#include <stdio.h>
void main(){
char buf[500];
read(0, but, 4); //리드 함수의 형태는 int read(int handle, char * buffer, readsize)[1]
buf[atoi(buf)] = 1;
<그림 1> Address sanitizer를 붙여 32비트로 컴파일
2.c) 명령어 "echo -ne '\x30\x35\x30\x30' | ./test 설명
- 먼저 echo의 -n옵션은 입력하는 문자열 마지막에 개행문자를 추가하지 않는다는 옵션이다.
- 또한 -e옵션은 \ escape문자를 해석하기 위해 사용하는 옵션인데, -e옵션을 붙여주면 \a, \b, \n등의 escape문자를 사용할 수 있다.(즉, 이 예제에서는 \x00을 해석하게 하기 위해 사용)
- 그리고 echo를 통해 출력되는 입력 값 '\x30\x35\x30\x30'을 위에서 컴파일 한 실행파일 ./test의 stdin으로 사용하기 위해 |(pipeline)을 사용
- '\x30\x35\x30\x30'는 아스키코드로 0500이고, 위에서 작성한 코드와 작동될 때 500번째 문자열 배열에 접근하게 되어 결과적으로 <그림 2>와 같이 sanitizer가 동작
<그림 2> Address sanitizer 동작 화면
3. AFL 다운로드 및 설치
3.a) <그림 3>과 같이 "http://lcamtuf.coredump.cx/afl/" 에 접속해 source code download..(글쓴이는 wget을 사용)
<그림 3>
3.b) <그림 4>와 같이 다운 받은 파일의 압축을 푼 후 설치 수행
- make -j5는 make를 수행할 때 5개의 쓰레드를 이용해 수행하게 하는 옵션
<그림 4>
4. AFL 사용 예제
4.a) 실제적인 사용예시로 패키지에 들어있는 example을 활용([2]를 참조)
- 활용한 예제는 <그림 5>에 나타난 test-instr.c
- 이 예제의 내용은 <그림 6>과 같음
- 예제를 실행하기 위해 <그림 7>과 같이 ./afl-gcc 를 활용해 컴파일
- 컴파일을 하면 <그림 8>과 같은 에러가 발생하는데, 이는 <그림 8>의 안내와 같이 <그림 9>에 입력하면 해결됨
- <그림 10>은 퍼저의 실행 화면
<그림 5>
<그림 6>
<그림 7>
<그림 8>
<그림 9>
<그림 10>
4.b) 퍼저를 실제적으로 활용하기 위해서는 실행을 위한 command를 어떻게 입력해야 하는가에 대한 파악이 필요(이 부분은 [2]를 참조하여 작성하였다.)
- 먼저 퍼져의 입력은 두 가지 케이스로 나뉜다. 첫 번째는 input data가 standard I/O인 경우, 두 번째는 file인 경우이다.
- Input data가 standard I/O일 경우 command의 형태는 다음과 같다.
./afl-fuzz -i "Testcase 디렉토리" -o "결과가 만들어진 디렉토리 이름" "Fuzzing할 바이너리 이름" "파라미터이름..." |
- Input data가 file인 경우 command의 형태는 다음과 같다.
./afl-fuzz -i "Testcase 디렉토리" -o "결과가 만들어진 디렉토리 이름" "Fuzzing할 바이너리 이름" @@ $ ./afl-fuzz -i testcase_dir -o findings_dir /path/to/program @@ |
- 우리가 사용한 예제, test-instr은 standard I/O를 입력으로 받아 동작하므로 첫 번째 케이스를 따른다.
- 퍼져 실행 시, testcase 인풋의 디렉토리는 "./testcases/other/text"로 지정하였고, 결과 출력용 디렉토리는 "./afl-out"이라는 폴더를 만들어 지정해준다.
- 즉, 마지막으로 "./afl-fuzz -i ./testcases/others/text/ -o ./afl-out/ ./test-instr" 명령어를 입력하면 퍼져가 동작한다.
5. References:
[1] http://forum.falinux.com/zbxe/index.php?document_srl=466628&mid=C_LIB
[2] http://kaspyx.kr/79