原创作者:walkerfuz
0×00 写在前面
欢迎来到《从零开始学Fuzzing系列》。
软件漏洞领域涉及漏洞分析和漏洞挖掘两个方向,目前安全站点关于各种漏洞分析的文章层出不穷,从2013年几天甚至几周才出来的分析文章,到现在几乎与漏洞预警同时发布的报告,也反映出这几年来漏洞分析技术的发展之迅速。
但不可否认的是,与之相辅相成的漏洞挖掘方向(目前大家普遍用的是Fuzzing,高校及实验室研究较多的是BitBlaze和S2E等二进制分析的高端玩意儿),虽然也出现了很多优秀的开源工具,但通俗易懂的学习资料,总感觉少了许多。
优秀的Peach Fuzzer几乎没有公开的Peach Pits,甚至连Pits的编写语法都需要去研究官网上苦涩的文档;优秀的Grinder,公开的Fuzzer模板只有nduja和fileja等少部分经典,针对最新浏览器的兼容性也或多或少有些问题。当然,瑕不掩瑜,这些工具都值得借鉴和学习。
通过这个专题,写写自己在漏洞Fuzzing方向的学习收获,希望能以一个初学者的力量,向国内的Hacker展示漏洞挖掘领域中Fuzzing方向的进展,彼此收获。
鉴于目前浏览器Fuzz的经久不衰,首先从这方面入手。此文是浏览器Fuzz的第一篇。
即将讲述的Morph框架是本文作者基于Puzzor大神《如何进行浏览器Fuzz》思路编写的一款轻量级浏览器Fuzz框架,以个人理解展开了原文中未深入讲述的样本生成、异常捕获、Crash重现等部分的具体实现。
Morph的核心思想是,利用基于预置Random数组的静态样本生成策略,初步解决了Grinder无法重现某些Crash的缺点(使用过Grinder的深有体会),并借鉴Grinder框架思想,将Fuzzer作为插件进行集成,使得Morph能够很好地支持现有的nduja、cross_fuzz等fuzz工具。
0×01 浏览器Fuzz需要考虑的问题
如何设计一个浏览器Fuzz工具呢?最简单的思路就是,随机生成很多html文档,让浏览器一个个去打开,当打开某个样本导致浏览器崩溃时,那么就可以认为挖到了一个Crash。如下图:
这个过程会涉及几个核心问题:
1.如何随机生成html文档 2.如何监控浏览器发生了Crash 3.如何记录导致浏览器Crash的那个样本
这三个问题的解决方式,代表着一款浏览器Fuzz框架的特点。下面详细叙述一下开发Morph过程中对这三个问题的理解与实现。
0×02 样本生成:如何随机生成html文档
样本生成的好坏,直接决定了该工具能否挖掘出有价值的漏洞。
目前纯Fuzz方法中,比较流行的就是根据目标文件格式生成针对性样本,效果也比较理想。以HTML文档为例,诞生过很多随机生成html/DOM元素的Browser Fuzzer。
曾经盛名一时的nduja,其大致思路就是,利用Javascript随机创建DOM元素、随机调用DOM处理函数、随机删除DOM元素等操作来完成每一次Fuzz的。该工具曾经找到了很多UAF类型的漏洞,可以说它是2012年前后浏览器漏洞挖掘的一个里程碑思想。
Nduja的主体是一个HTML文件模板,摘抄部分经典Javascript代码:
// 随机数 function rand( x ){ return Math.floor( Math.random() * x ); } //生成包含随机DOM元素的Range块 function createRange(){ range = document.createRange(); rstart = rand(document.all.length); range.setStart(document.all[rstart], 0); rend = rand(document.all.length); range.setEnd(document.all[rend], 0); return range; } //随机执行Range块处理函数 function alterRange(range){ try{ rb = rand(document.all.length); range_functions[rand(range_functions.length)](range, document.all[rb]); }catch(exception){ } } //支持的所有Range块处理函数 range_functions = [ function(range, elem){ range.deleteContents(); }, function(range, elem){ range.detach(); }, function(range, elem){ range.extractContents(); }, ...... ]; //Fuzz函数 function fuzz(){ ...... range1 = createRange(); alterRange(range1); ...... }
另外该fuzzer中还包括随机添加DOM事件addElementListener等方式,有兴趣的可以深入下载研究。
可以发现nduja采取的策略是,借助于rand随机函数,随机对DOM元素进行处理,以测试某些方式的DOM操作能否存在漏洞。
假设某次随机操作会导致浏览器产生Crash,那如何将这次的样本保存呢?不难理解,只要将本次rand函数生成的所有随机数全部保存下来即可。
著名的Grinder框架就是基于这种思路,采用DLL注入的方式,劫持了Javascript的parseFloat函数,用以记录某次样本需要记录的相关参数。比如上面的alterRange函数:
function alterRange(range){ try{ rb = rand(document.all.length); rx = rand(range_functions.length); range_functions[rx](range, document.all[rb]); logger.log('range_functions[‘+ rx +’](‘+ range +’, document.all[‘+ rb +’]);;','nduja',1); }catch(exception){ } } //备注:logger.log最终会调用Javascript的parseFloat函数
可以看出Grinder提供的logging.js可以直接记录某次执行过的所有Javascript语句,这样对样本重现和样本精简是非常有帮助的。当然,也可以选择直接记录rb、rx等随机值,只是后期的样本精简将会比较复杂。
所以,在nduja中添加适当的logger.log函数,即可在Grinder框架中进行Fuzz工作,原作者也是在这个框架下测试应用的。
Grinder的核心思想如下图:
从理论上来说,Grinder采取的方式比较完美,一方面解决了随机数的记录,一方面又能精简样本。但在实际使用Grinder过程中,为何出现无法重现部分漏洞的情况呢?仔细思考Grinder采用的DLL注入方式,可以发现有以下弊端:
1.并不能保证DLL注入能够成功。 必须有symbols文件,它才能正确找到parseFloat函数在浏览器进程的正确位置。而浏览器最新版本一般不提供symbols文件或发布symbols文件比较慢,这无疑限制了Grinder对最新浏览器的测试能力。
2.再者无法保证logger.log记录函数能够把所有的log信息都记录下来。 大部分编写Fuzzer插件的开发者并不能100%精确使用Grinder的logger记录每一条html的javascript语句,即使记录了所有语句,也无法保证Logger能够成功将所有语句写入到log文件而不受某次Fuzz的影响。
3.深层次考虑的话,也有可能是多个html共同导致了某个Crash。 而Grinder的logger日志只记录一个html中的执行的log信息,这显然是无法重现这类漏洞的。
这些都是Grinder的底层架构带来的种种不足。Grinder要实现的最终目的,就是把每次生成的所有random值或该Random值后执行的Javascript语句记录下来。从本质上看,只要记录下所有random值,那么这一次执行的样本也就能确定下来。
既然DLL注入这种“秋后算账”式记录方法总会导致不确定地丢失,那在每个html中提前生成一堆random值,让javascript去取怎么样?请看nduja中最初的random函数:
// 随机数 function rand( x ){ return Math.floor( Math.random() * x ); }
我们改写为如下模板方式:
var random_int_array = %RANDOM_INT_ARRAY% ; var array_index = 0 ; function rand( x ){ if(array_index >= %RANDOM_ARRAY_LENGTH%){ array_index = 0 ; } return random_int_array[array_index++] % x ; }
每次生成样本,采用Python脚本提前将模板中的%RANDOM_INT_ARRAY%替换为随机生成的数组:
var random_int_array = [5,100,45,67,88,9,101,34,25,……] ; var array_index = 0 ; function rand( x ){ if(array_index >= 500){ array_index = 0 ; } return random_int_array[array_index++] % x ; }
每个文档的末尾采用Window.location.href将多个样本链接起来以便能依次打开它们。整个html文档格式如下图所示:
其基本原理如下图所示:
这样就将原本动态记录
样本的方式变为静态生成样本的方式,完美解决了Grinder在样本恢复上的种种不足。当然,这样做也有一定的弊端,Crash样本没有精简,所有的Crash不同的只是array数组的不同,后续的漏洞分析将是一场噩梦。因此,在后续样本分析之前,还需要提前精简样本。
0×03异常监控:如何监控浏览器发生了Crash
在对浏览器的异常检测上,通常有Pydbg和Windbg等方式,可以说各有千秋吧。但pydbg对python3和x64系统软件支持都不是特别好,另外windbg具有很吸引人的!exploitable插件,虽然某些时候给出的结论并不准确,但不失为一种对漏洞可利用性做出预判的方法,故而在Morph的开发过程中,采用windbg作为异常监控器。
在Windows下某个进程崩溃时,通常会弹出WerFault.exe异常提示,可以根据进程列表中有无WerFault.exe作为监控浏览器是否发生Crash的依据。
更好的方法是,将Windbg的命令行版cdb.exe设置为默认即时调试器:
>cdb.exe -iaec "-y -logo c:/log.txt -c \"!load msec.dll;!exploitable -v;\""
参数解释:
-iae 将CDB安装为即时调试器,该参数不能和其他参数一起使用。该命令并不实际启动CDB。
-log{o|a} LogFile 将日志记录到日志文件中。如果指定文件已存在,使用-logo 时会被覆盖,使用-loga 时会将新内容添加到后面。
-c "command" 指定启动时运行的初始调试器命令。该命令必须用引号括起来,多条命令可以使用分号来分隔。
当系统某个进程出现异常时,会调用cdb.exe并执行!load msec.dll;!exploitable指令,判断该异常是否是可利用的,最终log信息会存放在log.txt文件中。
下面是Python脚本判断cdb.exe进程的核心代码:
def Watch(): config.MONITOR_RUNNING = True # 1.循环检测是否出现崩溃进程 monitor_crash_proc() if config.MONITOR_RUNNING is True: # 2.检测到异常后保存当前样本 save_crash_and_log () def monitor_crash_proc( ): while True: if LAST_COMPLETE_VECTOR >= (VECTORS_NUM-1): MONITOR_RUNNING = False if MONITOR_RUNNING is False or psutil.exist(‘cdb.exe’): return
利用Windbg的!exploitable插件得到的log信息大致如下:
Description: Read Access Violation near NULL Short Description: ReadAVNearNull Exploitability Classification: PROBABLY_NOT_EXPLOITABLE Recommended Bug Title: Read Access Violation near NULL starting at MSHTML!CDoc::AFunC+0x058a (Hash=0x5789fdff.0x12345d4e) This is a user mode read access violation near null, and is probably not exploitable.
可以提取出Short Description、Exploitability Classification、Hash等关键词作为Crash文件名。主要脚本如下:
def GetCrashHash(logPath): content = file.ReadFromFile(logPath) try: crash_exploitable = re.search("Explo..: \w+", content).group().replace("Exploitabi..: ", "", 1) crash_type = re.search("Short Description: \w+", content).group().replace("Short Description: ", "", 1) crash_hash = re.search("Hash=0x\w+\.0x\w+", content).group().replace("Hash=", "", 1) return ("%s_%s_%s" % (crash_exploitable, crash_type, crash_hash)) except: return False
分析得到的文件名如下:
PROBABLY_NOT_EXPLOITABLE_ ReadAVNearNull_0x5789fdff.0x12345d4e.html
其中Windbg中采用的!Exploitable插件最新版是v1.6.0。
0×04 样本保存:如何记录导致浏览器崩溃的那个样本
根据前面Random数组的方式,很容易生成很多静态html样本,在每个html结尾添加window.location.href指向下一个html文档。
假设生成了N个html文档,则打开第一个文档,浏览器即可依次执行序号为1,2,3,…N的html文档:
但这个过程中如果浏览器出现崩溃,却无法判断是这N个html中的哪一个导致的崩溃。这种情况该如何解决呢?
既然问题的关键在于,如何确定发生崩溃时正在执行的样本序号,那有没有一种方法可以让html文档在被打开时,直接告诉监控器自身的序号呢?
分析到这里,容易想到,可以让每个html文档执行fuzz函数之前,提前调用一个函数告诉监控器自身的序号,如果浏览器出现崩溃,监控器读取当前获得的序号即可。
在Javascript中可以向服务端发送消息并返回的手段包括XMLHttpRequest和WebSocket。鉴于HTML5是WEB前端的潮流,这里采用WebSocket方式。
在每个HTML文档Javascript中的Fuzz函数之前,添加一条WebSocket.Send语句,由网页自身发起Socket通信,告诉监控器的WebSocket Server端关于自身的序号。当该网页导致浏览器崩溃时,监控器很容易就能知道是哪个网页引起的了。
每个html网页模板添加WebSocket.Send后的格式类似于:
在编程实现上,为了保证漏洞重现时,减少对WebSocket的依赖,对html模板的顺序调整如下:
所有网页被浏览器打开后依次执行的原理如下图:
具体在html模板页面中JavaScript增加的代码如下:
function morph_fuzz(){ …… } function morph_notify_href(){ var socket ; socket = new WebSocket('ws://127.0.0.1:8080/'); socket.onopen = function(event) { socket.send('1'); } socket.onmessage = function(event) { window.location.href = 2.html'; } } function morph_main(){ morph_fuzz(); morph_notify_href(); } ...... <body onload="morph_main()"></body>
Server端负责记录最近被加载的html文档的序号:
def websocketHandle(websocket, path): while True: if not websocket.open: return msg = yield from websocket.recv() if msg is None: continue # 记录最近被加载的VECTOR样本序号 LAST_COMPLETE_VECTOR = int(msg) yield from websocket.send('RUN')
当监控器监控到浏览器进程出现崩溃时,可以断定LAST_COMPLETE_VECTOR+1即为导致崩溃的样本序号,将其对应的html文档保存即可:
def save_crash_and_log ( ): # 得到当前Crash序号 crash_num = config.LAST_COMPLETE_VECOTR + 1 …… # 保存当前样本和当前log file.SaveFileFromSrcToDst(vectorCrashPath, dstCrashPath) file.SaveFileFromSrcToDst(debuggerLogPath, dstLogPath) …… config.LAST_COMPLETE_VECOTR += 1
在保存该Crash样本后,LAST_COMPLETE_VECTOR自动+1,表示该样本已经被处理完成。
0×05 浏览器Fuzz需要注意的几个问题
在设计浏览器Fuzz框架过程中,会遇到很多看似很小但很重要的问题,下面列举和大家一起分享交流。
1.浏览器打开样本是采用file:///协议还是http://协议?
浏览器常用的是http和https协议,另外还支持file、data、gopher等协议。
在实际Fuzz中发现,部分网页使用http协议打开没事,但通过file协议打开就会导致Crash,猜测可能是由于file协议和http协议的权限不同造成的,也有可能是浏览器对file协议的解析不当(漏洞原因还未分析)。
目前在编程时,采用file协议打开样本,后续版本准备增加http等其它协议。
2.Firefox浏览器如何关闭Safemode安全模式?
默认情况下,采用第三方进程强制结束Firefox进程几次后,会弹出是否进入Firefox安全模式的提示,影响了正常Fuzz过程。需要在Firefox地址栏输入about:config,查找toolkit.startup.max_resumed_crashes,将其设置为-1即可关闭安全模式。
0×06 关于Morph框架的使用说明
上述就是Morph框架的核心思想,目前该工具仍在开发中,Github项目地址:
https://github.com/walkerfuz/morph
里面公开了nduja fuzzer插件,如果有兴趣的,可以根据Simple.html和nduja.html增加自定义插件。
关于Morph框架的安装和使用:
1. 安装Windbgx86 or Windbgx64。
下载MSECExtensions插件放在Windbg的winext文件夹,并打开Windbg测试load msec.dll是否成功,若出现Can't Load Library的错误,则需要安装Visual C++ Redistributable for Visual Studio 2008/2012。
注意:MSECExtensions1.6.0需要VC++2012运行时环境支持。
2. 将Windbg程序文件夹下的cdb.exe设置为默认JIT即时调试器:
>cdb.exe -iaec "-logo c:/log.txt -c \"!load msec.dll;!exploitable -v;\""
注意:c:/log.txt与config.py中的Debugger中的log参数必须一致
3. 如果Fuzz目标是Firefox,则需要关闭安全模式:
在firefox进入about:config找到toolkit.startup.max_resumed_crashes(默认是3),将其设置为-1即可。另外需要在Firefox选项–>隐私–>选择'不记录历史' 关闭Firefox的历史记录功能。
4.采用Windbg目录下自带的gflags.exe开启目标进程的页堆调试功能,比IE浏览器:
>gflags.exe /i iexplore.exe +hpa
5.下载Morph并配置Config.py中的默认参数。下面是几个比较常用的参数:
# configs which Can be modified MOR_FUZZERS_FOLDER = "fuzzer" MOR_CRASHES_FOLDER = "crash" MOR_VECTORS_FOLDER = "vector" MOR_FUZZER_SUFFIX = ".html" MOR_DBGLOG_SUFFIX = ".log" MOR_PRE_VECTORS_NUM = 50 MOR_RANDOM_ARRAY_LENGTH = 10000 MOR_MAX_RANDOM_NUMBER = 1000 MOR_WEBSOCKET_SERVER = "127.0.0.1:8080" MOR_BROWSERS = { "IE": { 'proc': 'iexplore.exe', 'args': "", 'fault': "WerFault.exe", 'path': "C:/Program Files/Internet Explorer/iexplore.exe", }, "FF": { 'proc': 'firefox.exe', 'args': "", 'fault': "WerFault.exe", 'path': "C:/Program Files (x86)/Mozilla Firefox/firefox.exe", }, "CM": { 'proc': 'chrome.exe', 'args': "--no-sandbox", 'fault': "WerFault.exe", 'path': "C:/Program Files (x86)/Google/Chrome/Application/chrome.exe", }, } MOR_DEBUGGER = { "Windows": { 'proc': "cdb.exe", 'args': "", 'path': "C:/Program Files (x86)/Debugging Tools for Windows (x86)/cdb.exe", 'log': "C:/log.txt", } }
请确保上述参数与实际环境对应起来。
6.运行:
morph.py --browser=IE --fuzzer=nduja.html
另附运行截图:
0×07 Fuzzer插件的开发方法
Morph采用插件式Fuzzer集成方法,目前提供了一个Simple.html模板和改进的nduja.html模板,请从Morph/Fuzzer目录中查看源代码,其中Simple.html如下:
<!DOCTYPE html> <html> <head> <title>Morph Simple Fuzzer</title> <script type='text/javascript'> var random_int_array = %MOR_RANDOM_INT_ARRAY% ; var array_index = 0 ; // Pick a random number between 0 and X function morph_rand( x ){ if(array_index >= %MOR_RANDOM_ARRAY_LENGTH%){ array_index = 0 ; } return random_int_array[array_index++] % x ; } function rand_item( arr ){ return arr[morph_rand(arr.length)]; } elements = [ "a","abbr","input","ins","isindex","b","base","basefont","bdi","bdo","big","blockquote","body","br","button", "canvas","caption","center","cite","code","col","colgroup","command", "datalist","dd","del","details","dir","div","dfn","dialog","dl","dt", "h1","h2","h3","h4","h5","h6","head","header","hr","html",]; MAX_ELEMENT_NUM = 200; function morph_fuzz(){ elementTree = []; for(k=0;k<morph_rand(MAX_ELEMENT_NUM);k++){ r = rand_item(elements); elementTree[k] = document.createElement(r); elementTree[k].id = "Element" + k; rb = morph_rand(document.all.length); document.all[rb].appendChild(elementTree[k]); } } function morph_notify_href(){ var socket ; socket = new WebSocket('ws://%MOR_WEBSOCKET_SERVER%/'); socket.onopen = function(event) { socket.send('%MOR_CURRENT_HREF%'); } socket.onmessage = function(event) { window.location.href = '%MOR_NEXT_HREF%'; } } function morph_main(){ morph_fuzz(); morph_notify_href(); } </script> </head> <body onload="morph_main()"> </body> </html>
在每次生成静态样本时,利用Python脚本,将%MOR_RANDOM_INT_ARRAY%、%MOR_RANDOM_ARRAY_LENGTH%替换为random数组,将%MOR_WEBSOCKET_SERVER%替换为config.py中设置的WebSocket服务器,将%MOR_CURRENT_HREF%和%MOR_NEXT_HREF%替换为前后连续的两个序号。
只要按照上面的插件编写逻辑,即可轻松实现Fuzzer插件的开发,有兴趣的童鞋可以将网上公开的fileja、cross_fuzz改写为Morph的插件,仍旧会发现很多漏洞滴。
0×08 总结
虽然目前纯粹做Fuzz已经不适应最新技术潮流了,但开发Morph时也学到了很多东西,同时对Fuzz的核心有了更深入的理解。
Morph在Fuzz效率(生成所有样本文件太耗时)和针对Linux、Andriod等兼容上还需要完善,自定义插件只编写了nduja,后面也会陆续发布比较经典的其它几种插件,让我们一起期待morph v0.3吧!
*原创作者:walkerfuz,本文属FreeBuf黑客与极客(FreeBuf.COM)原创文章奖励计划,未经允许禁止转载