【软件安全实验】使用American Fuzzy Lop工具挖掘 C/C++程序漏洞

实验要求

使用American Fuzzy Lop工具挖掘C/C++程序漏洞。

实验步骤

一、安装American Fuzzy Lop

1、下载American Fuzzy Lop

wget https://lcamtuf.coredump.cx/afl/releases/afl-latest.tgz

tar -zxvf afl-latest.tgz

cd afl-2.52b

2、安装gcc编译器

sudo apt-get install gcc

3、make并展示指令列表，确认安装成功

make
sudo make install

二、安装漏洞语料库、目标C程序

1、安装漏洞语料库

mkdir testbugcase
cd testbugcase
wget http://samples.ffmpeg.org/tests/DivX-test/Xmen-OpenDivX-200-slow.avicd ..

2、确定目标C程序
选择的目标程序是ultrix42-src下的/usr/bin/deroff.d下的deroff.c以及
同目录下的chroot.c（加强测试）

三、开始测试

1、对代码进行编译

afl-gcc -g -o afl_test deroff.c

2、编辑配置

sudo su root
echo ecore > /proc/sys/kernel/core_pattern
exit

3、fuzzing程序deroff.c

afl-fuzz -i testcase -o output ./afl_test sam2p @@

fuzzing时的面板如下所示：

（3）编译测试chroot.c加强测试

具体步骤同上，具体结果如下所示：