当前位置：首页 > news >正文

AFL安全漏洞挖掘

news 2025/11/12 9:36:49

安全之安全(security²)博客目录导读

ATF(TF-A)/OPTEE之FUZZ安全漏洞挖掘汇总

一、AFL简介

二、AFL的安装

三、代码示例及种子语料库

四、AFL插桩编译

五、AFL运行及测试

六、AFL结果分析

一、AFL简介

模糊测试（Fuzzing）技术作为漏洞挖掘最有效的手段之一，近年来一直是众多安全研究人员发现漏洞的首选技术。AFL、LibFuzzer、honggfuzz等操作简单友好的工具相继出现，也极大地降低了模糊测试的门槛。

AFL（American Fuzzy Lop）是由安全研究员Michał Zalewski（@lcamtuf）开发的一款基于覆盖引导（Coverage-guided）的模糊测试工具，它通过记录输入样本的代码覆盖率，从而调整输入样本以提高覆盖率，增加发现漏洞的概率。其工作流程大致如下：

①从源码编译程序时进行插桩，以记录代码覆盖率（Code Coverage）；

②选择一些输入文件，作为初始测试集加入输入队列（queue）；

③将队列中的文件按一定的策略进行“突变”；

④如果经过变异文件更新了覆盖范围，则将其保留添加到队列中;

⑤上述过程会一直循环进行，期间触发了crash的文件会被记录下来。

二、AFL的安装

下载AFL源码（https://github.com/google/AFL/），解压后，编译安装。

make
sudo make install

安装成功

安装目录

三、代码示例及种子语料库

首先创建一个简单的vulnerable.c源文件，其功能无外乎接受一行命令行输入（一个整数、一个字符、再一个整数），然后根据中间这个字符当作运算符，输出四则运算结果。可以看见，这个被测程序的内容和普通的用户交互程序一模一样，看不出来任何不同，就是以stdin/stdout作为交互的输入输出，以main函数作为执行入口。

作为模糊测试，AFL需要提供初始的种子输入。

但实际上，你完全可以提供任何无意义的输入作为种子，模糊测试也一般能达到效果，只不过效率会低一些而已，是否提供有意义种子？提供多少？无外乎在种子获取难度和测试的效率要求之间进行权衡而已。

四、AFL插桩编译

编译过程和普通gcc编译也是一样，除了使用的命令需要带上afl-前缀，因此

afl-gcc -g -o vulnerable vulnerable.c

五、AFL运行及测试

执行命令，

afl-fuzz -i testcases/ -o outputs -- ./vulnerable

但是不出意外命令会报错，

[-] Hmm, your system is configured to send core dump notifications to anexternal utility. This will cause issues: there will be an extended delaybetween stumbling upon a crash and having this information relayed to thefuzzer via the standard waitpid() API.To avoid having crashes misinterpreted as timeouts, please log in as rootand temporarily modify /proc/sys/kernel/core_pattern, like so:echo core >/proc/sys/kernel/core_pattern[-] PROGRAM ABORT : Pipe at the beginning of 'core_pattern'Location : check_crash_handling(), afl-fuzz.c:7275

以及

[-] Whoops, your system uses on-demand CPU frequency scaling, adjustedbetween 781 and 4003 MHz. Unfortunately, the scaling algorithm in thekernel is imperfect and can miss the short-lived processes spawned byafl-fuzz. To keep things moving, run these commands as root:cd /sys/devices/system/cpuecho performance | tee cpu*/cpufreq/scaling_governorYou can later go back to the original state by replacing 'performance' with'ondemand'. If you don't want to change the settings, set AFL_SKIP_CPUFREQto make afl-fuzz skip this check - but expect some performance drop.[-] PROGRAM ABORT : Suboptimal CPU scaling governorLocation : check_cpu_governor(), afl-fuzz.c:7337

具体原因上述信息已经提到了，大致就是AFL测试时用到功能需要还没有开启，因此，切换到root用户执行上面报错中给出的命令即可。不过因为上述命令中修改的都是/proc和/sys目录下的文件，二者Linux内核映射出来的逻辑文件，并非实际的磁盘文件，重启之后所有修改都会丢失，避免麻烦还是将这几个语句保存成为脚本有利于重复执行。

root用户切换
sudo su
echo core >/proc/sys/kernel/core_pattern
cd /sys/devices/system/cpu
echo performance | tee cpu*/cpufreq/scaling_governor

再次执行命令，

afl-gcc -g -o vulnerable vulnerable.c

可以正常运行，输出一段信息后呈现如下界面，表示fuzz已经开始了，可以在该界面中查看运行时间、崩溃数量等信息。

ctrl-C结束fuzz，可以看到当前目录下已经多出了outputs目录，这是本次模糊测试的结果。

六、AFL结果分析

引起崩溃的测试样例会位于outputs/crashes文件夹下，文件名大致形如id:000000,sig:08,src:000002,op:flip1,pos:3，本次测试中，获得的崩溃样例的内容为：

其中包含10/0三个可打印字符和一个换行符。并未出乎意料，就是这种输入会导致程序中发生除零意外。

crashes：导致目标接收致命signal而崩溃的独特测试用例queue：存放所有具有独特执行路径的测试用例。AFL输出文件：

crashes/README.txt：保存了目标执行这些crashes文件的命令行参数。

hangs：导致目标超时的独特测试用例。

fuzzer_stats：afl-fuzz的运行状态。

plot_data：用于afl-plot绘图。

afl-plot outputs plots

参考：GitHub - google/AFL: american fuzzy lop - a security-oriented fuzzer

AFL安全漏洞挖掘

一、AFL简介

二、AFL的安装

三、代码示例及种子语料库

四、AFL插桩编译

五、AFL运行及测试

六、AFL结果分析

相关文章：

AFL安全漏洞挖掘

ES6 let const var和解构赋值

03、MySQL-------数据库中间件MyCat实现读写分离

虹科活动 | 探索全新AR应用时代，虹科AR VIP研讨会广州场回顾！

非科班，补基础

安全性与合规性：IT运维的双重守护

session 反序列化

PostgreSQL中实现数学中的组合问题

编译和连接

常见分布整理

ubuntu终端命令行下如何使用NetworkManager(netplan)来配置wifi网络

GO学习之 goroutine的调度原理

CUDA学习笔记5——CUDA程序错误检测

虹科 | 解决方案 | 机械免拆压力测试方案

Python数据挖掘实用案例——自动售货机销售数据分析与应用

深度学习技巧应用29-软件设计模式与神经网络巧妙结合，如何快速记忆软件设计模式

中文编程开发语言工具应用案例：ps5体验馆计时收费管理系统软件

绘制核密度估计图

基于深度学习网络的蔬菜水果种类识别算法matlab仿真

UE4 距离场

XCTF-web-easyupload

centos 7 部署awstats 网站访问检测

在 Nginx Stream 层“改写”MQTT ngx_stream_mqtt_filter_module

Linux 中如何提取压缩文件？

Selenium常用函数介绍

深度剖析 DeepSeek 开源模型部署与应用：策略、权衡与未来走向

小木的算法日记-多叉树的递归/层序遍历

React从基础入门到高级实战：React 实战项目 - 项目五：微前端与模块化架构

相关类相关的可视化图像总结

JavaScript 标签加载