Fuzzing ve AFL


Fuzzing

Giriş

Fuzzing uygulamalara/sistemlere beklenmedik veya semi-malformed veriler yollanarak sıralı bir şekilde test etme yöntemidir. Black-box yazılım testi olarak kategorilendirilebilir. Bu yöntemle uygulamaları, protokolleri, sistemleri test edebiliriz.
Fuzzing bugları bulmakta iyiyken bulduğu buglar genelde basit düzeyde oluyor. Bu bugları sömürmek için exploit geliştirmek araştırmacıya kalıyor. İnsan eliyle yapılması zor olan rastgele mutasyonları gerçekleştirip bunları sürekli deneyerek araştırma yapan kişiye önemli bulgular sağlıyor.
Bu yazıda en çok kullanılan fuzzing aracı olan American Fuzzy Lop’u (AFL) anlatıp, nasıl kurulduğunu ve neler yapabildiğimizi anlatacağım.

AFL

American Fuzzy Lop açık kaynaklı bir fuzzing aracıdır. Genetik algoritmaların yardımıyla girdilerini değiştirerek uygulamalarda crash arar. Şimdiye kadar günlük hayatımızda kullandığımız çoğu uygulamada bug veya açık bulmak için kullanıldığını görüyoruz. Firefox’tan iOS çekirdiğine kadar büyük bir aralıkta açık bulmak için kullanılmıştır[2].
Afl fuzz yapmak için bize 2 tane mod sunmaktadır:
  1. Kaynak koddan afl-gcc ile derlemek. Bu yöntemde AFL programı derlerken kendi fonksiyonları yerleştirip, fonksiyonlara göre fuzzing yapıyor.
  2. QEMU modu. Bu modu kaynak koda erişimimiz olmadığında kullanabiliriz. QEMU emülatörünü kullanarak çalıştırılabilir dosyayı fuzz edebiliriz.


Kurulum

Afl’i iki şekilde kurabiliriz:
  • Kaynak kodlarından derleyerek.
  • Apt-get üzerinden kurabiliriz.
Kaynak kodlarından kurmak için aşağıdaki yol izlenebilir:
  • sudo apt install build-essential libtool-bin automake bison flex python libglib2.0-dev
  • wget http://lcamtuf.coredump.cx/afl/releases/afl-2.52b.tgz
  • tar -xvf afl-2.52b.tgz
  • make && make install
  • Eğer QEMU modunu da kullanmak istiyorsanız:
    • cd qemu_mode
    • ./build_qemu_support.sh
Apt-get üzerinden kurulmak istenirse “sudo apt-get install afl” komutu yeterli olacaktır.

Kullanımı

İnternet üzerinde basit programlar üzerinde kullanışıyla ilgili çok fazla kaynak var. Ben bu yazıda biraz daha farklı bir örnek üzerinden ilerlemek istiyorum. Rode0day[3] isimli bug bulma yarışmasından bir dataset üzerinde ilerlemek istiyorum. Rode0day Northeastern, New York ve MIT üniversitelerinin düzenlediği bir yarışma. Belirli periyodlarla LAVA[4] (Large-scale Automated Vulnerability Addition) ile bug enjekte edilmiş uygulamaları paylaşarak bunlarda bug arayıp puan kazandığımız bir yarışma. Yani içerisinde bug olduğunu biliyoruz fakat nerede ve hangi inputla açığa çıktığını bulmak ise fuzzing işlemine düşüyor.
wget https://rode0day.mit.edu/static/archive/18.09.tar.gzkomutuyla dataset’i indiriyoruz.
tar -xvf 18.09.tar.gz” komutuyla dataseti çıkartıyoruz.
Bu dataset içerisinde fuzz etmek istediğim program download/jpegs dizininde bulunan uygulama. Kaynak kodu’da olduğu için derleyip hemen başlayalım.
CC=afl-gcc ./build.sh” komutuyla derliyoruz. afl-gcc ile derlememizin sebebi afl’in derlerken kendi işini kolaylaştıran fonksiyonları yerleştirerek fuzzing’i daha kolay yapmak.

 
Bunu daha iyi görebilmek için derlediğimiz dosyayı IDA ile açıp içerisine bakalım.




Elimizde artık fuzz edebileceğimiz bir dosya var. Fuzzingi daha iyi yapabilmek için güzel bir girdi setine (corpus) ihtiyacımız var. Fuzz edeceğimiz dosyayla ilgili hiçbir şey bilmediğimizi düşünerek dosyayı çalıştırıyoruz. Bizden .jpg uzantılı bir dosya istediğini görüp ona göre input setimizi oluşturmaya başlıyoruz.

 
Bulunduğumuz dizinin altında bulunan inputs klasöründe 2 tane .jpg uzantılı dosya var. Bunlarıda kullanabilriz fakat biraz daha dosya kullanmamız daha iyi olabilir. Girdilerimizi indirip kopyalıyoruz. Girdilerimizi optimum hale getirmek için afl-cmin komutunu kullanacağız. Bu komutla girdilerimizi optimize edeceğiz.
Afl-cmin -i inputs -o min-out rebuilt/bin/memdjpeg @@” komutunu çalıştırıyoruz. Bu komutta -i girdilerin bulunduğu klasör -o komutun çıktılarının yazılacağı klasörü göstermek için kullanılıyor. En ondaki @@ ise argümanı dosyadan aldığını belirtiyor.
Spesifik input için kullanılan afl-tmin komutuyla da bir tane dosyayı minimal hale getirmeye çalışalım. afl-tmin komutu tek bir dosyay uygulanabilir. afl-cmin gibi bir dizine uygulanamaz. Basit bir döngüyle bütün klasördeki dosyaları kapsar hale getirebilirsiniz.




Fuzzinge başlamadan önce “echo core >/proc/sys/kernel/core_pattern” komutunu root olarak çalıştırarak afl’in programda hata aldığımız inputları yanlış anlamasını sağlıyoruz. Girdilerimiz hazır olduğuna göre afl’i çalıştırıp fuzzing işlemine başlamanın sırası geldi.
afl-fuzz -i min-out/ -o out -M fuzzer-master -- rebuilt/bin/memdjpeg @@”
Komutu açıklayalım:
  • -i girdileri alacağımız dizin
  • -o afl-fuzz’ın çıktılarını yazacağı dizin
  • -M/S bu parametrelerle paralel bir şekilde fuzzing yapabiliyoruz. Master node oluşturacağımız zaman -M slave node oluşturacağımız zaman -S parametresini kullanıyoruz. Parametre olarak verdiğimiz değer ise node’un ismi oluyor.
  • --’dan sonraki bölümde ise programın nasıl çalıştığını yazıyoruz.



Eğer birden fazla çekirdeğe sahipseniz paralel olarak afl’i çalıştırabiliyorsunuz. Kaç çekirdeğin müsait olduğunu afl-gotcpu komutuyla öğrenebiliriz.



Master node hala çalıştığı için 5 çekirdekten 4ü kullanılabilir gözüküyor. O zaman ilk slave’i oluşturalım.
afl-fuzz -i min-out/ -o out -S fuzzer-slave-1 -- rebuilt/bin/memdjpeg @@”



 
Afl’in bütün bulgularını görmek için out klasörüne gidiyoruz. Bu klasörde crashes, hangs ve queue adında 3 tane dizin var.
  • Crashes: Herhangi bir hata alınan girdiler.
  • Hangs: Programın timeout vermesini sağlayan girdiler.
  • Queue: Programa verilecek olan girdiler.
Crashes dizini bizim için önemli çünkü buradakilerle beraber program’dan hata alıyoruz.

Bu girdiyle aldığımız sonucun sömürülebilir olup olmadığını görmek için exploitable[5] adında bir gdb plugini kullanacağım. Exploitable eklentisini github üzerinden indirebilirsiniz. Gdb ile programı çalıştırıp Segmentation fault aldıktan sonra aşağıdaki gibi kullanabilirsiniz. Burada da gördüğümüz gibi bu girdiyi kullanarak programı exploit etme ihtimalimiz var.

 

Sonuç

Bu yazımızda fuzzing ve afl hakkında bilgi vermek istedim. Yazının içeriğinde fuzzing hakkında genel bilgi, american fuzzy lop’un ne olduğunu, kurulumunu ve nasıl kullanıldığını anlatmaya çalıştım.

Kaynaklar

  1. Fuzzing: https://en.wikipedia.org/wiki/Fuzzing
  2. american fuzzy lop (2.52b): http://lcamtuf.coredump.cx/afl/
  3. Rode0Day: https://rode0day.mit.edu
  4. LAVA: Large-scale Automated Vulnerability Addition: https://rode0day.mit.edu/static/lava.pdf
  5. GDB 'exploitable' plugin: https://github.com/jfoote/exploitable 
CT-Zer0

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

Resim
İlkini 26 Mayıs - 1 Haziran 2016 tarihleri arasında gerçekleştirmiş olduğumuz ve bundan sonraki stajyer alım süreçlerinde de devamlı gerçekleştirmeyi düşündüğümüz CTF (Capture The Flag) yarışmamızda sorulan sorular ve çözümleri için izlenebilecek adımlar aşağıda verilmiştir. 1. Verilen soruda "Her görünenin ardında gizli bir şeyler vardır." ile olayın sadece bir resimden ibaret olmadığı ve bir şeylerin gizlendiği/gizlenebileceği anlatılmaya çalışılmıştır. Burada da ilk olarak data gizleme/saklama bilimi olan Steganografi'nin akıllara gelmesi gerekmekteydi. Steganografi ile ilgili ayrıntılı bilgi için bkz . Resim dosyalarına farklı yöntemler ile data saklanabilmektedir. Popüler olarak kullanılan Steghide aracıyla, graph-theoretic yaklaşımıyla veri saklama işlemi yapılabilir. Soruda verilen resim aşağıdaki gibidir. Steghide ile resim içerisindeki datayı çıkartmayı denediğimiz zaman parola soracaktır. Brute force ile doğru parolayı bulmanız gerekmekte,
Devamını okuyun

B*-Tree (BTree, BPlusTree) Veri Yapısı ile Veri İndeksleme

Resim
Veri indeksleme Veri asıl kaynağına yazılırken bir format takip edilir. Bu formata göre, bazı sorgulamaların yapılması çok zaman almaktadır. Bazen tüm verinin taranması gerekebilir. Veriye erişimi hızlandırmak için, asıl veriye ek olarak, farklı biçimlerde tekrar bilgi yazılması gerekmektedir. Farklı biçimlerde verinin tekrar yazılması işlemi "indeksleme" olarak adlandırılmaktadır. İndeksleme yaklaşımında, indekslenecek anahtar veri ve asıl veriye referans bulunmaktadır. ( <Key,Pointer> ) Asıl veri değiştiğinde, indeks verilerinin de güncellenmesi gerekir. Bu yazımızda; önemli indeksleme tekniklerinden olan BTree ve BPlusTree veri yapılarının özellikleri hakkında bilgi verilecektir. BPlusTree, ilişkisel veritabanlarında en çok kullanılan ağaç veri yapısıdır. BTree Veri yapısı BTree, ağaç şeklinde dinamik bir veri yapısıdır. Nodlar ve nod içindeki sıralı elemanlardan oluşur. Kök noddan başlayarak; her bir elemanın küçük değerleri, sola doğru, büyük değerleri is
Devamını okuyun

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

Resim
2. si düzenlenen CRYPTTECH Stajyer CTF'inde sorulan soruların çözümlerinden önce yarışma içeriğine dair birkaç istatistik ile başlangıcı yapalım. CTF ‘17’de sorduğumuz soruların genel görüntüsü aşağıdaki gibidir. Flag formatıyla beraber toplamda 16 soru sorulmuştur. 75 kayıtlı kullanıcının olduğu CTF’te aktif 42 katılım olmuştur. Sorulara göz attıktan sonra korkup kaçanların sayısını bilemiyoruz. 2000 ’e yakın cevabın girildiği sistemde; 213 doğru cevap, 1682 yanlış cevap girilmiştir.   Sorulara verilen cevapların dağılımı aşağıdaki gibi olmuştur; CEVAPLAR Soru 1: Başlangıç olarak sonraki sorularda verilecek cevapların formatının nasıl olması gerektiğini belirten format üzerine kurulu bir sorumuz vardı; Bu soruya inatla yanlış cevaplar veren ve cevap soruda yazmasına rağmen ipucu isteyip 7 puanını kaptıran arkadaşlara selam olsun. Cevap 1: CT_{flag} Soru 2: Sorudan anlaşılması beklenen, verilen klasördeki 66 resim içerisinden aynı hash (heş) değerine s
Devamını okuyun