面进行函数调用,去测试我们想测试的库,这里比较好的写法其实是进行其他库函数的调用,但是这里图个方便,就直接在LLVMFuzzerTestOneInput里实现了。
#include <stdint.h>
#include <stddef.h>
extern "C" int LLVMFuzzerTestOneInput(const uint8_t *data, size_t size) {
int result =0;
if(data[0]=='A' && size==1)
{
result+=data[1]=='y';
result+=data[2]=='a';
result+=data[3]=='k';
result+=data[4]=='a';
}
return 0;
}
现在写好了一份fuzz_target,可以看到它是有漏洞的,我的size为1,但是却放问了data[0]到data[4]的数据,出现了越界访问
clang++ -g -std=c++11 -fsanitize=fuzzer,address first_fuzzer.cc ../libFuzzer.a -o first_fuzzer
然后编译文件,新版本的libfuzzer已经不需要指定插桩工具了,默认开启
然后运行一下这个first_fuzzer
可以看到asan告诉我们出现了堆溢出,并且目录下出现了一个crash文件:
结果也是预想中的单字符A
下一篇应该会介绍一些简单的libfuzzer使用场景
1488
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
