书接上篇【Clang+LLVM+honggfuzz学习】(一)LLVM简介、安装和第一个Hello Pass
本篇介绍honggfuzz的安装与简单使用
本文架构,PS:可选择观看哦
- 前言
- git安装
- 试用
- 编写测试文件`demo.c`
- 设置环境变量
- 开始fuzz
- Fuzz-ing
- 疑问
前言
漏洞检测做毕设,还有一年。半路换研究方向简直要命(微笑) 需要用到 LLVM honggfuzz,算是小白从0开始了…,做个笔记。
- LLVM :牛人Chris 开发的编译器框架,三段式分层架构【Github】 LLVM
- Clang:苹果公司开发的LLVM前端 (LLVM的子模块,源码在LLVM的clang文件夹ia)
- honggfuzz(本文):Google公司开发的模糊测试(fuzzing)工具 。与AFL、libfuzzer齐名,大家称其为AFL+libfuzzer增强版 【Github】 honggfuzz
没错!前言是复制粘贴的,我有强迫症,迫切希望开头一致!
前人的工作必须得到尊敬!放到前面,也希望能帮助大家解惑。
1.【CSDN Bolg】fuzzing工具之honggfuzz的安装与使用
2.【CSDN Bolg】使用反馈驱动 Fuzzer 工具 Honggfuzz 进行漏洞挖掘
3.【CSDN Bolg】模糊测试入门案例,利用AFL和Honggfuzz模糊测试Tiff
4.【REEBUF Blog】AFL漏洞挖掘技术漫谈(一):用AFL开始你的第一次Fuzzing
5.【博客园】fuzz实战之honggfuzz
git安装
git就是好用!一样都有源码~
git clone https://github.com/google/honggfuzz.git
make
make install
输入honggfuzz -v,如果出现下面这样的就说明安装成功了
试用
编写测试文件demo.c
- 首先,创建 一个专门的文件夹存放我们的测试文件
mkdir fuzz
cd fuzz
mkdir in
mkdir result
-
然后,在
in文件夹里面创建一个txt文件,写上helloworld(或者其他的也行) -
最后,在fuzz文件夹内,写一个demo,我的demo来源:
使用反馈驱动 Fuzzer 工具 Honggfuzz 进行漏洞挖掘–实战分析
感谢大佬!那我直接贴在下面了
touch demo.c
vim demo.c
#include <stdio.h>
#include <unistd.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <sys/fcntl.h>
int main(int argc, char const *argv[])
{
if(argc != 2)
{
printf("null args!\n");
return -1;
}
/* Get file state */
struct stat fstat;
if(stat(argv[1], &fstat))
{
printf("Failed ^_^\n");
return -1;
}
/* Open file */
FILE * fd = NULL;
fd = open(argv[1], O_RDONLY);
if(fd == -1)
{
printf("open file failed!\n");
return -1;
}
/* Select */
char buf[15];
if(read(fd, buf, 2) == -1)
{
printf("read failed!");
return -1;
}
if(buf[0] == 'a' && buf[1] == 'b')
{
if(read(fd, buf, 4) != -1)
{
if(buf[2] == 's')
{
read(fd, buf, fstat.st_size - 6);
printf("%s\n", buf);
}
}
}
return 0;
}
设置环境变量
额…并不知道用啥来编c,所以我们要设置环境变量来告诉系统编译工具在哪。我使用honggfuzz自带的clang来编译demo.c
export CC=/home/username/Desktop/honggfuzz/hfuzz_cc/hfuzz-clang
export CXX=/home/username/Desktop/honggfuzz/hfuzz_cc/hfuzz-clang++
当然,你也可以设置其他的
开始fuzz
设置环境变量后在fuzz文件夹下打开终端(或者自己逐步cd到那里),输入
hongfuzz -e txt -u -z -Q -i ./in -W ./result -- ./demo ___FILE___
参数介绍(同样来自大佬文章 使用反馈驱动 Fuzzer 工具 Honggfuzz 进行漏洞挖掘
e指定测试用例的扩展名u保存所有测试用例z源码插桩Q打印被测试程序的输出i语料库,即种子,也就是最原始的测试用例W工作目录--分隔 honggfuzz 与被测程序___FILE___被测程序的参数,用占位符代替文件名,类似于 AFL 中的 @@
这里我要加点东西:
___FILE___ 是左右各三个下划线_而且跟待测程序之间需要有一个空格
否则会报错:
Fuzz-ing
输入命令之后,则会以in目录下的语料库作为输入,逐个测试我们的demo。产生的异常会存放在result目录下。可以看到这里经过近16分钟的测试,已经产生了441个crashes。但感觉还有有点慢,得想办法改进改进
先CTRL+C终止下fuzzing,查看目前得到得结果。进入存放crashes得目录result,可以看到:
其中存放了HONGGFUZZ.REPORT.TXT报告文件,以及造成程序崩溃得测试用例详情
疑问
Q : 但是怎么知道具体什么用例导致得程序崩溃呢?比较疑惑。。。。。
因为输出目录下都不是可读的文件,难道这里面放的就是测试用例?
官方文档【Github】官方文档 这样写得:
- OUTPUT FILES
| Mode | Output file |
|---|---|
| Linux,NetBSD | SIGSEGV.PC.4ba1ae.STACK.13599d485.CODE.1.ADDR.0x10.INSTR.mov____0x10(%rbx),%rax.fuzz |
- Description
- SIGSEGV,SIGILL,SIGBUS,SIGABRT,SIGFPE - Description of the signal which terminated the process (when using ptrace() API, it’s a signal which was delivered to the process, even if silently discarded)
- PC.0x8056ad7 - Program Counter (PC) value (ptrace() API only), for x86 it’s a value of the EIP register (RIP for x86-64)
- STACK.13599d485 - Stack signature (based on stack-tracing)
- ADDR.0x30333037 - Value of the
_siginfo_t.si_addr_(see man 2 signaction for more details) (most likely meaningless for SIGABRT) - INSTR.mov____0x10(%rbx),%rax - Disassembled instruction which was found under the last known PC (Program Counter) (x86, x86-64 architectures only, meaningless for SIGABRT)
Q: 所以应该是以文件名得形式返回异常信息?又或者直接在HONGGFUZZ.REPORT.TXT中看到得异常信息就是全部?上述文章都没有解释得很好的,留个位置,等我知道了再来更新(反正早晚会知道…)
暂未完工~~ 后续有啥要更新的再写吧
最后再次感谢这些博客,带我逐步入门,解决了我学习上的小困惑。另外,本人也还在学习阶段,文中若有错误希望大家不吝指出,共同进步!
最后,再贴上参考得文献:
1.【CSDN Bolg】fuzzing工具之honggfuzz的安装与使用
2.【CSDN Bolg】使用反馈驱动 Fuzzer 工具 Honggfuzz 进行漏洞挖掘
3.【CSDN Bolg】模糊测试入门案例,利用AFL和Honggfuzz模糊测试Tiff
4.【REEBUF Blog】AFL漏洞挖掘技术漫谈(一):用AFL开始你的第一次Fuzzing
5.【博客园】fuzz实战之honggfuzz
