AFL++ Fuzz一個libexif例子

unr4v31發表於2021-09-09

CVE-2009-3895

首先在NVD找到漏洞描述如下：

大致意思是說：libexif 0.6.18 中的 libexif/exif-entry.c 中的 exif_entry_fix 函式中基於堆的緩衝區溢位允許遠端攻擊者導致拒絕服務或可能通過無效的 EXIF 影像執行任意程式碼

接下來找到libexif 0.6.18 ，官方在0.6.19版本修復了此漏洞：

CVE-2012-2836

同樣在NVD中找到漏洞描述：

大致意思：0.6.21 之前的 EXIF 標籤解析庫（又名 libexif）中的 exif-data.c 中的 exif_data_load_data 函式允許遠端攻擊者造成拒絕服務（越界讀取）或可能通過精心設計的方式從程式記憶體中獲取敏感資訊影像中的 EXIF 標籤。簡單來說也就是存在越界訪問漏洞

官方在0.6.21版本修復了此漏洞：

實驗目的

使用外部應用程式Fuzz庫檔案
使用afl-clang-lto，這是一種無碰撞檢測，它比afl-clang-fast更快並提供更好的結果

實驗環境

所有測試都在Ubuntu 20.04.2 LTS上測試過。強烈建議您使用相同的作業系統版本以避免不同的Fuzz結果，並在物理機而不是虛擬機器上執行 AFL++ ，以獲得最佳效能

Fuzz過程

下載相關檔案

首先建立一個資料夾用於存放Fuzz目標：

mkdir libexif && cd libexif

找到libexif檔案，下載並解壓：

wget https://sourceforge.net/projects/libexif/files/libexif/0.6.18/libexif-0.6.18.tar.gz
tar -zxvf libexif-0.6.18.tar.gz
cd libexif-0.6.18

因為libexif編譯後是一個庫檔案，所以還需要下載使用庫介面的應用程式，這裡選擇exif命令列0.6.15

wget https://github.com/libexif/exif/archive/refs/tags/exif-0_6_15-release.tar.gz
tar -xzvf exif-0_6_15-release.tar.gz

構建

首先回到libexif庫檔案目錄下進行編譯：

cd ..
sudo apt-get install autopoint libtool gettext libpopt-dev
autoreconf -fvi
./configure --enable-shared=no --prefix="/home/fuzz/libexif/install/"
make
make install

此時庫檔案已經編譯好了，再進入exif目錄進行編譯：

cd exif-exif-0_6_15-release/
autoreconf -fvi
./configure --enable-shared=no --prefix="/home/fuzz/libexif/install/" PKG_CONFIG_PATH=$HOME/libexif/install/lib/pkgconfig
make
make install

測試exif能否執行只需要輸入：

$HOME/libexif/install/bin/exif

此時應該看到如下內容：

執行Fuzz

首先要確定程式是做什麼的，要輸入什麼內容，希望返回什麼內容，可以先閱讀程式幫助資訊，並測試程式功能。

Exif是一種檔案格式，這是在網上搜尋到的相關描述：

可交換影像檔案格式（英語：Exchangeable image file format，官方簡稱Exif），是專門為數位相機的照片設定的，可以記錄數碼照片的屬性資訊和拍攝資料。

舉個例子，就像下面這樣：

那麼就需要找到這樣的檔案樣本，好在萬能的GitHub啥都有，可以直接下載：

git clone https://github.com/ianare/exif-samples.git

下載好後進入目錄，使用exif命令隨便檢視一張圖片的資訊：

$HOME/libexif/install/bin/exif Nikon_D70.jpg

可以看到如下結果：

現在程式功能已經知道了，需要使用afl編譯器重新編譯程式來執行Fuzz。這次使用afl-clang-lto作為編譯器來構建程式，afl-clang-lto相比於afl-clang-fast是更好的選擇，因為它是一種無碰撞檢測，而且比afl-clang-fast 快。

如果不確定何時使用哪種編譯器，可參考如下內容：

+--------------------------------+
| clang/clang++ 11+ is available | --> use LTO mode (afl-clang-lto/afl-clang-lto++)
+--------------------------------+     see [instrumentation/README.lto.md](instrumentation/README.lto.md)
    |
    | if not, or if the target fails with LTO afl-clang-lto/++
    |
    v
+---------------------------------+
| clang/clang++ 6.0+ is available | --> use LLVM mode (afl-clang-fast/afl-clang-fast++)
+---------------------------------+     see [instrumentation/README.llvm.md](instrumentation/README.llvm.md)
    |
    | if not, or if the target fails with LLVM afl-clang-fast/++
    |
    v
 +--------------------------------+
 | gcc 5+ is available            | -> use GCC_PLUGIN mode (afl-gcc-fast/afl-g++-fast)
 +--------------------------------+    see [instrumentation/README.gcc_plugin.md](instrumentation/README.gcc_plugin.md) and
                                       [instrumentation/README.instrument_list.md](instrumentation/README.instrument_list.md)
    |
    | if not, or if you do not have a gcc with plugin support
    |
    v
   use GCC mode (afl-gcc/afl-g++) (or afl-clang/afl-clang++ for clang)

使用編譯器重新構建程式：

rm -r $HOME/libexif/install
cd $HOME/libexif/libexif-0.6.18
make clean
export LLVM_CONFIG="llvm-config-11"
CC=afl-clang-lto ./configure --enable-shared=no --prefix="$HOME/libexif/install"
make
make install

cd $HOME/libexif/libexif-0.6.18/exif-exif-0_6_15-release
make clean
export LLVM_CONFIG="llvm-config-11"
CC=afl-clang-lto ./configure --enable-shared=no --prefix="$HOME/libexif/install/" PKG_CONFIG_PATH=$HOME/libexif/install/lib/pkgconfig
make
make install

然後可以開始愉快的Fuzz了：

afl-fuzz -i /home/fuzz/libexif/exif_samples/jpg/ -o /home/fuzz/libexif/out -s 123 -- /home/fuzz/libexif/install/bin/exif @@

漏洞復現及修復

漏洞復現

幾分鐘後可獲得多個crash：

使用GDB將crash檔案輸入到程式中：

gdb --args /home/fuzz/libexif/install/bin/exif ./crash1.jpg

檢視棧回溯：

可看出明顯是malloc_printerr使程式crash，那麼再往父函式找，找到exif_content_fix函式，在此處下斷點，重新執行程式，單步跟蹤，看看是什麼原因使程式崩潰。跟蹤到__GI___libc_realloc函式時，在_int_realloc報錯，檢視引數如下：

_int_realloc函式定義：void* _int_realloc(mstate av, mchunkptr oldp, INTERNAL_SIZE_T oldsize, INTERNAL_SIZE_T nb) ，單步跟進_int_realloc，得到如下結果：

檢視堆中內容，觀察到下一chunk的size域已經堆溢位被破壞，無法malloc導致程式crash：

修復

可以在GitHub中檢視修復程式碼：

Fix a buffer overflow on corrupt EXIF data. · libexif/libexif@8ce72b7

Fix a buffer overflow on corrupted JPEG data · libexif/libexif@00986f6

總結

在進行Fuzz時，資訊收集同等重要，如果是復現，需要知曉Fuzz目標的CVE資訊。如果是漏洞挖掘過程，則難度會更上一個等級。
熟悉程式的構建過程、程式的功能是必不可少的步驟，如果完全不知道程式是幹嘛的，那漏洞挖掘也就無從下手。
在復現漏洞時，應該考慮怎麼去證明這個漏洞，以及程式是如何崩潰的，可以在崩潰時的上層函式打上斷點單步跟蹤，觀察引數和函式呼叫過程
另外：可以使用Eclipse-CDT 代替 GDB 進行除錯，這是一個介面化的工具，需要有Java環境，下載連結：

CDT Downloads | The Eclipse Foundation

具體使用方法就不贅述了，網上有得很。工具都無所謂，看自己喜歡哪種，我就習慣GDB

AFL++初探-手把手Fuzz一個PDF解析器
2021-09-07
expdp一個例子
2019-09-17
2022 SDC 議題 | Dumart fuzz：讓黑盒像白盒一樣fuzz
2022-10-19
一個例子看懂call,apply
2018-07-27
APP
一個簡單的「IOC」例子
2023-03-06
一個複雜的json例子
2018-08-09
JSON
JUnit概述及一個簡單例子
2018-08-10
單例
一個小例子搞懂redux的套路
2018-07-12
Redux
擼一個簡單的MVVM例子
2018-06-27
MVVM
從一個例子看Go的逃逸分析
2022-07-04
Go
一個最簡單的 Github workflow 例子
2021-10-11
Github
一個學習 Koa 原始碼的例子
2020-05-20
原始碼
[Vuex系列] - 初嘗Vuex第一個例子
2019-04-21
Vue
一個dockerfile例子（參考著寫dockerfile）
2021-01-03
Docker
用一個通俗的例子講清楚API
2019-03-28
API
一個查詢不走索引的例子
2018-06-26
索引
協議Fuzz工具整合
2021-11-03
協議
fuzz原始碼閱讀
2021-11-29
原始碼
一個簡單的netty通訊的例子
2024-05-27
Netty
SAP Spartacus SplitViewComponent Migration 的一個具體例子
2021-05-09
View
WebRTC：一個視訊聊天的簡單例子
2019-08-08
Web單例
使用 Angular Transfer State 的一個具體例子
2021-12-13
Angular
RxJS CombineLatest operator 的一個具體使用例子
2021-06-16
JS
Angular Reactive Form 的一個具體使用例子
2021-06-05
AngularReactORM
初識隨機規劃：一個小小例子
2021-01-03
隨機
用一個實際例子理解Dockervolume工作原理
2018-11-23
Docker
用個通俗的例子講一講死鎖
2018-11-20
精講Flutter官網的第一個例子
2019-01-29
Flutter
C語言：一個例子理解 union 和 struct
2018-07-13
C語言Struct
flutter仿boss直聘，一個比較完整的例子（一）
2018-03-14
Flutter
CompletableFuture 的 20 個例子
2019-03-02
一個簡單的生活例子，感受TRIZ的魅力！
2023-04-19
通過一個實際的例子學習 combineLatest
2022-02-15
使用javap分析Java位元組碼的一個例子
2020-09-22
Java
c++ io條件狀態的一個例子
2020-10-01
C++
OPNET入門1-第一個模擬例子
2020-10-07
一個被寫爛的redux計數小例子
2018-11-28
Redux
用一個實際例子理解Docker volume工作原理
2018-11-27
Docker