Американский Fuzzy Lop терпит неудачу на простом примере
Я пытался использовать American Fuzzy Lop, но я не могу заставить его работать с простым примером, подобным этому:
#include <stdio.h>
#include <string.h>
int main(int argc, char * argv[]){
char name[10];
if ( argc > 1 ){
strcpy(name, argv[1]);
printf("HELLO %s\n", name);
}
return 0;
}
Я компилирую одну версию этого кода с помощью обычного gcc, а другую - с помощью afl-clang. Затем версия gcc помещается во входную папку, и я называю фаззер следующим образом:
afl-fuzz -i input/ -o output/ -m 2G ./a.out @@
Но это не работает.
[*] Attempting dry run with 'id:000000,orig:a.out'...
[*] Spinning up the fork server...
[-] Whoops, the target binary crashed suddenly, before receiving any input
from the fuzzer! There are several probable explanations:
- The current memory limit (2.00 GB) is too restrictive, causing the
target to hit an OOM condition in the dynamic linker. Try bumping up
the limit with the -m setting in the command line. A simple way confirm
this diagnosis would be:
( ulimit -Sv $[2047 << 10]; /path/to/fuzzed_app )
Tip: you can use http://jwilk.net/software/recidivm to quickly
estimate the required amount of virtual memory for the binary.
- The binary is just buggy and explodes entirely on its own. If so, you
need to fix the underlying problem or find a better replacement.
- Less likely, there is a horrible bug in the fuzzer. If other options
fail, poke <lcamtuf@coredump.cx> for troubleshooting tips.
[-] PROGRAM ABORT : Fork server crashed with signal 6
Location : init_forkserver(), afl-fuzz.c:2056
Что я делаю неправильно?
2 ответа
Первая проблема заключается в том, что вы передаете ввод afl-fuzz в виде файла с помощью команды '@@', в то время как программа принимает аргумент командной строки. AFL принимает входные данные от стандартного ввода или файлов. http://lcamtuf.coredump.cx/afl/README.txt
Вторая проблема, вызывающая сбой при запуске, - это автоматическое имя, заданное afl для имени файла теста:
[*] Attempting dry run with 'id:000000,orig:a.out'...
Этого достаточно, чтобы переполнить ваш буфер и вызвать сбой.
Чтобы завершить ответ Wintermute, если вы хотите попробовать AFL или продемонстрировать, что он работает, вы можете сделать что-то вроде этого:
path переменная - это путь от вашего @@ аргумента
char *buff;
if ((buff = malloc(10)) == NULL)
abort();
if ((fd = fopen(path, "r")) == NULL)
abort();
fread(buff, 10, 1, fd);
if (strncmp(buff, "h", 1) == 0)
{
if (strncmp(buff, "he", 2) == 0)
{
if (strncmp(buff, "hel", 3) == 0)
{
if (strncmp(buff, "hell", 4) == 0)
{
if (strncmp(buff, "hello", 5) == 0)
{
buff[9] = 0; //just to be sure...
fprintf(stderr, "Nailed it ! input file is %s\n", buff);
abort();
}
}
else
{
abort(); // it should be found quick
}
}
}
}
free(buff);
fclose(fd);
С помощью abort() приведет к недопустимому указанию, то есть AFL будет рассматривать как сбой. Таким образом, в этом примере вы получите несколько разных сбоев.