honggfuzz漏洞挖掘技术深究系列(3)——Fuzz策略
honggfuzz在对输入文件进行变异前,会先创建个临时文件名(honggfuzz+pid+time),然后将输入数据变异后写入临时文件。
fuzz策略的实现主要集中在mangle.c中,在循环的fuzzloop函数中,会根据用户的选择的fuzz方式来调用动态fuzz或者静态fuzz的方法,但最后都是调用mangle_mangleContent来变异文件数据:
跟进mangle_mangleContent函数:
重点就在于后半部分,它会随机选择变异函数进行处理,更改的字节数也是随机的,根据用户指定的mutation变异率来定,即允许变异文件大小的百分比,变异函数列表如下:
这些函数都是在mangle_init中初始化,各函数之间也会相互调用:
把这些函数过一遍就是honggfuzz中所有的文件变异规则了,如果想实现自己的fuzzer,这些规则来扣出来用Python实现一遍,顺便把afl的规则也扣过来就更完美了,下面是我之前写office fuzzer时的半成品代码,最后偷懒直接用radamas去实现变异了:
再回到刚才的变异函数列表,我们一个个走读源码。
1、mangle_Resize函数:
用空格填充随机位置
2、mangle_Byte函数:
向随机位置写随机的uint8类型的数据
3、mangle_Bit函数:
取随机位置的数值做位翻转
4、mangle_Bytes函数:
在随机位置覆盖写2~4字节数据
5、mangle_Magic函数:
取各种边界值进行覆写,这些边界值部分跟AFL还不一样,我在自己的fuzzer里面把它们作了整合。由于边幅所限,我省略了不少边界值:
6、mangle_IncByte函数:
取随机位置的数据加1
7、mangle_DecByte函数:
取随机位置的数据减1
8、mangle_NegByte函数:
取随机位置的数据取反
9、mangle_AddSub函数:
取随机位置的1、2、4或8字节的数据长度作加减操作,操作数取 rand(0~8192)-4096
10、mangle_Dictionary函数:
变异目录名,也是随机取文件夹名称进行变异,如果有多个目录,那被变异的目录数也是随机的
11、mangle_DictionaryInsert函数:
在目录的随机位置中插入随机数据
12、mangle_MemMove函数:
取随机位置的数据拷贝随机长度的数据,里面就是调用memmove函数实现的
13、mangle_MemSet函数:
取随机位置、随机大小,用UINT8_MAX数值填充
14、mangle_Random函数:
取随机位置、随机大小的缓冲区,用随机数填充
15、mangle_CloneByte函数:
取两处随机位置的作数据交换
16、mangle_Expand函数:
文件末尾扩展随机长度的空间,用空格填充,然后在随机位置,取前面的随机长度作数据拷贝
17、mangle_Shrink函数:
删除随机长度的文件内容
18、mangle_InsertRnd函数:
在文件的随机位置插入随机长度的数据
19、mangle_ASCIIVal函数:
在随机位置覆盖32字节的随机数
总结
在Fuzzing过程中,很多变异规则是共用的,可以参考一些主源的开源软件,比如afl\peach\honggfuzz\libfuzzer,提取规则作整合,然后写个自己的fuzzing框架,在后面作针对的fuzzer时,可以直接套用。
从上面的fuzz策略可以总结出常规的变异规则:
- 随机数据替换
- 数据值增减
- 已知边界值替换
- 插入随机数据
- 删减文件内容
- 目录变异
- 数据拷贝覆盖
- ……