AFL++初探-手把手Fuzz一个PDF解析器

CVE-2019-13288

目前漏洞在正式版本已经被修复，本文章仅供学习Fuzz过程，不存在漏洞利用的内容

这是一个pdf查看器的漏洞，可能通过精心制作的文件导致无限递归，由于程序中每个被调用的函数都会在栈上分配一个栈帧，如果一个函数被递归调用太多次，就会导致栈内存耗尽和程序崩溃。因此，远程攻击者可以利用它进行 DoS 攻击。

练习目的

• 使用检测编译目标应用程序
• 运行Fuzzer (afl-fuzz)
• 使用调试器 (GDB) 对崩溃进行分类

环境构建

环境使用Ubuntu 20.04.2 LTS，尽量在物理机进行Fuzz而不是虚拟机来获取更多的性能（当然这只是性能方面，对Fuzz最终结果不会产生影响）

VMWare 镜像下载地址：

UbuntuVMware.zip

此 VM 的用户名/密码是fuzz/ fuzz

下载并构建

首先为Fuzz目标创建一个新目录：

cd $HOME
mkdir fuzzing_xpdf && cd fuzzing_xpdf/

可能需要安装一些额外的工具（即 make 和 gcc）

sudo apt install build-essential

下载 Xpdf 3.02：

wget https://dl.xpdfreader.com/old/xpdf-3.02.tar.gz
tar -xvzf xpdf-3.02.tar.gz

构建 Xpdf：

cd xpdf-3.02
sudo apt update && sudo apt install -y build-essential gcc
./configure --prefix="$HOME/fuzzing_xpdf/install/"
make
make install

现在可以开始测试Xpdf。首先，需要下载一些 PDF 示例：

cd $HOME/fuzzing_xpdf
mkdir pdf_examples && cd pdf_examples
wget https://github.com/mozilla/pdf.js-sample-files/raw/master/helloworld.pdf
wget http://www.africau.edu/images/default/sample.pdf
wget https://www.melbpc.org.au/wp-content/uploads/2017/10/small-example-pdf-file.pdf

可以使用以下命令测试 pdfinfo 二进制文件：

$HOME/fuzzing_xpdf/install/bin/pdfinfo -box -meta $HOME/fuzzing_xpdf/pdf_examples/helloworld.pdf

结果如下：

安装AFLplusplus

对于本实验，使用最新版本的AFL++，GitHub链接如下：

GitHub - AFLplusplus/AFLplusplus: The fuzzer afl++ is afl with community patches, qemu 5.1 upgrade, collision-free coverage, enhanced laf-intel & redqueen, AFLfast++ power schedules, MOpt mutators, unicorn_mode, and a lot more!

• 推荐本地安装

  安装依赖：

  sudo apt-get update
  sudo apt-get install -y build-essential python3-dev automake git flex bison libglib2.0-dev libpixman-1-dev python3-setuptools
  sudo apt-get install -y lld-11 llvm-11 llvm-11-dev clang-11 || sudo apt-get install -y lld llvm llvm-dev clang
  sudo apt-get install -y gcc-$(gcc --version|head -n1|sed 's/.* //'|sed 's/\..*//')-plugin-dev libstdc++-$(gcc --version|head -n1|sed 's/.* //'|sed 's/\..*//')-dev
  

  构建 AFL++（国内网络原因安装时间较长，耐心等待）：

  cd $HOME
  git clone https://github.com/AFLplusplus/AFLplusplus && cd AFLplusplus
  export LLVM_CONFIG="llvm-config-11"
  make distrib
  sudo make install
  

  可能会出现qemu_mode、frida和unicorn安装失败的情况，多数原因是因为网络，这几个功能是用于二进制文件黑盒Fuzz，可以暂时先不用管，从源码构建Fuzz不需要这几个功能

• 也可以使用docker构建，性能比较低：

  安装docker：

  sudo apt install docker
  

  拉取镜像：

  docker pull aflplusplus/aflplusplus
  

  启动 AFLPlusPlus docker 容器：

  docker run -ti -v $HOME:/home aflplusplus/aflplusplus
  

  然后输入

  export $HOME="/home"
  

安装成功后，应该可以使用afl-fuzz了，输入afl-fuzz命令可以看到如下内容：

使用AFL++开始Fuzz

当源代码可用时，AFL 可以使用检测，在每个基本块（函数、循环等）的开头插入函数调用。为了为目标应用程序启用检测，所以需要使用 AFL 的编译器编译代码。简单来说就是需要使用afl编译器来编译目标。

首先，清理所有以前编译的目标文件和可执行文件：

rm -r $HOME/fuzzing_xpdf/install
cd $HOME/fuzzing_xpdf/xpdf-3.02/
make clean

现在将使用afl-clang-fast编译器构建 xpdf ：

export LLVM_CONFIG="llvm-config-11"
CC=$HOME/AFLplusplus/afl-clang-fast CXX=$HOME/AFLplusplus/afl-clang-fast++ ./configure --prefix="$HOME/fuzzing_xpdf/install/"
make
make install

现在可以使用以下命令运行Fuzz：

afl-fuzz -i $HOME/fuzzing_xpdf/pdf_examples/ -o $HOME/fuzzing_xpdf/out/ -s 123 -- $HOME/fuzzing_xpdf/install/bin/pdftotext @@ $HOME/fuzzing_xpdf/output

执行参数说明：

• -i：表示输入文件目录
• -o：表示 AFL++ 将存储变异文件的目录
• -s：表示要使用的静态随机种子（AFL 使用非确定性测试算法，因此两个Fuzz会话永远不会相同。这就是为什么设置固定种子 -s 123的原因。用以保证Fuzz结果和示例相同。）
• @@：是占位符目标的命令行，AFL 将用每个输入文件名替换它

如果收到「Hmm, your system is configured to send core dump notifications to an external utility...」类似的命令，执行以下操作关闭核心转储：

sudo su
echo core >/proc/sys/kernel/core_pattern
exit

几分钟后，应该会看到如下内容：

可以看到红色的uniq crashes值，显示找到的唯一崩溃的数量。可以在$HOME/fuzzing_xpdf/out/目录中找到这些崩溃文件。一旦发现第一个崩溃，就可以使用control+c停止 fuzzer。

什么时候可以停止fuzzer?其中一个指标可以参考cycles done 的数字颜色，依次会出现洋葱红色，黄色，蓝色，绿色，变成绿色时就很难产生新的crash文件了。

复现崩溃和修复漏洞

复现崩溃

在$HOME/fuzzing_xpdf/out/目录中找到崩溃对应的文件。文件名类似于id:000000,sig:11,src:001504+000002,time:924544,op:splice,rep:16

将此文件作为输入传递给 pdftotext 二进制文件（如果提示无法打开文件，将文件名称改为xxx.pdf再尝试）

$HOME/fuzzing_xpdf/install/bin/pdftotext '$HOME/fuzzing_xpdf/out/default/crashes/<your_filename>' $HOME/fuzzing_xpdf/output

它会导致分段错误并导致程序崩溃：

使用 gdb 找出程序因该输入而崩溃的原因

首先，需要使用调试信息重建 Xpdf 以获得符号堆栈跟踪：

rm -r $HOME/fuzzing_xpdf/install
cd $HOME/fuzzing_xpdf/xpdf-3.02/
make clean
CFLAGS="-g -O0" CXXFLAGS="-g -O0" ./configure --prefix="$HOME/fuzzing_xpdf/install/"
make
make install

现在，可以运行 GDB：

gdb --args $HOME/fuzzing_xpdf/install/bin/pdftotext $HOME/fuzzing_xpdf/out/default/crashes/<your_filename> $HOME/fuzzing_xpdf/output

然后，在 GDB 中输入：

run

如果一切顺利，应该会看到以下输出：

然后输入bt以获取栈回溯：

滚动调用堆栈，将看到Parser::getObj方法的许多调用，这些调用似乎表示无限递归，如上图的红框所示。

修复问题

下载4.02版本代码，对比Parser.cc，可以看到此漏洞被修复：

总结

• 通过复现一个漏洞，学习AFL++的基本使用方法，并使用GDB查看crash原因
• 后续还有AFL++Fuzz学习的笔记会同步更新到博客

参考文章

• AFL++ README
• https://github.com/antonio-morales/Fuzzing101/tree/main/Exercise 1