AFL++初探-手把手Fuzz一個PDF解析器

unr4v31發表於2021-09-07

CVE-2019-13288

目前漏洞在正式版本已經被修復，本文章僅供學習Fuzz過程，不存在漏洞利用的內容

這是一個pdf檢視器的漏洞，可能通過精心製作的檔案導致無限遞迴，由於程式中每個被呼叫的函式都會在棧上分配一個棧幀，如果一個函式被遞迴呼叫太多次，就會導致棧記憶體耗盡和程式崩潰。因此，遠端攻擊者可以利用它進行 DoS 攻擊。

練習目的

使用檢測編譯目標應用程式
執行Fuzzer (afl-fuzz)
使用偵錯程式 (GDB) 對崩潰進行分類

環境構建

環境使用Ubuntu 20.04.2 LTS，儘量在物理機進行Fuzz而不是虛擬機器來獲取更多的效能（當然這只是效能方面，對Fuzz最終結果不會產生影響）

VMWare 映象下載地址：

UbuntuVMware.zip

此 VM 的使用者名稱/密碼是fuzz/ fuzz

下載並構建

首先為Fuzz目標建立一個新目錄：

cd $HOME
mkdir fuzzing_xpdf && cd fuzzing_xpdf/

可能需要安裝一些額外的工具（即 make 和 gcc）

sudo apt install build-essential

下載 Xpdf 3.02：

wget https://dl.xpdfreader.com/old/xpdf-3.02.tar.gz
tar -xvzf xpdf-3.02.tar.gz

構建 Xpdf：

cd xpdf-3.02
sudo apt update && sudo apt install -y build-essential gcc
./configure --prefix="$HOME/fuzzing_xpdf/install/"
make
make install

現在可以開始測試Xpdf。首先，需要下載一些 PDF 示例：

cd $HOME/fuzzing_xpdf
mkdir pdf_examples && cd pdf_examples
wget https://github.com/mozilla/pdf.js-sample-files/raw/master/helloworld.pdf
wget http://www.africau.edu/images/default/sample.pdf
wget https://www.melbpc.org.au/wp-content/uploads/2017/10/small-example-pdf-file.pdf

可以使用以下命令測試 pdfinfo 二進位制檔案：

$HOME/fuzzing_xpdf/install/bin/pdfinfo -box -meta $HOME/fuzzing_xpdf/pdf_examples/helloworld.pdf

結果如下：

安裝AFLplusplus

對於本實驗，使用最新版本的AFL++，GitHub連結如下：

GitHub - AFLplusplus/AFLplusplus: The fuzzer afl++ is afl with community patches, qemu 5.1 upgrade, collision-free coverage, enhanced laf-intel & redqueen, AFLfast++ power schedules, MOpt mutators, unicorn_mode, and a lot more!

推薦本地安裝

安裝依賴：

sudo apt-get update
sudo apt-get install -y build-essential python3-dev automake git flex bison libglib2.0-dev libpixman-1-dev python3-setuptools
sudo apt-get install -y lld-11 llvm-11 llvm-11-dev clang-11 || sudo apt-get install -y lld llvm llvm-dev clang 
sudo apt-get install -y gcc-$(gcc --version|head -n1|sed 's/.* //'|sed 's/\..*//')-plugin-dev libstdc++-$(gcc --version|head -n1|sed 's/.* //'|sed 's/\..*//')-dev

構建 AFL++（國內網路原因安裝時間較長，耐心等待）：

cd $HOME
git clone https://github.com/AFLplusplus/AFLplusplus && cd AFLplusplus
export LLVM_CONFIG="llvm-config-11"
make distrib
sudo make install

可能會出現qemu_mode、frida和unicorn安裝失敗的情況，多數原因是因為網路，這幾個功能是用於二進位制檔案黑盒Fuzz，可以暫時先不用管，從原始碼構建Fuzz不需要這幾個功能

也可以使用docker構建，效能比較低：

安裝docker：

sudo apt install docker

拉取映象：

docker pull aflplusplus/aflplusplus

啟動 AFLPlusPlus docker 容器：

docker run -ti -v $HOME:/home aflplusplus/aflplusplus

然後輸入

export $HOME="/home"

安裝成功後，應該可以使用afl-fuzz了，輸入afl-fuzz命令可以看到如下內容：

使用AFL++開始Fuzz

當原始碼可用時，AFL 可以使用檢測，在每個基本塊（函式、迴圈等）的開頭插入函式呼叫。為了為目標應用程式啟用檢測，所以需要使用 AFL 的編譯器編譯程式碼。簡單來說就是需要使用afl編譯器來編譯目標。

首先，清理所有以前編譯的目標檔案和可執行檔案：

rm -r $HOME/fuzzing_xpdf/install
cd $HOME/fuzzing_xpdf/xpdf-3.02/
make clean

現在將使用afl-clang-fast編譯器構建 xpdf ：

export LLVM_CONFIG="llvm-config-11"
CC=$HOME/AFLplusplus/afl-clang-fast CXX=$HOME/AFLplusplus/afl-clang-fast++ ./configure --prefix="$HOME/fuzzing_xpdf/install/"
make
make install

現在可以使用以下命令執行Fuzz：

afl-fuzz -i $HOME/fuzzing_xpdf/pdf_examples/ -o $HOME/fuzzing_xpdf/out/ -s 123 -- $HOME/fuzzing_xpdf/install/bin/pdftotext @@ $HOME/fuzzing_xpdf/output

執行引數說明：

-i：表示輸入檔案目錄
-o：表示 AFL++ 將儲存變異檔案的目錄
-s：表示要使用的靜態隨機種子（AFL 使用非確定性測試演算法，因此兩個Fuzz會話永遠不會相同。這就是為什麼設定固定種子 -s 123的原因。用以保證Fuzz結果和示例相同。）
@@：是佔位符目標的命令列，AFL 將用每個輸入檔名替換它

如果收到「Hmm, your system is configured to send core dump notifications to an external utility...」類似的命令，執行以下操作關閉核心轉儲：

sudo su
echo core >/proc/sys/kernel/core_pattern
exit

幾分鐘後，應該會看到如下內容：

可以看到紅色的uniq crashes值，顯示找到的唯一崩潰的數量。可以在$HOME/fuzzing_xpdf/out/目錄中找到這些崩潰檔案。一旦發現第一個崩潰，就可以使用control+c停止 fuzzer。

什麼時候可以停止fuzzer?其中一個指標可以參考cycles done 的數字顏色，依次會出現洋蔥紅色，黃色，藍色，綠色，變成綠色時就很難產生新的crash檔案了。

復現崩潰和修復漏洞

復現崩潰

在$HOME/fuzzing_xpdf/out/目錄中找到崩潰對應的檔案。檔名類似於id:000000,sig:11,src:001504+000002,time:924544,op:splice,rep:16

將此檔案作為輸入傳遞給 pdftotext 二進位制檔案（如果提示無法開啟檔案，將檔名稱改為xxx.pdf再嘗試）

$HOME/fuzzing_xpdf/install/bin/pdftotext '$HOME/fuzzing_xpdf/out/default/crashes/<your_filename>' $HOME/fuzzing_xpdf/output

它會導致分段錯誤並導致程式崩潰：

使用 gdb 找出程式因該輸入而崩潰的原因

首先，需要使用除錯資訊重建 Xpdf 以獲得符號堆疊跟蹤：

rm -r $HOME/fuzzing_xpdf/install
cd $HOME/fuzzing_xpdf/xpdf-3.02/
make clean
CFLAGS="-g -O0" CXXFLAGS="-g -O0" ./configure --prefix="$HOME/fuzzing_xpdf/install/"
make
make install

現在，可以執行 GDB：

gdb --args $HOME/fuzzing_xpdf/install/bin/pdftotext $HOME/fuzzing_xpdf/out/default/crashes/<your_filename> $HOME/fuzzing_xpdf/output

然後，在 GDB 中輸入：

run

如果一切順利，應該會看到以下輸出：

然後輸入bt以獲取棧回溯：

滾動呼叫堆疊，將看到Parser::getObj方法的許多呼叫，這些呼叫似乎表示無限遞迴，如上圖的紅框所示。

修復問題

下載4.02版本程式碼，對比Parser.cc，可以看到此漏洞被修復：

總結

通過復現一個漏洞，學習AFL++的基本使用方法，並使用GDB檢視crash原因
後續還有AFL++Fuzz學習的筆記會同步更新到部落格

參考文章

AFL++ README
https://github.com/antonio-morales/Fuzzing101/tree/main/Exercise 1

Jumony入門（三）初探解析器
2010-12-22
手寫一個解析器
2020-05-19
Fuzz：一個反“大資料”的流媒體公司
2013-03-04
大資料
如何把多個pdf合併成一個pdf文件？
2024-03-13
如何實現一個Java Class解析器
2019-03-03
Java
用 Go 構建一個 SQL 解析器
2019-07-09
GoSQL
iStylePDF把多個PDF合併成一個PDF檔案
2014-08-15
nodejs實現一個word文件解析器
2018-08-13
NodeJS
從零開始寫一個Javascript解析器
2018-03-09
JavaScript
自己動手擼一個cron表示式解析器
2022-01-03
如何實現一個Java Class位元組解析器
2017-03-28
Java
自己動手實現一個 Java Class 解析器
2017-02-13
Java
如何關閉一個開放的DNS解析器
2014-05-05
DNS
初探JavaScript PDF blob轉換為Word docx方法
2021-10-20
JavaScript
手把手教你使用 Java 線上生成 pdf 文件
2022-03-13
Java
500 行 Python 程式碼做一個英文解析器
2014-07-31
Python
fuzz原始碼閱讀
2021-11-29
原始碼
協議Fuzz工具整合
2021-11-03
協議
[譯] 用javascript實現一門程式語言-寫一個解析器
2018-08-03
JavaScript
JavaScript實現一個簡單的Markdown語法解析器
2023-03-26
JavaScript
手把手教你寫一個java的orm（一）
2019-01-19
JavaORM
MP3 Fuzz學習
2016-07-04
[Fuzz]Android模糊測試
2013-11-18
Android
[Flutter]從Obx一個報錯初探其原理
2021-05-10
Flutter
幾百行程式碼實現一個 JSON 解析器
2022-06-28
行程JSON
實現一個自己的語法解析器與執行引擎
2022-04-12
一個C語言宣告解析器的設計與實現
2013-10-09
C語言
Django初探一
2017-12-14
Django
手把手教你封裝一個Modal元件
2018-10-02
封裝元件
手把手教你搭建一個 Elasticsearch 叢集
2018-10-17
Elasticsearch
手把手教你寫一個SpringMVC框架
2022-03-18
SpringMVC框架
手把手教你擼一個 Webpack Loader
2018-01-25
Web
手把手教你寫一個react validator
2017-09-28
React
瀏覽器fuzz框架介紹
2020-08-19
瀏覽器框架
fuzz——AFL基礎使用方法
2022-02-13
關於Fuzz——peach的學習
2016-06-20
手把手教你做一個快取工具
2020-07-04
快取
手把手教你擼一個簡易的 webpack
2019-03-03
Web