1、AFL简介
- AFL(American Fuzzy Lop)是一个面向安全的模糊测试工具,它使用了一个新的编译时插桩技术和遗传算法,可以自动发现触发目标二进程程序的测试用例,从而大大提高测试代码的功能覆盖率。
- AFL官网:american fuzzy lop (coredump.cx)american fuzzy lop (coredump.cx)american fuzzy lop (coredump.cx)
- Github仓库:google/AFL: american fuzzy lop - a security-oriented fuzzer (github.com)
- AFL的工作原理可以概括为以下几个步骤:
- 编译阶段:AFL在源码编译时进行插桩,用于在运行时追踪程序执行路径。这使得AFL可以监控目标程序的代码覆盖率。
- 初始化阶段:使用一些输入用例作为初始化测试集,这些初始用例可以让AFL了解程序的一些基本代码路径。
- 变异阶段:AFL使用遗传算法对测试用例进行变异,生成大量不同的测试用例,以探索新的程序执行路径。
- 执行阶段:AFL使用生成的测试用例执行目标程序,并通过插桩代码监控新的代码覆盖情况。
- 更新阶段:根据测试用例执行结果,AFL保存提供更好代码覆盖的测试用例,同时丢弃没有用的测试用例。
- 重复阶段:上述过程会一直循环进行,期间触发了crash的文件会被记录下来。
- 测试用例变异方式:
- bitflip:按位翻转,1变为0,0变为1。
- arithmetic:整数加/减算术运算。
- interest:把一些特殊内容替换到原文件中。
- dictionary:把自动生成或用户提供的块替换/插入到原文件中。
- havoc:前面几种变异的组合。
- splice:将两个文件拼接起来得到一个新的文件。
2、AFL安装
- 【前提】这里使用的是WSL的Ubuntu-22.04系统。
- 从官网中下载源代码。
- 将下载好的解压包移到Ubuntu的根目录下。
- 打开Ubuntu终端,输入解压命令。
-
tar xvf afl-latest.tgz
-
- 解压成功后,可以在根目录看到解压后的文件夹。
- 进入该文件夹,并编译AFL。
-
cd afl-2.52b sudo make install
- 【注】运行后报错,sudo: make: command not found。
- 解决办法:
- 执行下面命令。
-
sudo apt-get update sudo apt-get install make
- 解决办法:
-
- 再次编译AFL。
- 【注】运行后报错,make: *** [Makefile:53: test_x86] Error 1。
- 解决办法:
-
sudo apt-get install gcc
-
-
- 解决办法:
- 【注】运行后报错,make: *** [Makefile:53: test_x86] Error 1。
- 再次编译AFL,编译成功。
- 可以在“/usr/local/bin”路径下找到AFL。
-
ls /usr/local/bin
-
3、AFL使用
3.1、准备被测程序
- 首先准备一个被测程序,这里使用一个简单的c程序test.c进行测试。
-
/* 功能:两数加减乘除(一个整数、一个字符、再一个整数),然后根据中间这个字符当作运算符,输出四则运算结果。 */ #include <stdio.h>int main(int argc, char *argv[]) {int a, b;char op;int result;if(scanf("%d%c%d", &a, &op, &b)){switch (op) {case '+':result = a + b;break;case '-':result = a - b;break;case '*':result = a * b;break;case '/':result = a / b;break;default:return 1;}}printf("%d\n", result);return 0; }
-
3.2、插桩编译
- 进入程序所在的文件夹,执行下列命令。
-
afl-gcc -o test test.c
-
3.3、准备种子池
- 作为模糊测试,AFL需要提供初始的种子输入。但实际上,提供任何无意义的输入作为种子,模糊测试也一般能达到效果,只不过效率会低一些而已。
- 这里我们生成一好一坏两个种子池。
-
mkdir good_seeds bad_seeds echo '1+2' > good_seeds/any_seed echo 'bad seed' > bad_seeds/any_seed
-
3.4、开始测试
- 首先使用好的种子池进行测试。
-
afl-fuzz -i good_seeds/ -o good_outputs -- ./test
- 输出一段信息后呈现如下界面,表示fuzz已经开始了,可以在该界面中查看运行时间、崩溃数量等信息。
- 上图中显示已经找到了一个crash了,ctrl+c结束fuzz,可以看到当前目录下已经多出了一个good_outputs目录,这是本次模糊测试的结果。
- 引起崩溃的测试用例位于good_outputs/crashes文件夹下。
- 打开可以看到引起崩溃的用例。
-
- 再使用另一个坏的种子池进行测试。
-
afl-fuzz -i bad_seeds/ -o bad_outputs -- ./test
- 同样可以找到引起崩溃的用例,只不过时间会更久一些。
-