在本文中作者提出
在进行漏洞挖掘中,模糊测试已经成为了一种主流的漏洞挖掘工具。然而传统的fuzzer都是无状态的,这对于存在状态转换的网络协议模糊测试并不友好,同时,与传统的一些程序相比,网络传输时往往更容易被攻击。在基于状态的协议模糊测试提出之前,针对网络的模糊测试往往采用黑盒的方式,这导致产生的测试用例往往比较随意,并不能到达更深的代码覆盖。随着AFLNET的提出,基于状态的灰盒模糊测试开始越来越普遍的应用到协议模糊测试中。现有的较为优秀的基于状态的灰盒模糊测试包括AFLNET和STATEAFL,AFLNET假定协议在响应信息中存在特定的代码来表示状态,但并非所有协议都满足这一假设,同时仅仅使用响应码来表示状态也会导致对协议的评估并不准确;STATEAFL使用内存状态来表示服务状态,然而在进行状态收集和状态模型推理时需要将程序变量转储到一个分析队列中并对执行后结果进行分析才能实现对状态模型的更新,这也带来了额外的开销。
如上图所示为Bftpd协议,作者提到,网络服务往往会使用一些特定的变量来直接表示协议的状态,因此可以直接使用这样的变量来表示服务器状态。同时,如图中黄色边框所示代码,网络服务往往存在大量的I/O交互,而这部分功能往往由一个代码循环(event loop)来实现,因此,作者提出通过I/O同步机制来给fuzzer一个及时的反馈。基于此,作者提出了两个改进:
- 基于程序变量来表示服务器状态
- 引入I/O同步机制
网络服务包括三个阶段:
协议模糊测试主要集中在第二阶段服务处理阶段。
为如上图所示为NSFUZZ的整体框架,首先NSFUZZ进行静态分析获取状态变量列表和网络循环事件(用于确定I/O 同步点),执行编译时插装插入相应的信号来支持快速的I/O同步和基于变量的服务器状态跟踪。
通过上图的框架结构可知,NSFUZZ使用静态分析来确定Event loop和状态变量列表,并在静态分析时进行插装,其过程如下。
在进行静态分析时,主要确定两项内容:event loop 识别和状态变量提取。
在进行event loop识别时,识别事件循环的主要挑战是将其与网络服务程序中的其他循环区分开来,因为在实现中有太多不同的循环。一个典型的例子是在服务初始化阶段。许多服务可能使用文件 I/O 循环来读取配置。此外,事件循环本身也可能包含嵌套循环,这也给静态分析准确识别网络事件循环带来了困难。因此,我们在服务处理阶段跟踪网络 I/O 操作,并通过回溯来区分外部循环,以解决这些问题。
首先,当网络服务完成初始化并进入服务处理阶段时,在与输入相关的系统调用(如 read、 recv、 recvmsg 等)上设置断点。然后 Fuzzer 建立到 SUT (service under test)的套接字连接并发送探测消息。当命中断点时,SUT 保存函数调用堆栈的回溯跟踪。最后,我们将回溯作为静态分析器的辅助输入,以识别网络事件循环。静态分析器首先将服务中包含 I/O 操作的所有循环记录为候选循环,然后从底部(例如,libc start main)扫描回溯调用堆栈,以匹配包含 I/O 循环的第一个函数(外部函数) ,然后将其视为网络事件循环。这是因为在服务处理阶段,回溯只包含网络事件循环中的调用堆栈,而匹配包含 I/O 循环的外部函数也可以避免嵌套循环。
状态变量在静态分析时进行提取,在进行状态变量提取时,主要根据以下三个启发式规则来进行状态变量提取:
当获取了Event loop和状态变量列表,NSFuzz将会执行两种类型的插装,首先它会在Event loop的入口点插入raise(SIGSTOP)语句,使得被测试的服务可以在每个请求消息被处理之后向模糊器提供一个raise信号反馈,表示它已经准备好接受下一个消息请求。同时为了实时的将状态变量值反馈给fuzzer引擎,NSFuzz在每个状态变量中插装了一个STORE操作,使用被写入的状态变量的值作为key来更新与状态相关的内存共享。其映射方法如下:
首先NSFuzz将每个状态变量的ID值进行hash,接下来将该hash值和写入的当前状态值进行亦或操作(XOR),将XOR后的值作为索引来更新share_state(用于记录状态信息的共享内存)。
为了提高模糊测试效率,AFL引入了FORKSERVER来进行fork的创建和回收,AFLNET和STATEAFL都是基于AFL来实现的,当执行一个testcase时,他们首先通知 FORK-SERVER 创建一个进程进行模糊处理,然后依次按照手动指定的时间间隔发送每个请求消息,最后等待 FORKSERVER 在服务结束后通过通信管道写入执行结果。而NSFuzz实现了一个NET_FORKSERVER,通过它与反馈信号进行合作从而实现快速I/O同步,从而避免了手动指定的时间等待间隔,如下图所示,每次NSFuzz发送一个请求消息后,NET_FORKSERVER等待raised信号来判断目标是否已经完成了一轮I/O交互或者发生崩溃,并将这些信息发送给fuzzer。
当fuzzer接受到来自NET_FORKSERVER的消息处理结果后,它会计算共享状态缓冲区(shared_state)的哈希值,该值可以用于表示SUT的当前状态。因为如果消息导致状态发生改变,则某些状态变量的值必然发生改变,从而导致shared_state缓冲区中的值发生改变,因此fuzzer可以通过共享状态缓冲区的值来记录状态转换序列,以便在每次同步后推断状态转换模型。如下图所示,var1和var2分别表示不同的状态变量,当执行完信息收集后,这些状态变量发生改变导致shared_state发生改变,通过对shared_state缓冲区的值进行hash来记录一个新的状态转换S2。
为了测试NSFuzz的性能,作者从以下两个纬度来进行回答:
带着这两个问题,作者在profuzzbench中选择了以下五个协议,使用当前较为优秀的两个基于状态的fuzzer AFLNET和STATEAFL,以及一个支持网络服务的fuzzer AFLNWE来进行对比。
NSFuzz在各个协议中找到的状态变量的数量和所用时间如下图所示:
下图为各个fuzzer发现的状态模型中的状态数和边数:
以lightftp为例,TABLE II 显示了NSFuzz找到了一个状态变量Access,在TABLE III中NSFuzz发现了五个状态和12个状态之间的转换,通过手动分析Lightftp的源代码后,发现Access有4个常量来表示客户端用户的不同权限(NOT LOGGED IN,READONLY, CREATENEW, FULL),同时还包括一个额外的初始化状态,如下图所示:
而从说明NSFuzz可以精确地推测出于状态变量相关的状态和状态转换。另一方面,AFLNET 和 STATEAFL 在相同初始种子的情况下推导出的状态模型在模糊化结束时分别有23个顶点/158条边和11个顶点/47条边。然而,根据我们的手工分析,这些状态模型不能区分客户端用户的不同权限,这可能导致不完整的状态指导。此外,这些模型也难以反映与目标服务的明确关系。因此,在一定程度上,NSFuzz 推断的状态模型比其他工作更加准确和可解释。
为了验证NSFuzz的有效性,作者首先评估了各个fuzzer的吞吐量,如下图所示,以AFLNET作为参考,NSFuzz的吞吐量最高能达到50x,尽管AFLNWE也有较高的吞吐量,但是和NSFuzz比较,它的代码分支覆盖却很低(AFLNWE并非基于状态的fuzzer),同时也可以看到NSFuzz的分支覆盖平均性能也优于其他几个fuzzer。
如下图为各个fuzzer的分支覆盖和所用时间,通过对比可以发现NSFuzz能更快的发现更多的边,同时也有更高的边覆盖:
接下来作者还评估了各个fuzzer触发第一个bug所用的时间,如下图所示,可以明显的看到NSFuzz可以更快的触发bug:
性
以上为阅读这篇论文的笔记,然而由于本人水平有限,若文中存在一些技术问题说明错误,欢迎评论区留言更正!
文章浏览阅读1.1k次,点赞22次,收藏23次。本文通过在SSD移动硬盘中安装win10和macos双系统,实现操作系统随身携带小慢哥的原创文章,欢迎转载目录 目标 准备工作 Step1. 清空分区,转换为GPT Step2. 安装win10 Step3. 压缩win10分区容量 Step4. 创建2个分区 Step5. 将bootcamp驱动放置到exFAT分区中 Step6. 将macos分区..._mac移动硬盘装双机系统
文章浏览阅读14次。theme: cyanosishighlight: a11y-dark前言自从上次TransmittableThreadLocal框架作者评论我之后,我重新去看了下源码,终于在这个周天,我才把TransmittableThreadLocal解决线程池变量丢失的问题搞明白,而且发现我之前的认识有问题,久久孩子我之前是觉得,InheritableThreadLocal解决父子线...
文章浏览阅读366次。 距离上一篇《Exchange 2016部署实施案例篇-02.活动目录部署篇》博文更新已经过去快一周了,最近一直在忙项目上的事情和软考,整的真心有点身心俱疲啊,最近看了下上一篇博文不知道为什么访问量一直上不去,真心有点心寒啊。希望大家能多多提出宝贵意见,看看如何能让访问量上去。 废话就不多说了,开始今天的话题,Exchange的部署篇,我原定计划是把部署篇分上、下2个篇幅来写的,但最近发现好..._解决exchange2016部署先决条件
文章浏览阅读130次。原文:REACTIVE APPS WITH MODEL-VIEW-INTENT - PART4 - INDEPENDENT UI COMPONENTS作者:Hannes Dorfmann译者:却把清梅嗅这篇博客中,我们将针对如何 如何构建独立组件 进行探讨,我将阐述为什么在我看来 父子关系会导致坏味道的代码,以及为何这种关系是没有意义的。有这样一个问题时不时涌现在我的脑海中—— MVI...
文章浏览阅读662次。https://blog.csdn.net/qq_32466233/article/details/81075288_池化层后特征图尺寸
文章浏览阅读3.3k次。一、问题说明我是用的是官方示例中的这个饼状图。结果在应用到项目中后发现利用axios请求到的数据无法渲染到页面中去。并且其中value值已经改变。二、解决办法用$set改变value的值,并且重新绘制一遍表格。$set是全局 Vue.set 的别名。$set用法:向响应式对象中添加一个属性,并确保这个新属性同样是响应式的,且触发视图更新。它必须用于向响应式对象上添加新属性,因为..._vue echart初始化渲染过后无法重新渲染
文章浏览阅读3.7k次。今天在用Dev-C++ 的时候遇到一个错误“to_string is not a member of std” error解决方法:设置编译语言为ISO C++11 在菜单栏的Tool -> Compiler Option_devc++ [error] 'to_string' is not a member of 'std
文章浏览阅读1.1k次。Python 非常易学,强大的编程语言。Python 包括高效高级的数据结构,提供简单且高效的面向对象编程。Python 的学习过程少不了 IDE 或者代码编辑器,或者集成的开发编辑器(IDE)。这些 Python 开发工具帮助开发者加快使用 Python 开发的速度,提高效率。高效的代码编辑器或者 IDE 应该会提供插件,工具等能帮助开发者高效开发的特性。这篇文章收集了一些对开发者非常有_pydea兼容的
文章浏览阅读287次。一、makestrans()格式: str.maketrans(intab,outtab);功能:用于创建字符映射的转换表,对于接受两个参数的最简单的调用方式,第一个参数是字符串,表示需要转换的字符,第二个参数也是字符串表示转换的目标。注:两个字符串的长度必须相同,为一一对应的关系。注:Python3.6中已经没有string.maketrans()了,取而代之的是内建函数:bytearray...._python maketrance
文章浏览阅读5.7k次,点赞9次,收藏14次。set集合的简介,它的特点和遍历方式。介绍了HashSet重复元素存储底层原理,LinkedHashSet,TreeSet排序方法,SortedSet获取集合值的方法_set集合
文章浏览阅读3.6k次,点赞3次,收藏29次。随着城市规模的不断扩大和现代化程度的日益提高,城市排水管网越来越复杂,一些城市相继发生大雨内涝、管线泄漏爆炸、路面塌陷等事件,严重影响了人民群众生命财产安全和城市运行秩序。因此,摸清排水管网设施资产家底、建立排水管网地理信息系统,用现代化的技术手段对排水系统进行科学管理显得迫在眉睫。以时空信息为基础,充分利用感知监测网、物联网、云计算、移动互联网、工业控制和水力模型等新一代信息技术,全方位感..._污水处理智慧管理系统案列
文章浏览阅读5.7k次,点赞4次,收藏13次。上篇在详解FAT32文件系统中介绍了FAT32文件系统存储数据的原理,这篇就来介绍下NTFS文件系统。NTFS、用过Windows系统的人都知道,它是一个很强大的文件系统,支持的功能很多,存储的原理也很复杂。目前绝大多数Windows用户都是使用NTFS文件系统,它主要以安全性和稳定性而闻名,下面是它的一些主要特点。安全性高:NTFS支持基于文件或目录的ACL,并且支持加密文件系统(E_ntfs文件系统中,磁盘上的所有数据包括源文件都是以什么的形式存储