对于一些复合文件格式,如果只是单纯的暴力Fuzzing,会导致生成很多无法被解析的文件,因此需要对文件变异作一些定制化的工作,比如docx、doc等office复合文件,docx是个压缩包,doc是个OLE格式,如果fuzz docx自然需要将其zip解压,再针对感兴趣的文件作变异,对于doc最好是作文件格式解析,只对感兴趣的stream作文件变异,这样的fuzzing的有效性才会更高。
庆幸地是,honggfuzz提供-c参数用于扩展变异规则以代替原有变异方式,同时提供有--pprocess_cmd在原有的文件变异后再作处理:
1 2 3 4 --mutate_cmd|-c VALUE External command producing fuzz files (instead of internal mutators) --pprocess_cmd VALUE External command postprocessing files produced by internal mutators
-c功能比较有用,也是我用得比较多的,另一个--pprocess_cmd基本我没用过。
当你通过-f提供输入样本目录后,在fuzzing时,随机提取的文件会直接传递给-c参数指定的扩展命令作变异。
比如想针对某文件特定offset范围内的内容进行变异,下面是针对macOS/iOS字体文件中的虚拟指令作Fuzzing时写的脚本:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 import mmapimport osfrom random import randintimport sysRANGE_START = 0x16D8 RANGE_END = 0x304D MIN_BYTES_TO_FLIP = 1 MAX_BYTES_TO_FLIP = 5 if ".DS_Store" in sys.argv[1 ]: exit(1 ) with open(sys.argv[1 ], "r+b" ) as f: mapped = mmap.mmap(f.fileno(), 0 ) bytes_to_flip = randint(MIN_BYTES_TO_FLIP, MAX_BYTES_TO_FLIP) bytes_flipped = 0 while bytes_flipped < bytes_to_flip: byte_pos = randint(RANGE_START, RANGE_END) byte_new = chr(randint(0 , 255 )) mapped[byte_pos] = byte_new bytes_flipped += 1 mapped.close()
变异效果:
最后挖到一个TTF字体虚拟指令漏洞:
1 2 3 4 5 6 7 orig file: 2F90h: 00 3F C5 CD 2B 10 C1 10 DE 3F C5 【CD】 2B 10 C5 10 poc file: 2F90h: 00 3F C5 CD 2B 10 C1 10 DE 3F C5 【DD】 2B 10 C5 10 glyf table -> SimpleGlyf[] -> Instructions('0xCD' => ‘0xDD') -> MDRP指令
同样的,你也可以写个doc、docx等office文件格式解析并变异的扩展fuzzer,比如利用olefile库(但只支持修改同等大小不变的doc,要插入或删除需要自行实现),或者通过COM接口来实现操作。
比如之前有段时间doc中的公式编辑器存在很多漏洞,你就可以专门针对Equation Native流作fuzzing。
最后放两张图(riufuzz是自己对honggfuzz二次开发的版本,后面有机会再讲):
