libfuzzer从入门到放弃(一)

什么是libfuzzer

libFuzzer 是一个in-process,coverage-guided,evolutionary 的 fuzz 引擎,是 LLVM 项目的一部分。
libFuzzer 和 要被测试的库 链接在一起,通过一个入口点将测试用例喂进待测库中,然后会根据代码覆盖率对输入语料进行变异

传统的fuzz是通过不断生成随机的测试用例,喂给函数或程序执行,然后检测是否出现crash,是一种纯随机的过程,而libcfuzzer是coverage-guided(覆盖率引导)的,即通过llvm插桩,检测代码执行路径,从而统计代码覆盖率,比较朴素的说法是,若覆盖率提高说明当前变异出来的测试样例是好的,可以留着以后继续变异。

libfuzzer安装

首先安装一下libcfuzzer

git clone https://github.com/Dor1s/libfuzzer-workshop.git
sudo ln -s /usr/include/asm-generic /usr/include/asm
apt-get install gcc-multilib
cd libfuzzer-workshop
./checkout_build_install_llvm.sh
cd libFuzzer/Fuzzer/
./build.sh

如果编译成功,会生成 libfuzzer-workshop/libFuzzer/Fuzzer/libFuzzer.a

libfuzzer helloworld

libcfuzzer要求实现一个入口,官网给出的例子是:

// fuzz_target.cc
extern "C" int LLVMFuzzerTestOneInput(const uint8_t *Data, size_t Size) {
  DoSomethingInterestingWithMyAPI(Data, Size);
  return 0;  // Non-zero return values are reserved for future use.
}

其中Data是一个字节流指针,代表我们的输入数据,Size则是数据长度
然后我们在里面进行函数调用,去测试我们想测试的库,这里比较好的写法其实是进行其他库函数的调用,但是这里图个方便,就直接在LLVMFuzzerTestOneInput里实现了。

#include 
#include 


extern "C" int LLVMFuzzerTestOneInput(const uint8_t *data, size_t size) {
  int result =0;
  if(data[0]=='A' && size==1)
  {
      result+=data[1]=='y';
      result+=data[2]=='a';
      result+=data[3]=='k';
      result+=data[4]=='a';
  }
  return 0;
}

现在写好了一份fuzz_target,可以看到它是有漏洞的,我的size为1,但是却放问了data[0]到data[4]的数据,出现了越界访问

clang++ -g -std=c++11 -fsanitize=fuzzer,address  first_fuzzer.cc ../libFuzzer.a -o first_fuzzer

然后编译文件,新版本的libfuzzer已经不需要指定插桩工具了,默认开启

然后运行一下这个first_fuzzer

libfuzzer从入门到放弃(一)_第1张图片

可以看到asan告诉我们出现了堆溢出,并且目录下出现了一个crash文件:
libfuzzer从入门到放弃(一)_第2张图片
在这里插入图片描述

结果也是预想中的单字符A

下一篇应该会介绍一些简单的libfuzzer使用场景

你可能感兴趣的:(Fuzz,安全,linux,pwn)