uniFuzzer

uniFuzzer是一款基于Unicorn和LibFuzzer的闭源模糊测试工具，该工具当前支持对ARM/MIPS架构的32位LSB ELF文件进行模糊测试，而这样的系统架构和平台一般常见于物联网设备上。因此，广大研究人员可以利用uniFuzzer来对物联网设备进行模糊测试。

背景知识

Unicorn

提到Unicorn，就不得不说起QEMU。QEMU是一款开源的虚拟机，可以模拟运行多种CPU架构的程序或系统。而Unicorn正是基于QEMU，它提取了QEMU中与CPU模拟相关的核心代码，并在外层进行了包装，提供了多种语言的API接口。

因此，Unicorn的优点很明显。相比QEMU来说，用户可以通过丰富的接口，灵活地调用CPU模拟功能，对任意代码片段进行模拟执行。不过，我们在使用过程中，也发现Unicorn存在了一些不足，最主要的就是Unicorn其实还不是很稳定、完善，存在了大量的坑（可以看Github上的issue），而且似乎作者也没有短期内要填完这些坑的打算。另一方面，由于还有较多的坑，导致Unicorn底层QEMU代码的更新似乎也没有纳入计划：Unicorn最新的release是2017年的1.0.1版本，这是基于QEMU 2的，然而今年QEMU已经发布到QEMU 4了。

不过，虽然存在着坑比较多、QEMU版本比较旧的问题，对我们的模拟执行fuzzing来说其实还好。前者可以在使用过程中用一些临时方法先填上（后面会举一个例子）。后者的影响主要是不支持一些新的架构和指令，这对于许多IoT设备来说问题并不大；而旧版本QEMU存在的安全漏洞，主要也是和驱动相关，而Unicorn并没有包含QEMU的驱动，所以基本不受这些漏洞的影响。

QEMU

关于QEMU的CPU模拟原理，读者可以在网上搜到一些专门的介绍，例如这篇。大致来说，QEMU是通过引入一层中间语言，TCG，来实现在主机上模拟执行不同架构的代码。例如，如果在x86服务器上模拟MIPS的代码，QEMU会先以基本块（Basic Block）为单位，将MIPS指令经由TCG这一层翻译成x86代码，得到TB(Translation Block)，最终在主机上执行。

而为了提高模拟运行的效率，QEMU还加入了TB缓存和链接机制。通过缓存翻译完成的TB，减少了下次执行时的翻译开销，这即就是Unicorn所说的JIT。而TB链接机制，则是把原始代码基本块之间的跳转关系，映射到TB之间，从而尽可能地减少了查找缓存的次数和相关的上下文切换。

值得一提的是，Unicorn所提供的hook功能，就是在目标代码翻译成TCG时，插入相关的TCG指令，从而在最终翻译得到的TB中，于指定位置处回调hook函数。而由于TCG指令和架构无关，因此添加的TCG指令可以直接适用于不同架构。

LibFuzzer

LibFuzzer应该许多人都不陌生，这是LLVM项目中内置的一款fuzzing工具，相比我们之前介绍过的AFL，LibFuzzer具有以下优点：

1. 灵活：通过实现接口的方式使用，可以对任意函数进行fuzzing

2. 高效：在同一进程中进行fuzzing，无需大量fork()进程

3. 便捷：提供了API接口，便于定制化和集成

而且，和AFL一样，LibFuzzer也是基于代码覆盖率来引导变异输入的，因此fuzzing的效率很高。不过，这两者都需要通过编译时插桩的方式，来实现代码覆盖率的跟踪，所以必须要有目标的源代码。接下来，在uniFuzzer的原理中，我们会介绍如何结合Unicorn和LibFuzzer的功能，对闭源程序进行代码覆盖率的跟踪反馈。

功能介绍

1、项目构建方便，简而易用；

2、可针对指定函数或代码段进行模糊测试；

3、使用了基于代码覆盖的模糊测试算法，效率可观；

4、依赖自解析和加载自动化；

5、通过PRELOAD覆盖库函数；

工具下载

广大用户可以使用git命令直接从该项目的GitHub库拷贝至本地：

git clone https://github.com/PAGalaxyLab/uniFuzzer.git

项目构建

1、对目标代码进行逆向分析，并寻找目标函数进行模糊测试；

2、在callback目录中创建一个.c文件，其中需包含下列回调：

void onLibLoad(const char *libName, void *baseAddr, void *ucBaseAddr)：每当独立库加载进Unicorn时，便会调用该方法。

int uniFuzzerInit(uc_engine *uc)：在Unicorn加载完所有的源码之后，便会调用这个方法，堆、栈和寄存器均在这里设置。

int uniFuzzerBeforeExec(uc_engine *uc, const uint8_t *data, size_t len)：在每轮模糊测试执行之前该方法都会被调用。

int uniFuzzerAfterExec(uc_engine *uc)：在每轮模糊测试执行之后该方法都会被调用。

3、运行make命令，并获取uf模糊测试工具；

工具运行

uniFuzzer使用了下列环境变量作为参数：

UF_TARGET：目标ELF文件的路径；

UF_PRELOAD：预加载库的路径，请确保目标代码库的架构跟目标设备相同；

UF_LIBPATH：所要使用的依赖库路径，使用“:”作为多个路径的分隔符；

广大研究人员可以使用下列命令开始对目标设备进行模糊测试：

UF_TARGET=<target> [UF_PRELOAD=<preload>] UF_LIBPATH=<libPath> ./uf

工具演示

下面给出的是该工具的一些基础演示样例，demo中包含下列文件：

1、demo-vuln.c：这个文件是模糊测试的测试目标，其中包含一个名为vuln()的简单函数，该函数存在堆栈溢出漏洞。

2、demo-libcpreload.c：该文件用于设置PRELOAD钩子，它定义了一个空的printf()函数以及一个简化了的malloc()/free()函数。

3、callback/demo-callback.c：为了对demo中的vuln()函数进行模糊测试，该文件定义了一些必要的回调函数。

首先，为mipsel安装gcc（Debian平台：gcc-mipsel-linux-gnu包）以构建demo：

# the target binary
    # '-Xlinker --hash-style=sysv' tells gcc to use 'DT_HASH' instead of 'DT_GNU_HASH' for symbol lookup
    # since currently uniFuzzer does not support 'DT_GNU_HASH'
    mipsel-linux-gnu-gcc demo-vuln.c -Xlinker --hash-style=sysv -no-pie -o demo-vuln
    # the preload library
    mipsel-linux-gnu-gcc -shared -fPIC -nostdlib -Xlinker --hash-style=sysv demo-libcpreload.c -o demo-libcpreload.so

或者，你也可以使用文件demo-vuln和demo-libcpreload.so，同样可以使用上述命令编译。

接下来，使用make命令构建uniFuzzer，如果你自行编译了MIPS demo，那么某些地址可能会跟我们提供给大家的预编译demo有些不同，我们需要相应地更新demo-callback.c中的参数。

最后，确保MIPS的libc库已配置完毕。在Debian平台上，安装完成libc6-mipsel-cross包后，libc库就可以在/usr/mipsel-linux-gnu/lib/中找到了。此时的UF_LIBPATH值应为：

UF_TARGET=<path to demo-vuln> UF_PRELOAD=<path to demo-libcpreload.so> UF_LIBPATH=<lib path for MIPS> ./uf

项目地址

uniFuzzer：【GitHub传送门】

* 参考来源：PAGalaxyLab，FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM