• Home

  • Documents

  • Fuzzing fur Anf anger - int21.de · Strings C Fuzzing Sonstiges Schluss URLs "Opfer"...
21
Strings C Fuzzing Sonstiges Schluss URLs ”Opfer” Fuzzing f¨ ur Anf¨ anger Hanno B¨ ock 1 / 21

Fuzzing fur Anf anger - int21.de · Strings C Fuzzing Sonstiges Schluss URLs "Opfer" Spaˇ mit binutils Spaˇ mit binutils Was viele nicht wissen: strings parst executables mit libbfd

  • Upload
    lelien

  • View
    221

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Fuzzing fur Anf anger - int21.de · Strings C Fuzzing Sonstiges Schluss URLs "Opfer" Spaˇ mit binutils Spaˇ mit binutils Was viele nicht wissen: strings parst executables mit libbfd

StringsC

FuzzingSonstiges

SchlussURLs

”Opfer”

Fuzzing fur Anfanger

Hanno Bock

1 / 21

Page 2: Fuzzing fur Anf anger - int21.de · Strings C Fuzzing Sonstiges Schluss URLs "Opfer" Spaˇ mit binutils Spaˇ mit binutils Was viele nicht wissen: strings parst executables mit libbfd

StringsC

FuzzingSonstiges

SchlussURLs

”Opfer”

Spaß mit binutils

Strings

2 / 21

Page 3: Fuzzing fur Anf anger - int21.de · Strings C Fuzzing Sonstiges Schluss URLs "Opfer" Spaˇ mit binutils Spaˇ mit binutils Was viele nicht wissen: strings parst executables mit libbfd

StringsC

FuzzingSonstiges

SchlussURLs

”Opfer”

Spaß mit binutils

Spaß mit binutils

Was viele nicht wissen: strings parst executables mit libbfd(binutils) und gibt deren Struktur aus

87 Parser-Bugs in libbfd (objdump, nm, strings) - bisher keinEnde in Sicht

CVE-2014-8484, CVE-2014-8485, CVE-2014-8501,CVE-2014-8502, CVE-2014-8503, CVE-2014-8504

https://sourceware.org/bugzilla/show_bug.cgi?id=17510

https://sourceware.org/bugzilla/show_bug.cgi?id=17512

https://sourceware.org/bugzilla/show_bug.cgi?id=17533

3 / 21

https://sourceware.org/bugzilla/show_bug.cgi?id=17510
https://sourceware.org/bugzilla/show_bug.cgi?id=17512
https://sourceware.org/bugzilla/show_bug.cgi?id=17533
Page 4: Fuzzing fur Anf anger - int21.de · Strings C Fuzzing Sonstiges Schluss URLs "Opfer" Spaˇ mit binutils Spaˇ mit binutils Was viele nicht wissen: strings parst executables mit libbfd

StringsC

FuzzingSonstiges

SchlussURLs

”Opfer”

C Memory Bugs

Buffer Overflow, Stack Overflow, Heap Overflow,Use-after-Free, Out-of-bounds, Memory Corruption, Off-by-1,...

Zusammengefasst: Software liest oder schreibt an der falschenStelle

Viele Sicherheitslucken sind Fehler im C-Speichermanagement

4 / 21

Page 5: Fuzzing fur Anf anger - int21.de · Strings C Fuzzing Sonstiges Schluss URLs "Opfer" Spaˇ mit binutils Spaˇ mit binutils Was viele nicht wissen: strings parst executables mit libbfd

StringsC

FuzzingSonstiges

SchlussURLs

”Opfer”

Beispiel OOB-Error in C

i n t main ( ) {i n t i [ 3 ] = {3 , 1 , 2} ;p r i n t f (”% i \n ” , i [ 3 ] ) ;

}

5 / 21

Page 6: Fuzzing fur Anf anger - int21.de · Strings C Fuzzing Sonstiges Schluss URLs "Opfer" Spaˇ mit binutils Spaˇ mit binutils Was viele nicht wissen: strings parst executables mit libbfd

StringsC

FuzzingSonstiges

SchlussURLs

”Opfer”

C abschaffen?

Losung: Wir schreiben alles (also wirklich *alles*) neu in einerProgrammiersprache mit besserer Speicherverwaltung (Lisp,OCaml, Go, Rust, Python, Erlang, Dylan, Haskell, F#, Ada,...)

6 / 21

Page 7: Fuzzing fur Anf anger - int21.de · Strings C Fuzzing Sonstiges Schluss URLs "Opfer" Spaˇ mit binutils Spaˇ mit binutils Was viele nicht wissen: strings parst executables mit libbfd

StringsC

FuzzingSonstiges

SchlussURLs

”Opfer”

C Realitatscheck

Alle relevanten Betriebssysteme und alle Browser sind inC/C++ geschrieben

Und noch viel mehr

Projekte die wirklich versuchen relevante Core-Projekte insicheren Sprachen neu zu schreiben sind rar (Interessant, aberexperimentell: miTLS)

7 / 21

Page 8: Fuzzing fur Anf anger - int21.de · Strings C Fuzzing Sonstiges Schluss URLs "Opfer" Spaˇ mit binutils Spaˇ mit binutils Was viele nicht wissen: strings parst executables mit libbfd

StringsC

FuzzingSonstiges

SchlussURLs

”Opfer”

C sicher machen

Mitigation: Stack Protector, Stack Canary, ASLR, FortifySource, Pax, NX pages, Address Sanitizer, Softbound+CETS,...

Prinzipiell gut, aber alle Ansatze sind entweder unvollstandigoder nicht praktisch einsetzbar

8 / 21

Page 9: Fuzzing fur Anf anger - int21.de · Strings C Fuzzing Sonstiges Schluss URLs "Opfer" Spaˇ mit binutils Spaˇ mit binutils Was viele nicht wissen: strings parst executables mit libbfd

StringsC

FuzzingSonstiges

SchlussURLs

”Opfer”

zzufValgrindAddress Sanitizer

Fuzzing

Die Idee: Wir erstellen massenhaft fehlerhafte Eingabedatenund schauen was passiert (Crash, Hang)

Crash bei fehlerhaften Daten ist oft Hinweis auf eineSicherheitslucke

Man kann dabei viele fortgeschrittene Methoden verwenden,aber die lassen wir beiseite, Denn die allereinfachsten genugenbereits

9 / 21

Page 10: Fuzzing fur Anf anger - int21.de · Strings C Fuzzing Sonstiges Schluss URLs "Opfer" Spaˇ mit binutils Spaˇ mit binutils Was viele nicht wissen: strings parst executables mit libbfd

StringsC

FuzzingSonstiges

SchlussURLs

”Opfer”

zzufValgrindAddress Sanitizer

Geeignete Ziele

Gut Fuzzen lassen sich Tools die komplexe Binarformateparsen (Bilder, Packer, Executables, ...)

Je mehr exotische Formate desto besser

10 / 21

Page 11: Fuzzing fur Anf anger - int21.de · Strings C Fuzzing Sonstiges Schluss URLs "Opfer" Spaˇ mit binutils Spaˇ mit binutils Was viele nicht wissen: strings parst executables mit libbfd

StringsC

FuzzingSonstiges

SchlussURLs

”Opfer”

zzufValgrindAddress Sanitizer

Die simpelste Idee

/dev/urandom ?

Manchmal reicht das bereits

(zugehoriger Bug ist an die Entwickler gemeldet, aber nochnicht offentlich)

11 / 21

Page 12: Fuzzing fur Anf anger - int21.de · Strings C Fuzzing Sonstiges Schluss URLs "Opfer" Spaˇ mit binutils Spaˇ mit binutils Was viele nicht wissen: strings parst executables mit libbfd

StringsC

FuzzingSonstiges

SchlussURLs

”Opfer”

zzufValgrindAddress Sanitizer

zzuf

Wir besorgen ein paar Dateien (input.*) und erstellen unsdefekte Samples:

f o r f i n i n p u t . ∗ ; do f o r i i n {1 0 0 0 . . 3 0 0 0} ;do z z u f −s $ i < $ f > $ i−$ f ; done ; done

Wir testen unsere Samples:

e x p o r t LC ALL=C ; f o r f i n ∗ ; do t i m e o u t 2[ p a t h t o t o o l ] $ f ; echo $ f ; done &>f u z z l o g

grep -B1 ”Segmentation fault” fuzzlog

(man kann zzuf direkt Programm testen lassen, macht abermit Address Sanitizer Probleme)

12 / 21

Page 13: Fuzzing fur Anf anger - int21.de · Strings C Fuzzing Sonstiges Schluss URLs "Opfer" Spaˇ mit binutils Spaˇ mit binutils Was viele nicht wissen: strings parst executables mit libbfd

StringsC

FuzzingSonstiges

SchlussURLs

”Opfer”

zzufValgrindAddress Sanitizer

Analyse: Valgrind

v a l g r i n d [ p a t h t o t o o l ] [ c r a s h s a m p l e ]

valgrind ist langsam, aber grundlich.

Ausgabe relativ gut verstandlich, besser bei Programmen mitDebugging-Infos (CFLAGS=”-g”).

13 / 21

Page 14: Fuzzing fur Anf anger - int21.de · Strings C Fuzzing Sonstiges Schluss URLs "Opfer" Spaˇ mit binutils Spaˇ mit binutils Was viele nicht wissen: strings parst executables mit libbfd

StringsC

FuzzingSonstiges

SchlussURLs

”Opfer”

zzufValgrindAddress Sanitizer

Address Sanitizer

Bisherige Methode bereits oft erfolgreich, aber es geht nochviel besser

Was passiert eigentlich bei unserem Beispielprogramm? Esliest einfach aus dem falschen Speicherbereich - kein Crash!

Address Sanitizer (asan) fuhrt zusatzliche Bounds-Checks beigcc/llvm ein - Programm etwa doppelt so langsam

14 / 21

Page 15: Fuzzing fur Anf anger - int21.de · Strings C Fuzzing Sonstiges Schluss URLs "Opfer" Spaˇ mit binutils Spaˇ mit binutils Was viele nicht wissen: strings parst executables mit libbfd

StringsC

FuzzingSonstiges

SchlussURLs

”Opfer”

zzufValgrindAddress Sanitizer

Address Sanitizer

. / c o n f i g u r e −−d i s a b l e−s h a r e d CFLAGS=”−f s a n i t i z e=a d d r e s s −g” LDFLAGS=”−f s a n i t i z e=a d d r e s s −g ” ; make

Skript zum Output decodieren (scheinbar bei gcc 4.9 nichtmehr notig): http://llvm.org/klaus/compiler-rt/raw/

release_35/lib/asan/scripts/asan_symbolize.py

Beachten: grep nach ”AddressSanitizer” statt ”Segmentationfault”

AddressSanitizer vertragt sich nicht immer mit anderen Tools,bspw. valgrind, zzuf (Direktaufruf)

15 / 21

http://llvm.org/klaus/compiler-rt/raw/release_35/lib/asan/scripts/asan_symbolize.py
http://llvm.org/klaus/compiler-rt/raw/release_35/lib/asan/scripts/asan_symbolize.py
Page 16: Fuzzing fur Anf anger - int21.de · Strings C Fuzzing Sonstiges Schluss URLs "Opfer" Spaˇ mit binutils Spaˇ mit binutils Was viele nicht wissen: strings parst executables mit libbfd

StringsC

FuzzingSonstiges

SchlussURLs

”Opfer”

Bewertung von Bugs

Faustregel 1: Schreibzugriffe sind problematischer alsLesezugriffe (Es gibt Ausnahmen: Heartbleed)

Faustregel 2: Es ist oft einfacher Bugs zu finden und zu fixenals herauszufinden ob sie exploitbar sind

”All bugs should be fixed” - Diskussionen daruber wie kritischBugs sind im Zweifel sparen

16 / 21

Page 17: Fuzzing fur Anf anger - int21.de · Strings C Fuzzing Sonstiges Schluss URLs "Opfer" Spaˇ mit binutils Spaˇ mit binutils Was viele nicht wissen: strings parst executables mit libbfd

StringsC

FuzzingSonstiges

SchlussURLs

”Opfer”

american fuzzy lop

Versucht hohe Abdeckung von Codepfaden zu erreichen

Recompile mit eigenem Compiler-Wrapper notig, scheitertmanchmal und erfordert manuelle Anpassungen, nicht ganzausgereift

Nice: Gruppiert Crash-Samples gleich nach vermutlichidentischen Bugs

17 / 21

Page 18: Fuzzing fur Anf anger - int21.de · Strings C Fuzzing Sonstiges Schluss URLs "Opfer" Spaˇ mit binutils Spaˇ mit binutils Was viele nicht wissen: strings parst executables mit libbfd

StringsC

FuzzingSonstiges

SchlussURLs

”Opfer”

Was noch?

Checksummen konnen Fuzzing verhindern - rauspatchen oderneu berechnen (umstandlich)

Naturlich kann man auch andere Eingaben (Netzwerk, USB)fuzzen, aber komplizierter

Gezielt bestimmte Felder in Dateiformaten fuzzen, bspw. mitExtremwerten (0, 0xffff...), erfordert angepassten Fuzzer proDateiformat, umstandlich

Es ist oft eine gute Idee die Crash-Samples von einem Toolmit einem anderen Tool zu testen

32 vs. 64 Bit - 32 Bit findet oft mehr Probleme

18 / 21

Page 19: Fuzzing fur Anf anger - int21.de · Strings C Fuzzing Sonstiges Schluss URLs "Opfer" Spaˇ mit binutils Spaˇ mit binutils Was viele nicht wissen: strings parst executables mit libbfd

StringsC

FuzzingSonstiges

SchlussURLs

”Opfer”

Ziel

Ziel: In einem Standard-Linux-System sollten sich mittrivialem Fuzzing keine Speicherzugriffsfehler mehr findenlassen.

Mitstreiter gesucht!

19 / 21

Page 20: Fuzzing fur Anf anger - int21.de · Strings C Fuzzing Sonstiges Schluss URLs "Opfer" Spaˇ mit binutils Spaˇ mit binutils Was viele nicht wissen: strings parst executables mit libbfd

StringsC

FuzzingSonstiges

SchlussURLs

”Opfer”

URLs

http://libcaca.zoy.org/wiki/zzuf/

https://code.google.com/p/american-fuzzy-lop/

https://code.google.com/p/address-sanitizer/

20 / 21

http://libcaca.zoy.org/wiki/zzuf/
https://code.google.com/p/american-fuzzy-lop/
https://code.google.com/p/address-sanitizer/
Page 21: Fuzzing fur Anf anger - int21.de · Strings C Fuzzing Sonstiges Schluss URLs "Opfer" Spaˇ mit binutils Spaˇ mit binutils Was viele nicht wissen: strings parst executables mit libbfd

StringsC

FuzzingSonstiges

SchlussURLs

”Opfer”

”Opfer”

ImageMagick CVE-2014-8354, CVE-2014-8355, CVE-2014-8562

gdk-pixbuf / claws-mailhttps://bugzilla.gnome.org/show_bug.cgi?id=739785

GraphicsMagick http://sourceforge.net/p/graphicsmagick/

code/ci/37ab9576dbdfeecd8bbc0a312a49b362846016c1/

GIMP https://bugzilla.gnome.org/show_bug.cgi?id=739133

https://bugzilla.gnome.org/show_bug.cgi?id=739134

elfutils https://lists.fedorahosted.org/pipermail/

elfutils-devel/2014-October/004215.html

More (or less) to come

21 / 21

https://bugzilla.gnome.org/show_bug.cgi?id=739785
http://sourceforge.net/p/graphicsmagick/code/ci/37ab9576dbdfeecd8bbc0a312a49b362846016c1/
http://sourceforge.net/p/graphicsmagick/code/ci/37ab9576dbdfeecd8bbc0a312a49b362846016c1/
https://bugzilla.gnome.org/show_bug.cgi?id=739133
https://bugzilla.gnome.org/show_bug.cgi?id=739134
https://lists.fedorahosted.org/pipermail/elfutils-devel/2014-October/004215.html
https://lists.fedorahosted.org/pipermail/elfutils-devel/2014-October/004215.html

Fuzzing Frameworks - Exploit€¦ · Fuzzing Frameworks . Pedram Amini Introduction . There are a number of available specialized fuzzing utilities which

Fuzzing Frameworks - Exploit€¦ · Fuzzing Frameworks . Pedram Amini Introduction . There are a number of available specialized fuzzing utilities which

Documents
13 Fuzzing

13 Fuzzing

Documents
HTTP Fuzzing: Using JBroFuzz to fuzz the web away€¦ · OWASP Alabama Chapter Presentation Overview Fuzzing in general Fuzzing in the web world HTTP Fuzzing with JBrofuzz Other

HTTP Fuzzing: Using JBroFuzz to fuzz the web away€¦ · OWASP Alabama Chapter Presentation Overview Fuzzing in general Fuzzing in the web world HTTP Fuzzing with JBrofuzz Other

Documents
Introduction to Information Security · Introduction to Information Security Fuzzing 1. Today •Introduction to fuzzing •Fuzzing principles •Useful tools and leads. What is fuzzing?

Introduction to Information Security · Introduction to Information Security Fuzzing 1. Today •Introduction to fuzzing •Fuzzing principles •Useful tools and leads. What is fuzzing?

Documents
Fuzzing sucks!

Fuzzing sucks!

Technology
Introduction to Fuzzing

Introduction to Fuzzing

Documents
File Format Fuzzing in Android - DeepSec · Agenda 2 •File format fuzzing in Android •Fuzzing the Stagefright media framework •Fuzzing the Android application installer •Fuzzing

File Format Fuzzing in Android - DeepSec · Agenda 2 •File format fuzzing in Android •Fuzzing the Stagefright media framework •Fuzzing the Android application installer •Fuzzing

Documents
취약점 분석을 위한 퍼징(Fuzzing)codeengn.com/archive/Reverse Engineering/Fuzzing... ·  · 2014-12-08의되어 있지 않다. 영단어 “fuzzing”으로부터 애플리케이션에

취약점 분석을 위한 퍼징(Fuzzing)codeengn.com/archive/Reverse Engineering/Fuzzing... ·  · 2014-12-08의되어 있지 않다. 영단어 “fuzzing”으로부터 애플리케이션에

Documents
GNU binutils

GNU binutils

Documents
Fuzzing Frameworks, Fuzzing Languages?!

Fuzzing Frameworks, Fuzzing Languages?!

Documents
fuzzing protocol fuzzing model-based testing automated ...erikpoll/ufrj/4_SecurityTesting.pdf · Security Testing fuzzing protocol fuzzing model-based testing automated reverse engineering

fuzzing protocol fuzzing model-based testing automated ...erikpoll/ufrj/4_SecurityTesting.pdf · Security Testing fuzzing protocol fuzzing model-based testing automated reverse engineering

Documents
Inc0gnito fuzzing for_fun_sweetchip

Inc0gnito fuzzing for_fun_sweetchip

Software
From Blackbox Fuzzing to Whitebox Fuzzing towards Verificationsiy117527/sil765/readings/fuzzing testing.pdf · Page 1ISSTA’2010 July 2010 From Blackbox Fuzzing to Whitebox Fuzzing

From Blackbox Fuzzing to Whitebox Fuzzing towards Verificationsiy117527/sil765/readings/fuzzing testing.pdf · Page 1ISSTA’2010 July 2010 From Blackbox Fuzzing to Whitebox Fuzzing

Documents
Fuzzing Qa A.Komlev

Fuzzing Qa A.Komlev

Education
Fuzzing Frameworks

Fuzzing Frameworks

Documents
Realizing the Fuzzing Potential: Precision and Accuracy … · Fuzzing Specialist Codenomicon Realizing ... Realizing the Fuzzing Potential: Precision and Accuracy vs. Coverage

Realizing the Fuzzing Potential: Precision and Accuracy … · Fuzzing Specialist Codenomicon Realizing ... Realizing the Fuzzing Potential: Precision and Accuracy vs. Coverage

Documents
683 Slides Fuzzing

683 Slides Fuzzing

Documents
HIGH-DEF FUZZING - Ruxcon Fuzzing... · HIGH-DEF FUZZING EXPLORING VULNERABILITIES IN HDMI-CEC name = "Joshua Smith" job = "Senior Security Researcher"

HIGH-DEF FUZZING - Ruxcon Fuzzing... · HIGH-DEF FUZZING EXPLORING VULNERABILITIES IN HDMI-CEC name = "Joshua Smith" job = "Senior Security Researcher"

Documents
Security Testing esp. Fuzzing - E. Poll, - cs.ru.nl · Overview • Testing • Abuse cases & negative tests • Fuzzing –dumb fuzzing –generational aka grammar-based fuzzing

Security Testing esp. Fuzzing - E. Poll, - cs.ru.nl · Overview • Testing • Abuse cases & negative tests • Fuzzing –dumb fuzzing –generational aka grammar-based fuzzing

Documents
Using binutils, the Gnu Binary Utilities - MIT - Massachusetts

Using binutils, the Gnu Binary Utilities - MIT - Massachusetts

Documents
Fuzzing—orhowtohelpcomputerscopewiththeunexpected Fuzzing ...cdn.ttgtmedia.com/.../downloads/RHUL_Fuzzing_final.pdf · RoyalHollowaySeries Fuzzing—orhowtohelpcomputerscopewiththeunexpected

Fuzzing—orhowtohelpcomputerscopewiththeunexpected Fuzzing ...cdn.ttgtmedia.com/.../downloads/RHUL_Fuzzing_final.pdf · RoyalHollowaySeries Fuzzing—orhowtohelpcomputerscopewiththeunexpected

Documents
Security Testing esp. Fuzzing - cs.ru.nlcs.ru.nl/~erikpoll/ss/slides/12_Fuzzing.pdf · Overview • Testing • Abuse cases & negative tests • Fuzzing –dumb fuzzing –generational

Security Testing esp. Fuzzing - cs.ru.nlcs.ru.nl/~erikpoll/ss/slides/12_Fuzzing.pdf · Overview • Testing • Abuse cases & negative tests • Fuzzing –dumb fuzzing –generational

Documents
binutils (1)

binutils (1)

Documents
Gsm Fuzzing

Gsm Fuzzing

Documents
Finding security vulnerabilities with modern fuzzing …archive.hack.lu/2018/Slides_Fuzzing_Workshop_Hack.lu_v1...Definition of fuzzing (source Wikipedia): Fuzzing or fuzz testing

Finding security vulnerabilities with modern fuzzing …archive.hack.lu/2018/Slides_Fuzzing_Workshop_Hack.lu_v1...Definition of fuzzing (source Wikipedia): Fuzzing or fuzz testing

Documents
Fuzzing Sucks! - Introducing Sulley Fuzzing Framework

Fuzzing Sucks! - Introducing Sulley Fuzzing Framework

Documents
Full-speed Fuzzing: Reducing Fuzzing Overhead through

Full-speed Fuzzing: Reducing Fuzzing Overhead through

Documents
0knowledge Fuzzing Slides

0knowledge Fuzzing Slides

Documents
Smart COM Fuzzing they were for ActiveX fuzzing, not COM

Smart COM Fuzzing they were for ActiveX fuzzing, not COM

Documents
From Blackbox Fuzzing to Whitebox Fuzzing towards Verification · Page 1ISSTA’2010 July 2010 From Blackbox Fuzzing to Whitebox Fuzzing towards Verification Patrice Godefroid Microsoft

From Blackbox Fuzzing to Whitebox Fuzzing towards Verification · Page 1ISSTA’2010 July 2010 From Blackbox Fuzzing to Whitebox Fuzzing towards Verification Patrice Godefroid Microsoft

Documents