BooFuzz模糊测试

一、背景：

　　对于物联网设备，比如家用路由器模块，UPNP、HTTP server、Telnet都是经常接触的模块，通常也能够与外界交互，从而提供了入口。如果这些模块或者使用的协议存在漏洞，往往能够直接利用，到达远程攻击的效果。针对IoT设备的模糊测试，本文介绍BooFuzz。

　　对物联网设备的协议fuzz测试，不可丢失的一环是监控器，能够发现bug是监控器作用所在。一般来说，大多数针对协议的fuzz测试，在每次发送变异报文后，通过ping或者其他协议检测对方是否在线从而判断设备是否出现异常。这种方法较为简单，但是粗粒度的监控器带来的后果是比较高的误报率；另一种方式是ssh或者telnet登录设备，实时观察当前设备的状态，这种方式优点是随时捕捉异常信号，缺点是，针对不同设备可能要开发不同的监控API。所以当前诸多的协议Fuzz工具，大部分使用第一种，即通过目标设备是否可达来判断崩溃情况。

二、BooFuzz框架介绍：

1、四大组件：

a) Data Generation 数据生成

b) Session 会话管理

c) Agents代理

d) Utilities独立单元工具

其中，数据生成和会话管理是比较重要的两个模块。数据生成方式是基于generation-based的方式，需要对协议或者文件进行建模，数据生成的特点：

== 一个数据报文由基元(Primitives)、块(Blocks)组成

== 多个基于可以组成块，块可以相互嵌套

== 在基元的基础上我们可以创建自定义的特殊的负责基元(Legos，数据积木)，例如Email的地址，IP地址等。

== 最后还有一些有用的工具，例如算length长度、校验和、加密模块等

会话模块，根据已经构建好的Request，利用pgraph绘制：

在上图中，节点ehlo、helo、mail from、rcpt to、data表示5个请求，路径'ehlo'->'mail form'->'rcpt to'->'data'和'helo'->'mail from'->'rcpt to'->'data'体现了请求之间的先后顺序关系。callback_one()和callback_two()表示回调函数，当从节点echo移动到节点mail from时会触发该回调函数，利用这一机制，节点mail from可以获取节点ehlo中的一些信息。而pre_send()和post_send()则负责测试前的一些预处理工具和测试后的一些清理工作。每个节点连接起来，组成状态图，可以对图中的每个节点进行操作，也可以自定义callback回调函数。

2、BooFuzz API

Session对象是Fuzz测试的核心，当你创建Session的时候，你会传递一个Target对象，该对象本身接收一个Connection对象

session = Session(
         target = Target(
                 connection=SocketConnection("127.0.0.1", 8021, proto='tcp')))

准备好会话对象后，接下来需要在协议中定义消息。细节请参照静态协议定义功能定义协议：https://boofuzz.readthedocs.io/en/stable/user/static-protocol-definition.html#static-primitives 每一条消息均以一个s_initialize函数开头，比如fuzz FTP协议中的几个消息定义：

s_initialize("user")
s_string("USER")
s_delim(" ")
s_string("anonymous")
s_static("\r\n")

s_initialize("pass")
s_string("PASS")
s_delim(" ")
s_string("james")
s_static("\r\n")

s_initialize("stor")
s_string("STOR")
s_delim(" ")
s_string("AAAA")
s_static("\r\n")

s_initialize("retr")
s_string("RETR")
s_delim(" ")
s_string("AAAA")
s_static("\r\n")

定义消息后，将使用刚刚创建的Session对象将它们连接到图中：

session.connect(s_get("user"))
session.connect(s_get("user"), s_get("pass"))
session.connect(s_get("pass"), s_get("stor"))
session.connect(s_get("pass"), s_get("retr"))

之后，就可以进行fuzz测试了

session.fuzz()

每次运行的日志数据将保存在当前工作目录下boofuzz-results目录中的SQLite数据库中。可以随时通过以下任一方式在任何这些数据可上重新打开Web界面

boo open <run-*.db>

 3、Static Protocol Definition（静态协议定义）

Request是信息，Blocks是消息中的块，而Primitives是构成块/请求的元素(字节，字符串，数字，检验和等)。

Blocks将独立的primitives组建成有序的块。Groups中包含了一些特定的primitives,一个Group和一个Block结合后，每次fuzzer调用Block的时候，都会将Group中的数据循环的取出，组成不同的Block。

Group允许你连接一个块到指定的group原语，和一个组关联的block必须为每个组中的值循环穷尽该block的所有空间。组原语是非常有用的，s_group定义一个组，并接受两个必须的参数，第一个参数指定组名称，第二个参数指定一个需要迭代的原始值列表。

a) 请求操作

s_initialize(名称)

---初始化一个新的块请求。此调用后生成的所有块/原语都适用于指定的请求。使用s_switch()在工厂之间跳转。

参数：name(str) - 请求名称

s_get(名称=无)

---如果未指定名称，则返回具有指定名称的请求或当前请求。使用它可以从全局函数样式请求操作切换到直接对象操作。

s_num_mutations()

---确定我们将要进行的重复次数

返回类型：整数

s_switch(名称)

---将当前请求更改为"name"指定的请求。

参数： name(str) - 请求名称

b) 块操作

s_block ( name = None , group = None , encoder = None , dep = None , dep_value = None , dep_values = None , dep_compare = '==' )

在当前请求下打开一个新块。返回的实例支持"with"接口，因此它会自动为您关闭：

with s_block("header"):
    s_static("\x00\x01")
    if s_block_start("body"):
        ...

参数：

• name ( str , optional ) – 正在打开的块的名称

• group ( str , optional ) – (Optional, def=None) 与这个块相关联的组名

• 编码器（函数指针，可选）–（可选，def=None）指向函数的可选指针，在返回之前将呈现的数据传递给

• dep ( str , optional ) – (Optional, def=None) 可选原语，它的具体值取决于这个块

• dep_value ( Mixed , optional ) – (Optional, def=None) 字段“dep”必须包含的值才能渲染块

• dep_values（混合类型列表，可选）–（可选，def=None）字段“dep”可能包含用于渲染块的值

• dep_compare ( str , optional ) – (Optional, def="==") 依赖的比较方法 (==, !=, >, >=, <, <=)

s_block_start ( name = None , * args , ** kwargs )

在当前请求下打开一个新块。此例程始终返回一个实例，因此您可以通过缩进使模糊器变得漂亮：（更喜欢直接使用 s_block 而不是这个函数）

s_block_end (名称=无)

关闭最后打开的块。可选地指定要关闭的块的名称（纯粹出于美观目的）

参数：name(str) - (可选，def-None)要关闭的块的名称。

c) 原始定义：

s_binary ( value , name = None )

将可变格式的二进制字符串解析为静态值并将其压入当前块堆栈。

参数： 

• value ( str ) – 可变格式二进制字符串

• name ( str ) –（可选，def=None）指定名称可以让您直接访问原语

s_delim ( value = ' ' , fuzzable = True , name = None )

将分隔符推送到当前堆栈上。

参数：

• value ( Character ) – (可选，def="")原始值

• fuzzable ( bool ) –（可选，def=True）启用/禁用此原语的模糊测试

• name ( str ) –（可选，def=None）指定名称可以让您直接访问原语

s_group ( name = None , values = None , default_value = None )

这个原语代表一个静态值列表，在突变时逐步遍历每个值。您可以将一个块绑定到一个组原语，以指定该块应该循环遍历组内每个值的所有可能的突变。例如，组原语对于表示有效操作码列表很有用。

参数：

• name ( str ) –（可选，def=None）组名

• 值（列表或原始数据）–（可选，def=None）该组可以采用的可能原始值的列表。

• default_value ( str or bytes ) – (可选，def=None) fuzzing() 完成时指定一个值

s_static（值=无，名称=无）

将静态值推送到当前块堆栈上。

参数：

• value ( Raw ) – 原始静态数据

• name ( str ) –（可选，def=None）指定名称可以让您直接访问原语

s_string ( value = '' , size = None , padding = b'\x00' , encoding = 'ascii' , fuzzable = True , max_len = None , name = None )

将字符串压入当前堆栈。

参数：

• 值（str）–（可选，def =””）默认字符串值

• size ( int ) –（可选，def=None）此字段的静态大小，为动态保留 None 。

• 填充（字符）-（可选，def=”x00”）用作填充以填充静态字段大小的值。

• encoding ( str ) –（可选，def=”ascii”）字符串编码，例如： utf_16_le 用于 Microsoft Unicode。

• fuzzable ( bool ) –（可选，def=True）启用/禁用此原语的模糊测试

• max_len ( int ) –（可选，def=None）最大字符串长度

• name ( str ) –（可选，def=None）指定名称可以让您直接访问原语

 

 

 

 

 

例如下面是官网给出的http.py中的代码：

s_initialize("HTTP VERBS")
s_group("verbs", values=["GET", "HEAD", "POST", "TRACE", "PUT", "DELETE"]) 
if s_block_start("body", group="verbs"): 
    s_delim(" ") 
    s_delim("/") 
    s_string("index.html ") 
    s_delim(" ") 
    s_string("HTTP") 
    s_delim("/") 
    s_string("1") 
    s_delim(".") 
    s_string("1") 
 s_block_end()

模块常用语法：

s_initialize('grammar')    # 初始化块请求并命名
s_static("HELLO\r\n")     # 始终发送此消息
s_static("PROCESS")      # 在HELLO\r\n之后立即发送
s_delim("")                    # 使用s_delim()原语代替分隔符
s_string("AAAA")            # 这是我们的fuzz字符串
s_static("\r\n")               # 告诉服务器"done"

Connections

target = sessions.target("10.0.0.1", 5168)
target.netmon = pedrpc.client("10.0.0.1", 26001)
target.procmon = pedrpc.client("10.0.0.1", 26002)
target.vmcontrol = pedrpc.client("127.0.0.1", 26003)
target.procmon_options = \
{
"proc_name" : "SpntSvc.exe",
"stop_commands" : ['net stop "trend serverprotect"'],
"start_commands" : ['net start "trend serverprotect"'],
}
sess.add_target(target)
sess.fuzz()

下面的netmon（网络监控代理） 、procmon（进程监控代理）、vmcontrol（VMware控制代理）为3个agent的子模块，用来监测程序:

• netmon子模块：netmon子模块主要负责捕捉网络的双向流量，并保存。 在向target发送数据之前，agent向target发送请求并记录流量，数据传送成功后，该代理子模块将记录的流量存入磁盘。
• procmon子模块：procmon子模块主要负责检测fuzz过程中发生的故障。 在向target发送数据之后，boofuzz联系该代理以确定是否触发了故障，如果产生故障，关于故障性质的hgih level信息将被传送回session。错误信息会储存在名为"crash bin"的文件中，我们也可以在web监控服务中看到发生crash时加载详细的crash信息。
• vmcontrol子模块：vmcontrol子模块主要用来控制虚拟机。一种常见的用法是把Target目标放在虚拟机中，使用这个子模块来控制虚拟机的启动、关闭、创建快照等，最重要的功能是能在目标出现崩溃的时候恢复主机的状态。

下面简单的介绍一个请求样例：

session.connect(s_get("user"))
     session.connect(s_get("user"), s_get("pass"))
     session.connect(s_get("pass"), s_get("stor"))
     session.connect(s_get("pass"), s_get("retr"))

连接后，我们发送用户名请求

在发送用户名后，我们发送密码

只有在发送密码后我们才能发送stor或retr请求