前言
wtf (https://github.com/0vercl0k/wtf) 是一種分布式�����、代碼覆蓋引導(dǎo)�����、可定制��、基于快照的跨平臺(tái)模糊器����,設(shè)計(jì)用于 fuzz 在 Microsoft Windows 平臺(tái)上運(yùn)行的用戶模式或內(nèi)核模式的目標(biāo)。
在日常的 fuzz 的工作中��,通常我們都需要先大致分析目標(biāo)軟件���,然后對其輸入點(diǎn)構(gòu)造 harness�����,才可以使用工具對 harness 進(jìn)行 fuzz����,從而發(fā)現(xiàn)目標(biāo)軟件的潛在漏洞�。構(gòu)造 harness 不是一件容易的事情,這取決于安全研究人員分析解構(gòu)目標(biāo)軟件的程度���,除此之外���,在部分軟件中����,只有進(jìn)行完整的�����、復(fù)雜的初始化操作和預(yù)設(shè)�����,才能保證 harness 調(diào)用的輸入點(diǎn)函數(shù)能夠正常運(yùn)行����。
針對這一問題,基于快照的 fuzz 工具 wtf 吸引了我的注意���;我們可以對正常運(yùn)行的目標(biāo)軟件打下內(nèi)存快照��,然后對該內(nèi)存快照進(jìn)行 fuzz�,這種方式可以不必編寫 harness���,并在一定程度上減少分析目標(biāo)軟件的成本����。
(資料圖片)
本文從基于快照這一個(gè)特性出發(fā),介紹 wtf 工具的基礎(chǔ)使用和注意事項(xiàng)���。
本文實(shí)驗(yàn)環(huán)境:
Windows 10 x64 專業(yè)版Visual Studio 2019WinDBGProxmoxVE 7.2-31. wtf概要
在 github 上可以訪問 wtf 的源碼和 README(https://github.com/0vercl0k/wtf):
image
作者提供了 4 篇使用 wtf 進(jìn)行 fuzz 的實(shí)操文章:
Building a new snapshot fuzzer & fuzzing IDAFuzzing Modern UDP Game Protocols With Snapshot-based FuzzersFuzzing RDPEGFX with "what the fuzz"A Journey to Network Protocol Fuzzing – Dissecting Microsoft IMAP Client Protocol
其中第一篇針對 IDA 的 fuzz�����,也是作者開發(fā) wtf 的初衷,其中講訴了 wtf 的開發(fā)歷程并介紹了 wtf 的實(shí)現(xiàn)原理�。
通過以上文章,了解到使用 wtf 進(jìn)行 fuzz 可以大致分為 3 個(gè)步驟:
1. 遠(yuǎn)程調(diào)試目標(biāo)程序��,并在合適的位置打下系統(tǒng)內(nèi)存快照2. 為內(nèi)存快照編寫 wtf 的 fuzz 模塊/插件(也稱為 harness)3. 編譯并啟動(dòng) wtf 進(jìn)行 fuzz
為了方便下文敘述���,這里先介紹如何源碼編譯 wtf���。wtf 使用 ninja 進(jìn)行構(gòu)建,首先我們下載 ninja(https://ninja-build.org/) 并添加到環(huán)境變量PATH中�����,隨后從 github 下載 wtf 源碼��,打開 Visual Studio 的 x64 位開發(fā)者命令行工具(vs2019:x64 Native Tools Command Prompt for VS 2019):
# 進(jìn)入 wtf 的 build 目錄$ cd C:\Users\john\Desktop\wtf-0.4\src\build# 執(zhí)行 bat 腳本$ .\build-release.bat
執(zhí)行如下:
image
編譯成功后,會(huì)在build目錄下生成wtf.exe文件��,該二進(jìn)制文件將支撐我們?nèi)康?fuzz 流程�。
2. fuzz hevd
wtf 提供了完整的測試用例 hevd / tlv_server,能夠幫助我們快速上手 wtf��,這里我們以 hevd 為例進(jìn)行介紹����;hevd(HackSys Extreme Vulnerable Windows Driver)是 Windows 內(nèi)核驅(qū)動(dòng)漏洞靶場(https://github.com/hacksysteam/HackSysExtremeVulnerableDriver),以幫助安全研究員學(xué)習(xí)漏洞原理。
首先第一步是創(chuàng)建 hevd 運(yùn)行時(shí)的系統(tǒng)內(nèi)存快照���,作者已經(jīng)提供好了https://github.com/0vercl0k/wtf/releases/download/v0.4/target-hevd.7z,下載解壓后如下:
image
第二步是編寫 hevd 的 wtf fuzz 模塊/插件,其插件代碼屬于 wtf 源碼的一部分��,在其中需要定義如何對快照進(jìn)行初始化,如何向快照注入測試用例等操作����,同樣作者也提供了https://github.com/0vercl0k/wtf/blob/main/src/wtf/fuzzer_hevd.cc���,如下:
image
通過build-release.bat重新編譯 wtf 以添加 hevd 插件�,target-hevd已經(jīng)準(zhǔn)備好了工作目錄���,如下:
$ tree target-hevdtarget-hevd├── inputs 輸入/測試用例/樣本種子文件├── outputs 輸出/wtf發(fā)現(xiàn)的可產(chǎn)生不同的路徑的測試用例├── coverage 覆蓋率文件夾├── crashes 保存觸發(fā) crash 的測試用例└── state 快照文件夾�����,包含內(nèi)存dump(`mem.dmp`)和CPU狀態(tài)`regs.json`$ hexdump -C target-hevd/inputs/ioctl.bin 00000000 3b 20 22 00 |; ".|00000004
隨后便可以使用wtf.exe進(jìn)行 fuzz����,wtf 的 fuzz 分為 server 節(jié)點(diǎn)和 fuzz 節(jié)點(diǎn)���,服務(wù)器節(jié)點(diǎn)負(fù)責(zé)聚合代碼覆蓋率��、語料庫�����,生成測試用例并將其分發(fā)給客戶端��,fuzz 節(jié)點(diǎn)運(yùn)行由服務(wù)器生成和分發(fā)的測試用例�����,并將結(jié)果傳回服務(wù)器(代碼覆蓋率/結(jié)果等)��。
$ cd C:\Users\john\Desktop\wtf-0.4\src\build# 首先啟動(dòng) server 節(jié)點(diǎn)# master 指定為 server 節(jié)點(diǎn)# --name 指定插件模塊為 hevd# --max_len 設(shè)置最大測試用例長度# --runs 設(shè)置生成測試用例的個(gè)數(shù)# --target 設(shè)置工作目錄$ .\wtf.exe master --name hevd --max_len=1028 --runs=10000000 --target C:\Users\john\Desktop\target-hevd# 再啟動(dòng)一個(gè) fuzz 節(jié)點(diǎn)# fuzz 指定為 fuzz 節(jié)點(diǎn)# --backend 指定執(zhí)行后端為 bochscpu(還支持 whv/kvm)$ .\wtf.exe fuzz --name hevd --backend=bochscpu --target C:\Users\john\Desktop\target-hevd
執(zhí)行如下:
image
運(yùn)行一段時(shí)間后我們將收獲 crash����,本文這里不進(jìn)行擴(kuò)展分析。
3. demo程序
target-hevd示例能夠讓我們快速的上手 wtf����,現(xiàn)在我們提供個(gè) demo 程序以便完整的學(xué)習(xí) wtf 的基本使用�����,編寫 demo 程序如下:
#define _CRT_SECURE_NO_WARNINGS#include #include #include __declspec(dllexport) int fuzzme(char* data);char* argv_0 = NULL;int __declspec(noinline) fuzzme(char* data) {unsigned int len = strlen(data);if (!(len > 0 && data[0] == "t")) {printf("Error 0\n");return 0;}if (!(len > 1 && data[1] == "e")) {printf("Error 1\n");return 0;}if (!(len > 2 && data[2] == "s")) {printf("Error 2\n");return 0;}if (!(len > 3 && data[3] == "t")) {printf("Error 3\n");return 0;}//printf("!!!!!!!!!!OK!!!!!!!!!!\n");char* crash = NULL;if (len > 4 && data[4] == "1") {crash[0] = NULL;} else if (len > 4 && data[4] == "2") {char buffer[5] = { 0 };// stack-based overflow to trigger the GS cookie corruptionfor (int i = 0; i < 5; ++i) {strcat(buffer, argv_0);}printf("buffer: %s\n", buffer);}else {printf("Error 4\n");}return 0;}int main(int argc, char* argv[]) {char ready = 0;char data[32] = { 0 };argv_0 = argv[0];printf("ready?\n");scanf("%c", &ready);printf("input data:\n");scanf("%16s", data);printf("%s\n", data);fuzzme(data);return 0;}
在main()函數(shù)的起始位置����,我們設(shè)置了一個(gè)ready標(biāo)志等待用戶輸入一個(gè)字符后����,再執(zhí)行真正代碼邏輯,這樣可以方便我們后續(xù)調(diào)試該程序進(jìn)行快照操作����;隨后 demo 程序接收用戶輸入的字符串�,將該字符串傳入核心函數(shù)fuzzme()進(jìn)行處理���,在該函數(shù)中將逐字節(jié)檢查用戶輸入是否等于test�,滿足條件后若第 5 個(gè)字節(jié)為1,則手動(dòng)觸發(fā)空指針訪問異常,若第 5 個(gè)字節(jié)為2��,則手動(dòng)觸發(fā) GS cookie 異常�,其他則調(diào)用printf()輸出�。
我們將該 demo 程序編譯為wtf_test.exe���,接下來的目標(biāo)則是使用 wtf 對該二進(jìn)制程序的fuzzme()函數(shù)進(jìn)行 fuzz�,找到其中的兩個(gè)異常錯(cuò)誤���;同樣按照上文的三大步進(jìn)行���。
4. 內(nèi)存快照
首先我們需要搭建雙機(jī)調(diào)試環(huán)境來獲取二進(jìn)制運(yùn)行時(shí)的內(nèi)存快照���,官方推薦使用 hyper-v 虛擬機(jī)作為執(zhí)行環(huán)境����,我這里使用 ProxmoxVE 虛擬機(jī)環(huán)境也一樣��;運(yùn)行的虛擬機(jī)(debuggee)使用 1C4G 的配置�,調(diào)試主機(jī)(debugger)的環(huán)境不做要求,需要注意一點(diǎn),由于打內(nèi)存快照涉及到大量的數(shù)據(jù)通信���,雙機(jī)調(diào)試一定要使用網(wǎng)絡(luò)調(diào)試進(jìn)行��,實(shí)驗(yàn)環(huán)境搭建如下:
image
在debuggee上使用命令開啟 powershell 配置網(wǎng)絡(luò)雙機(jī)調(diào)試如下:
# 開啟 debug$ bcdedit /debug on# 設(shè)置網(wǎng)絡(luò)調(diào)試參數(shù)# 設(shè)置 debugger 的 ip 地址為 10.0.25.191# 設(shè)置被調(diào)試機(jī)的端口為 50000# 設(shè)置被調(diào)試機(jī)的連接密碼為 p.a.s.s$ bcdedit /dbgsettings NET HOSTIP:10.0.25.191 PORT:50000 KEY:p.a.s.s# 查看調(diào)試配置$ bcdedit /dbgsettings
除此之外��,我們還需要關(guān)閉 Windows 的 KVA(Kernel Virtual Address) shadow 功能�,否則 wtf 執(zhí)行快照時(shí)將出現(xiàn)內(nèi)存分頁錯(cuò)誤的問題���,可以使用作者提供的腳本(https://github.com/0vercl0k/wtf/blob/main/scripts/disable-kva.cmd)進(jìn)行關(guān)閉:
REM To disable mitigations for CVE-2017-5715 (Spectre Variant 2) and CVE-2017-5754 (Meltdown)REM https://support.microsoft.com/en-us/help/4072698/windows-server-speculative-execution-side-channel-vulnerabilitiesreg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
如果關(guān)閉 KVA shadow 后若還出現(xiàn)內(nèi)存分頁錯(cuò)誤�,可嘗試使用https://github.com/0vercl0k/lockmem 對內(nèi)存進(jìn)行鎖定再進(jìn)行快照��。
隨后使用debugger使用 WinDBG 網(wǎng)絡(luò)調(diào)試連接debuggee����,隨后在debuggee上執(zhí)行wtf_test.exe程序�����,在 WinDBG 中進(jìn)入目標(biāo)進(jìn)程空間如下:
image
此時(shí)�,我們需要選擇一個(gè)「合適」的內(nèi)存快照位置��,因?yàn)?wtf 將會(huì)以該快照作為起始運(yùn)行狀態(tài)���,在wtf_test.exe中�,我們的目標(biāo)函數(shù)是fuzzme()���,所以我們在fuzzme()函數(shù)入口打下斷點(diǎn),并在wtf_test.exe程序中分別輸入g和1234以運(yùn)行到斷點(diǎn)處�����,如下:
image
隨后我們使用 WinDBG 的插件 bdump (https://github.com/yrp604/bdump)對此刻的運(yùn)行狀態(tài)進(jìn)行快照:
# 加載 bdump.js 腳本kd> .scriptload C:\Users\john\Desktop\bdump\bdump.js# 打下內(nèi)存快照,保存在 state 文件夾中kd> !bdump_active_kernel "C:\\Users\\john\\Desktop\\state"
執(zhí)行如下:
image
在本文的實(shí)驗(yàn)環(huán)境下��,打內(nèi)存快照大約需要 40 min�。
5. 編寫wtf插件
隨后我們?yōu)?demo 程序編寫 wtf 的插件,我們可以以https://github.com/0vercl0k/wtf/blob/main/src/wtf/fuzzer_hevd.cc作為模板進(jìn)行改寫�����。
插件主要需要實(shí)現(xiàn)Init()和InsertTestcase()兩個(gè)函數(shù),wtf 加載內(nèi)存快照后����,將停留在我們打下斷點(diǎn)/打下快照的位置,然后首先調(diào)用一次插件的Init()函數(shù)�,在該函數(shù)中一般定義了:1.快照運(yùn)行到何處停止、2.如何處理異常錯(cuò)誤���、3.如何處理IO 等操作�,完成初始化操作后����,隨后將在每次執(zhí)行快照前�����,調(diào)用InsertTestcase()函數(shù)注入測試用例��。
編寫 demo 的 wtf 插件如下:
#include "backend.h"#include "targets.h"#include "crash_detection_umode.h"#include namespace Demo {bool InsertTestcase(const uint8_t *Buffer, const size_t BufferSize) { // "int fuzzme(char* data)" => data == Rcx const Gva_t data = Gva_t(g_Backend->Rcx()); if (!g_Backend->VirtWriteDirty(data, Buffer, BufferSize)) { fmt::print("VirtWriteDirty failed\n"); return false; } return true;}bool Init(const Options_t &Opts, const CpuState_t &) { // Stop the test-case once we return back from the call [fuzzme] const Gva_t Rsp = Gva_t(g_Backend->Rsp()); const Gva_t ReturnAddress = Gva_t(g_Backend->VirtRead8(Rsp)); if (!g_Backend->SetBreakpoint(ReturnAddress, [](Backend_t *Backend) { fmt::print("Back from kernel!\n"); Backend->Stop(Ok_t()); })) { fmt::print("Failed to SetBreakpoint ReturnAddress\n"); return false; } // setup usermode crash/exception detection hooks if (!SetupUsermodeCrashDetectionHooks()) { fmt::print("Failed to SetupUsermodeCrashDetectionHooks\n"); return false; } // patch "printf" to stdio if (!g_Backend->SetBreakpoint("printf", [](Backend_t *Backend) { const Gva_t StrPtr = Backend->GetArgGva(0); const std::string &str = Backend->VirtReadString(StrPtr); fmt::print("Demo: {}", str); Backend->SimulateReturnFromFunction(0); })) { fmt::print("Failed to SetBreakpoint printf\n"); return false; } return true;}// Register the target.Target_t Demo("demo", Init, InsertTestcase);} // namespace Demo
需要注意的是�,由于快照不具備 IO 訪問能力���,發(fā)生 IO 操作時(shí) wtf 無法正確處理,所以我們應(yīng)該盡量選擇一個(gè)「合適」的快照點(diǎn)����;對于無法避免的 IO 操作�,我們可以采用 patch 的方式修改邏輯�����,如 demo 程序中的printf()函數(shù)調(diào)用��,我們在Init()中進(jìn)行 patch,不會(huì)執(zhí)行真正的printf()功能�����。
通過build-release.bat重新編譯 wtf 以添加 demo 插件�����。
6. fuzz demo
首先我們準(zhǔn)備好工作目錄如下,其中state目錄就是我們上文打下的內(nèi)存快照:
$ tree workdirworkdir├── inputs├── outputs├── coverage├── crashes└── state$ cat workdir/inputs/1.txt1234
在進(jìn)行 fuzz 之前����,我們先使用 wtf 的run子命令,檢查內(nèi)存快照和插件是否正確運(yùn)行:
$ cd C:\Users\john\Desktop\wtf-0.4\src\build# 指定為 run 子命令# --name 指定插件模塊為 demo# --state 指定內(nèi)存快照文件夾# --backend 指定執(zhí)行后端為 bochscpu# --input 指定輸入文件$ .\wtf.exe run --name demo --state C:\Users\john\Desktop\workdir\state\ --backend=bochscpu --input C:\Users\john\Desktop\workdir\inputs\1.txt
執(zhí)行如下:
image
如果不能按預(yù)期執(zhí)行,可以使用run命令生成路徑覆蓋���,隨后根據(jù)執(zhí)行路徑分析問題�����,下文我們將介紹在 wtf 如何獲取路徑覆蓋�����。
隨后我們便可以對其進(jìn)行 fuzz:
$ cd C:\Users\john\Desktop\wtf-0.4\src\build# 啟動(dòng) server 節(jié)點(diǎn)$ .\wtf.exe master --name demo --max_len=6 --runs=10000000 --target C:\Users\john\Desktop\workdir# 啟動(dòng)一個(gè) fuzz 節(jié)點(diǎn)$ .\wtf.exe fuzz --name demo --backend=bochscpu --target C:\Users\john\Desktop\workdir
啟動(dòng)執(zhí)行 2min 即可獲得 crash 如下:
image
其 crash 文件如下���,順序?qū)ふ业轿覀兟裨?demo 程序中的兩個(gè)異常錯(cuò)誤:
image
7. 覆蓋率
使用 wtf 的run子命令還可以生成路徑覆蓋,配合 IDA 以及 lighthouse 插件可以幫助我們排查 fuzz 問題和衡量 fuzz 的質(zhì)量�,如下:
$ cd C:\Users\john\Desktop\wtf-0.4\src\build# 指定為 run 子命令# --trace-path 設(shè)置覆蓋率輸出文件夾# --trace-type 設(shè)置路徑類型為 cov$ .\wtf.exe run --name demo --state C:\Users\john\Desktop\workdir\state\ --backend=bochscpu --input C:\Users\john\Desktop\workdir\inputs\1.txt --trace-path=C:\Users\john\Desktop\workdir\coverage --trace-type=cov
執(zhí)行完畢后將在C:\Users\john\Desktop\workdir\coverage下生成1.txt.trace文件,該文件沒有符號化不能直接使用�,使用作者提供的工具 symbolizer(https://github.com/0vercl0k/symbolizer) 對其進(jìn)行符號化處理:
$ cd C:\Users\john\Desktop\workdir\coverage# --input 指定輸入文件# --crash-dump 指定內(nèi)存快照文件# -o 設(shè)置輸出文件# --style 指定符號化類型$ C:\Users\john\Desktop\symbolizer\symbolizer.exe --input .\1.txt.trace --crash-dump C:\Users\john\Desktop\workdir\state\mem.dmp -o cov.txt --style modoff
執(zhí)行完畢后����,將在指定目錄下生成符號化的路徑覆蓋文件cov.txt����,如下:
image
隨后在 IDA 中加載wtf_test.exe文件�,并使用 lighthouse 插件加載覆蓋率文件如下:
image
8. References
[1]https://github.com/0vercl0k/wtf
[2]https://github.com/0vercl0k/wtf/issues/14
[3]https://github.com/0vercl0k/lockmem[4]https://github.com/0vercl0k/symbolizer
[5]https://github.com/yrp604/bdump
[6]https://msrc.microsoft.com/blog/2018/03/kva-shadow-mitigating-meltdown-on-windows/
[7]https://blog.ret2.io/2021/07/21/wtf-snapshot-fuzzing/
