【转】Fuzzing分析技术

模糊测试是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。

模糊测试（Fuzz testing）是一种发现安全漏洞的有效的测试方法，模糊测试将随机的坏数据插入程序，观察程序是否能容忍杂乱输入，模糊测试是不合逻辑的，只是产生杂乱数据攻击程序，采用模糊测试攻击应用程序可发现其他采用逻辑思维来测试很难发现的安全漏洞。

（早期其实是一种基于黑盒的随机的测试方法。）

模糊测试的特点：

1.Fuzzing测试的用例通常具备某种攻击性的畸形数据。

2.具备良好的自动化测试能力。

3.“蛮力”攻击方法。

4.很少出现误报

5.能够快速找到真正的漏洞，操作简单。

6.通常不是进行功能性测试，而是检查系统处理错误的能力，比如“入侵，破环，崩溃”。

7.不能保证系统中已经没有漏洞。

模糊测试的局限性和期望：

      1.访问控制漏洞

      2.设计逻辑不良

      3.后门

      4.内存破坏

      5.多阶段安全漏洞

模糊测试的常规步骤：

      1.识别测试目标

      2.识别用户输入

      3.生成Fuzz测试数据

      4.执行Fuzz测试数据

      5.监视异常

      6.确定可利用性

Fuzz测试中的主要方法：

1.    傻瓜Fuzz：随机破坏数据包，不考虑数据结构

2.    智能Fuzz：破坏数据包，但考虑数据结构，以及编码方法，如base-64编码，以及数据块之间的关系，如校验值，某些数据域是否存在的标志位，数据位的长度。

3.    黑盒Fuzz：发送畸形的数据，没有验证代码路径是否满足

4.    白盒Fuzz：发送畸形数据，验证了目标代码路径已经满足

5.    生成：自动产生Fuzz测试数据，并不基于任何前面的输入

6.    变异：根据缺陷模式，通过破坏有效的数据来产生Fuzz测试数据

7.    变异模版：使用变异模版作为输入，产生Fuzz缓存池并发送给测试软件。

（预生成测试用例，随机生成输入，人工协议编译测试，变异或强制性测试，自动协议生成测试）

Fuzz测试类型：

1.    本地模糊器（命令行模糊测试器，环境变量模糊测试器，文件格式模糊测试器）

2.    远程模糊测试器（网络协议模糊测试器，web应用模糊测试器）

3.    内存模糊测试器

4.    模糊测试框架

文件Fuzz测试

协议Fuzz测试

组件Fuzz测试

WebFuzz测试

Fuzz测试之漏洞挖掘技术：

      作为攻击者，除了精通各种漏洞利用技术之外，要想有效的攻击，还必须掌握一些未公布的0day漏洞，作为安全专家，他们的本质工作就是抢在攻击者之前尽可能多地挖掘出软件中的漏洞。

面对二进制级别的软件，工业界普遍采用的是进行Fuzz测试，与基于功能性的测试有所不同，fuzz的主要目的是崩溃，中断，销毁。

Fuzz的测试用例往往是带有攻击性的畸形数据，用以触发各种类型的漏洞。Fuzz测试往往可以触发一个缓存区溢出漏洞，但却不能实现有效的exploit。

测试人员需要实时地捕捉目标程序抛出的异常，发生的崩溃和寄存器等信息，综合判断这些错误是不是真正的可利用漏洞。

Fuzz技术的思想就是利用“暴力”来实现对目标程序的自动化测试，然后监视检查其最后的结果，如果符合某种情况就认为程序可能存在某种漏洞或者问题。

（利用不断地向目标程序发送或者传递不同格式的数据来测试目标程序的反应）

我们在发现一些溢出漏洞的时候，往往是不断地给目标程序输入不同长度的字符串变量来测试目标程序是不是存在溢出漏洞的。

使用现成的fuzz工具，也叫fuzzer。

文件类型漏洞挖掘：

      一个file fuzz工具通常包括以下几个步骤：

（1）  以一个正常的文件模版作为基础，按照一定规则产生一批畸形文件。

（2）  将畸形文件逐一送入软件进行解析，并监视软件是否会抛出异常。

（3）  记录软件产生的异常信息，如寄存器状态，栈状态。

（4）  用日志或其他UI形式向测试人员展示异常信息，以进一步鉴定这些错误是否能被利用。

Blind Fuzz即通常所说的“盲测”，就是在随机位置插入随机的数据以生成畸形文件，然而现代软件往往使用非常复杂的私有数据结构。例如PPT，word，execl等，数据结构越复杂，解析逻辑越复杂，就越容易出现漏洞。复杂的数据结构通常具备以下特征：

1.    拥有一批预定义的静态数据

2.    数据结构的内容是可以动态改变的

3.    数据结构之间是嵌套的

4.    数据中存在多种数据关系

5.    有意义的数据被编码或压缩，甚至用另一种文件格式来存储，这些格式的文件被挖掘出来越来越多的漏洞。

Smart fuzz：

      1.面向逻辑：测试前首先明确要测试的目标是解析文件的程序逻辑，而不是文件本身。复杂文件格式往往要经过多层解析，因此还需要明确测试用例正在试探的是那一层的解析逻辑，即明确测试“深度”以及畸形数据的测试“粒度”。

      2.面向数据类型：明确测试的逻辑目标后，在生成畸形数据时可以具有针对性的仅仅改动样本文件的特定位置，尽量不破坏其他数据依赖关系，这样使得改动的数据能够传递到测试的解析深度，而不会在上层的解析器中被破坏。

      3.基于样本：测试前首先构造一个合法的样本文件（也叫模版文件），这时样本文件里所有数据结构和逻辑必然都是合法的。然后以这个文件为模版，每次只改动一小部分数据和逻辑来生成畸形文件，这种方法也叫做“变异”。对于复杂文件来说，以现成的样本文件为基础进行畸形数据变异来生成畸形文件的方法要比上面两种的难度要小很多，也更容易实现。

面向数据类型测试：测试中可以生成的数据通常包括以下几种类型：

（1）  算术型：包括HEX，ASCII，Unicode，raw格式存在的各种数值

（2）  指针型：包括null指针，合法/非法的内存指针等。

（3）  字符串型：包括超长字符串，缺少终止符（0×00）的字符串等

（4）  特殊字符：包括#  @ <   >  \   /等等

面向数据类型测试是指能够识别不同的数据类型，并且能够针对目标数据的类型按照不同规则来生成数据。

我们来使用一款软件来看看FileFuzz的流程，这个软件的名称就叫做FileFuzz。在互联网上可以搜索到。

FTP漏洞挖掘：

      FTP服务全称为文件传输协议服务，其工作模式采用客户端/服务器的模式，也就是C/S模式。FTP服务在进行文件信息传输的时候采用FTP协议。FTP协议是基于TCP协议之上的一种明文协议，FTP协议默认情况下工作在21号端口。

FTPfuzz是专门用来测试FTP协议安全的工具，它的基本原理就是通过对FTP协议中的命令及命令参数进行脏数据替换，构造畸形的FTP命令并发送给被测试FTP服务程序。

在程序崩溃时我们也可以用ollydbg等程序进行调试，来发现更详细的错误信息帮助我们分析程序的漏洞。

Web Fuzz测试;

      测试方法：

（1）  设置目标环境

（2）  输入

（3）  GET  POST HEAD  PUT  DELETE TRACE  CONNECT  OPTIONS

（4）  请求URL

（5）  异常检测

主要web漏洞：

1.    拒绝服务

2.    跨站脚本

3.    SQL注入

4.    目录遍历/弱访问控制

5.    弱认证

6.    弱会话管理

7.    缓存区溢出

8.    未恰当支持的HTTP方法

9.    远程命令执行

10. 远程代码注入

11. 带有漏洞的库

12. HTTP相应分割

13. 跨站请求伪造

需要熟练掌握的技能：

1.HTTP状态码

2.Web服务器错误消息

3.中断连接

4.日志文件

5.时间日志

6.调试器