1、AFL简介

• AFL（American Fuzzy Lop）是一个面向安全的模糊测试工具，它使用了一个新的编译时插桩技术和遗传算法，可以自动发现触发目标二进程程序的测试用例，从而大大提高测试代码的功能覆盖率。 
  • AFL官网：american fuzzy lop (coredump.cx)american fuzzy lop (coredump.cx)american fuzzy lop (coredump.cx)
• Github仓库：google/AFL: american fuzzy lop - a security-oriented fuzzer (github.com)
• AFL的工作原理可以概括为以下几个步骤：
  • 编译阶段：AFL在源码编译时进行插桩，用于在运行时追踪程序执行路径。这使得AFL可以监控目标程序的代码覆盖率。
  • 初始化阶段：使用一些输入用例作为初始化测试集，这些初始用例可以让AFL了解程序的一些基本代码路径。
  • 变异阶段：AFL使用遗传算法对测试用例进行变异，生成大量不同的测试用例，以探索新的程序执行路径。
  • 执行阶段：AFL使用生成的测试用例执行目标程序，并通过插桩代码监控新的代码覆盖情况。
  • 更新阶段：根据测试用例执行结果，AFL保存提供更好代码覆盖的测试用例，同时丢弃没有用的测试用例。
  • 重复阶段：上述过程会一直循环进行，期间触发了crash的文件会被记录下来。
• 测试用例变异方式：
  • bitflip：按位翻转，1变为0，0变为1。
  • arithmetic：整数加/减算术运算。
  • interest：把一些特殊内容替换到原文件中。
  • dictionary：把自动生成或用户提供的块替换/插入到原文件中。
  • havoc：前面几种变异的组合。
  • splice：将两个文件拼接起来得到一个新的文件。

2、AFL安装

• 【前提】这里使用的是WSL的Ubuntu-22.04系统。
• 从官网中下载源代码。
• 
• 将下载好的解压包移到Ubuntu的根目录下。
  • 
• 打开Ubuntu终端，输入解压命令。

  •  tar xvf afl-latest.tgz

  • 
• 解压成功后，可以在根目录看到解压后的文件夹。
  • 
• 进入该文件夹，并编译AFL。

  • cd afl-2.52b
    sudo make install
    

  • 【注】运行后报错，sudo: make: command not found。
    • 
    • 解决办法：
      • 执行下面命令。

      • sudo apt-get update
        sudo apt-get install make

      • 

      • 
• 再次编译AFL。
  • 【注】运行后报错，make: *** [Makefile:53: test_x86] Error 1。
    • 
    • 解决办法：

      • sudo apt-get install gcc

      • ​​​​​​​
• 再次编译AFL，编译成功。
  • 
• 可以在“/usr/local/bin”路径下找到AFL。

  • ls /usr/local/bin

  • 

3、AFL使用

3.1、准备被测程序

• 首先准备一个被测程序，这里使用一个简单的c程序test.c进行测试。

  • /* 功能：两数加减乘除（一个整数、一个字符、再一个整数），然后根据中间这个字符当作运算符，输出四则运算结果。 */
    #include <stdio.h>int main(int argc, char *argv[])
    {int a, b;char op;int result;if(scanf("%d%c%d", &a, &op, &b)){switch (op) {case '+':result = a + b;break;case '-':result = a - b;break;case '*':result = a * b;break;case '/':result = a / b;break;default:return 1;}}printf("%d\n", result);return 0;
    }

3.2、插桩编译

• 进入程序所在的文件夹，执行下列命令。

  • afl-gcc -o test test.c

  • 
  • 

3.3、准备种子池

• 作为模糊测试，AFL需要提供初始的种子输入。但实际上，提供任何无意义的输入作为种子，模糊测试也一般能达到效果，只不过效率会低一些而已。
• 这里我们生成一好一坏两个种子池。

  • mkdir good_seeds bad_seeds
    echo '1+2' > good_seeds/any_seed
    echo 'bad seed' > bad_seeds/any_seed

  • 
  • 

3.4、开始测试

• 首先使用好的种子池进行测试。

  • afl-fuzz -i good_seeds/ -o good_outputs -- ./test

  • 
  • 输出一段信息后呈现如下界面，表示fuzz已经开始了，可以在该界面中查看运行时间、崩溃数量等信息。
  • 
  • 上图中显示已经找到了一个crash了，ctrl+c结束fuzz，可以看到当前目录下已经多出了一个good_outputs目录，这是本次模糊测试的结果。
  • 
  • 引起崩溃的测试用例位于good_outputs/crashes文件夹下。
  • 
  • 打开可以看到引起崩溃的用例。
• 再使用另一个坏的种子池进行测试。

  • afl-fuzz -i bad_seeds/ -o bad_outputs -- ./test

  • 
  • 同样可以找到引起崩溃的用例，只不过时间会更久一些。