CVE-2019-13288
目前漏洞在正式版本已經被修復,本文章僅供學習Fuzz過程,不存在漏洞利用的內容
這是一個pdf檢視器的漏洞,可能通過精心製作的檔案導致無限遞迴,由於程式中每個被呼叫的函式都會在棧上分配一個棧幀,如果一個函式被遞迴呼叫太多次,就會導致棧記憶體耗盡和程式崩潰。因此,遠端攻擊者可以利用它進行 DoS 攻擊。
練習目的
- 使用檢測編譯目標應用程式
- 執行Fuzzer (afl-fuzz)
- 使用偵錯程式 (GDB) 對崩潰進行分類
環境構建
環境使用Ubuntu 20.04.2 LTS,儘量在物理機進行Fuzz而不是虛擬機器來獲取更多的效能(當然這只是效能方面,對Fuzz最終結果不會產生影響)
VMWare 映象下載地址:
此 VM 的使用者名稱/密碼是fuzz/ fuzz
下載並構建
首先為Fuzz目標建立一個新目錄:
cd $HOME
mkdir fuzzing_xpdf && cd fuzzing_xpdf/
可能需要安裝一些額外的工具(即 make 和 gcc)
sudo apt install build-essential
下載 Xpdf 3.02:
wget https://dl.xpdfreader.com/old/xpdf-3.02.tar.gz
tar -xvzf xpdf-3.02.tar.gz
構建 Xpdf:
cd xpdf-3.02
sudo apt update && sudo apt install -y build-essential gcc
./configure --prefix="$HOME/fuzzing_xpdf/install/"
make
make install
現在可以開始測試Xpdf。首先,需要下載一些 PDF 示例:
cd $HOME/fuzzing_xpdf
mkdir pdf_examples && cd pdf_examples
wget https://github.com/mozilla/pdf.js-sample-files/raw/master/helloworld.pdf
wget http://www.africau.edu/images/default/sample.pdf
wget https://www.melbpc.org.au/wp-content/uploads/2017/10/small-example-pdf-file.pdf
可以使用以下命令測試 pdfinfo 二進位制檔案:
$HOME/fuzzing_xpdf/install/bin/pdfinfo -box -meta $HOME/fuzzing_xpdf/pdf_examples/helloworld.pdf
結果如下:
安裝AFLplusplus
對於本實驗,使用最新版本的AFL++,GitHub連結如下:
-
推薦本地安裝
安裝依賴:
sudo apt-get update sudo apt-get install -y build-essential python3-dev automake git flex bison libglib2.0-dev libpixman-1-dev python3-setuptools sudo apt-get install -y lld-11 llvm-11 llvm-11-dev clang-11 || sudo apt-get install -y lld llvm llvm-dev clang sudo apt-get install -y gcc-$(gcc --version|head -n1|sed 's/.* //'|sed 's/\..*//')-plugin-dev libstdc++-$(gcc --version|head -n1|sed 's/.* //'|sed 's/\..*//')-dev
構建 AFL++(國內網路原因安裝時間較長,耐心等待):
cd $HOME git clone https://github.com/AFLplusplus/AFLplusplus && cd AFLplusplus export LLVM_CONFIG="llvm-config-11" make distrib sudo make install
可能會出現qemu_mode、frida和unicorn安裝失敗的情況,多數原因是因為網路,這幾個功能是用於二進位制檔案黑盒Fuzz,可以暫時先不用管,從原始碼構建Fuzz不需要這幾個功能
-
也可以使用docker構建,效能比較低:
安裝docker:
sudo apt install docker
拉取映象:
docker pull aflplusplus/aflplusplus
啟動 AFLPlusPlus docker 容器:
docker run -ti -v $HOME:/home aflplusplus/aflplusplus
然後輸入
export $HOME="/home"
安裝成功後,應該可以使用afl-fuzz
了,輸入afl-fuzz
命令可以看到如下內容:
使用AFL++開始Fuzz
當原始碼可用時,AFL 可以使用檢測,在每個基本塊(函式、迴圈等)的開頭插入函式呼叫。為了為目標應用程式啟用檢測,所以需要使用 AFL 的編譯器編譯程式碼。簡單來說就是需要使用afl編譯器來編譯目標。
首先,清理所有以前編譯的目標檔案和可執行檔案:
rm -r $HOME/fuzzing_xpdf/install
cd $HOME/fuzzing_xpdf/xpdf-3.02/
make clean
現在將使用afl-clang-fast編譯器構建 xpdf :
export LLVM_CONFIG="llvm-config-11"
CC=$HOME/AFLplusplus/afl-clang-fast CXX=$HOME/AFLplusplus/afl-clang-fast++ ./configure --prefix="$HOME/fuzzing_xpdf/install/"
make
make install
現在可以使用以下命令執行Fuzz:
afl-fuzz -i $HOME/fuzzing_xpdf/pdf_examples/ -o $HOME/fuzzing_xpdf/out/ -s 123 -- $HOME/fuzzing_xpdf/install/bin/pdftotext @@ $HOME/fuzzing_xpdf/output
執行引數說明:
- -i:表示輸入檔案目錄
- -o:表示 AFL++ 將儲存變異檔案的目錄
- -s:表示要使用的靜態隨機種子(AFL 使用非確定性測試演算法,因此兩個Fuzz會話永遠不會相同。這就是為什麼設定固定種子 -s 123的原因。用以保證Fuzz結果和示例相同。)
- @@:是佔位符目標的命令列,AFL 將用每個輸入檔名替換它
如果收到「Hmm, your system is configured to send core dump notifications to an external utility...」類似的命令,執行以下操作關閉核心轉儲:
sudo su
echo core >/proc/sys/kernel/core_pattern
exit
幾分鐘後,應該會看到如下內容:
可以看到紅色的uniq crashes值,顯示找到的唯一崩潰的數量。可以在$HOME/fuzzing_xpdf/out/
目錄中找到這些崩潰檔案。一旦發現第一個崩潰,就可以使用control+c
停止 fuzzer。
什麼時候可以停止fuzzer?其中一個指標可以參考cycles done
的數字顏色,依次會出現洋蔥紅色,黃色,藍色,綠色,變成綠色時就很難產生新的crash檔案了。
復現崩潰和修復漏洞
復現崩潰
在$HOME/fuzzing_xpdf/out/
目錄中找到崩潰對應的檔案。檔名類似於id:000000,sig:11,src:001504+000002,time:924544,op:splice,rep:16
將此檔案作為輸入傳遞給 pdftotext 二進位制檔案(如果提示無法開啟檔案,將檔名稱改為xxx.pdf再嘗試)
$HOME/fuzzing_xpdf/install/bin/pdftotext '$HOME/fuzzing_xpdf/out/default/crashes/<your_filename>' $HOME/fuzzing_xpdf/output
它會導致分段錯誤並導致程式崩潰:
使用 gdb 找出程式因該輸入而崩潰的原因
首先,需要使用除錯資訊重建 Xpdf 以獲得符號堆疊跟蹤:
rm -r $HOME/fuzzing_xpdf/install
cd $HOME/fuzzing_xpdf/xpdf-3.02/
make clean
CFLAGS="-g -O0" CXXFLAGS="-g -O0" ./configure --prefix="$HOME/fuzzing_xpdf/install/"
make
make install
現在,可以執行 GDB:
gdb --args $HOME/fuzzing_xpdf/install/bin/pdftotext $HOME/fuzzing_xpdf/out/default/crashes/<your_filename> $HOME/fuzzing_xpdf/output
然後,在 GDB 中輸入:
run
如果一切順利,應該會看到以下輸出:
然後輸入bt
以獲取棧回溯:
滾動呼叫堆疊,將看到Parser::getObj
方法的許多呼叫,這些呼叫似乎表示無限遞迴,如上圖的紅框所示。
修復問題
下載4.02版本程式碼,對比Parser.cc
,可以看到此漏洞被修復:
總結
- 通過復現一個漏洞,學習AFL++的基本使用方法,並使用GDB檢視crash原因
- 後續還有AFL++Fuzz學習的筆記會同步更新到部落格