作者:0x7F@知道創宇404實驗室
日期:2023年6月21日

前言

wtf (https://github.com/0vercl0k/wtf) 是一種分布式、代碼覆蓋引導、可定制、基于快照的跨平臺模糊器,設計用于 fuzz 在 Microsoft Windows 平臺上運行的用戶模式或內核模式的目標。

在日常的 fuzz 的工作中,通常我們都需要先大致分析目標軟件,然后對其輸入點構造 harness,才可以使用工具對 harness 進行 fuzz,從而發現目標軟件的潛在漏洞。構造 harness 不是一件容易的事情,這取決于安全研究人員分析解構目標軟件的程度,除此之外,在部分軟件中,只有進行完整的、復雜的初始化操作和預設,才能保證 harness 調用的輸入點函數能夠正常運行。

針對這一問題,基于快照的 fuzz 工具 wtf 吸引了我的注意;我們可以對正常運行的目標軟件打下內存快照,然后對該內存快照進行 fuzz,這種方式可以不必編寫 harness,并在一定程度上減少分析目標軟件的成本。

本文從基于快照這一個特性出發,介紹 wtf 工具的基礎使用和注意事項。

本文實驗環境:

Windows 10 x64 專業版
Visual Studio 2019
WinDBG
ProxmoxVE 7.2-3

1. wtf概要

在 github 上可以訪問 wtf 的源碼和 README(https://github.com/0vercl0k/wtf): 1.wtf github展示

作者提供了 4 篇使用 wtf 進行 fuzz 的實操文章:
Building a new snapshot fuzzer & fuzzing IDA
Fuzzing Modern UDP Game Protocols With Snapshot-based Fuzzers
Fuzzing RDPEGFX with "what the fuzz"
A Journey to Network Protocol Fuzzing – Dissecting Microsoft IMAP Client Protocol

其中第一篇針對 IDA 的 fuzz,也是作者開發 wtf 的初衷,其中講訴了 wtf 的開發歷程并介紹了 wtf 的實現原理。

通過以上文章,了解到使用 wtf 進行 fuzz 可以大致分為 3 個步驟:

1. 遠程調試目標程序,并在合適的位置打下系統內存快照
2. 為內存快照編寫 wtf 的 fuzz 模塊/插件(也稱為 harness)
3. 編譯并啟動 wtf 進行 fuzz

為了方便下文敘述,這里先介紹如何源碼編譯 wtf。wtf 使用 ninja 進行構建,首先我們下載 ninja(https://ninja-build.org/) 并添加到環境變量 PATH 中,隨后從 github 下載 wtf 源碼,打開 Visual Studio 的 x64 位開發者命令行工具(vs2019: x64 Native Tools Command Prompt for VS 2019):

# 進入 wtf 的 build 目錄
$ cd C:\Users\john\Desktop\wtf-0.4\src\build
# 執行 bat 腳本
$ .\build-release.bat

執行如下: 2.源碼編譯wtf

編譯成功后,會在 build 目錄下生成 wtf.exe 文件,該二進制文件將支撐我們全部的 fuzz 流程。

2. fuzz hevd

wtf 提供了完整的測試用例 hevd / tlv_server,能夠幫助我們快速上手 wtf,這里我們以 hevd 為例進行介紹;hevd(HackSys Extreme Vulnerable Windows Driver)是 Windows 內核驅動漏洞靶場(https://github.com/hacksysteam/HackSysExtremeVulnerableDriver),以幫助安全研究員學習漏洞原理。

首先第一步是創建 hevd 運行時的系統內存快照,作者已經提供好了 https://github.com/0vercl0k/wtf/releases/download/v0.4/target-hevd.7z,下載解壓后如下: 3.target-hevd目錄結構

第二步是編寫 hevd 的 wtf fuzz 模塊/插件,其插件代碼屬于 wtf 源碼的一部分,在其中需要定義如何對快照進行初始化,如何向快照注入測試用例等操作,同樣作者也提供了 https://github.com/0vercl0k/wtf/blob/main/src/wtf/fuzzer_hevd.cc,如下: 4.fuzzer-hevd部分源碼

通過 build-release.bat 重新編譯 wtf 以添加 hevd 插件,target-hevd 已經準備好了工作目錄,如下:

$ tree target-hevd
target-hevd
├── inputs          輸入/測試用例/樣本種子文件
├── outputs         輸出/wtf發現的可產生不同的路徑的測試用例
├── coverage        覆蓋率文件夾
├── crashes         保存觸發 crash 的測試用例
└── state           快照文件夾,包含內存dump(`mem.dmp`)和CPU狀態`regs.json`

$ hexdump -C target-hevd/inputs/ioctl.bin 
00000000  3b 20 22 00                                       |; ".|
00000004

隨后便可以使用 wtf.exe 進行 fuzz,wtf 的 fuzz 分為 server 節點和 fuzz 節點,服務器節點負責聚合代碼覆蓋率、語料庫,生成測試用例并將其分發給客戶端,fuzz 節點運行由服務器生成和分發的測試用例,并將結果傳回服務器(代碼覆蓋率/結果等)。

$ cd C:\Users\john\Desktop\wtf-0.4\src\build
# 首先啟動 server 節點
# master 指定為 server 節點
# --name 指定插件模塊為 hevd
# --max_len 設置最大測試用例長度
# --runs 設置生成測試用例的個數
# --target 設置工作目錄
$ .\wtf.exe master --name hevd --max_len=1028 --runs=10000000 --target C:\Users\john\Desktop\target-hevd
# 再啟動一個 fuzz 節點
# fuzz 指定為 fuzz 節點
# --backend 指定執行后端為 bochscpu(還支持 whv/kvm)
$ .\wtf.exe fuzz --name hevd --backend=bochscpu --target C:\Users\john\Desktop\target-hevd

執行如下: 5.對 hevd 進行 fuzz

運行一段時間后我們將收獲 crash,本文這里不進行擴展分析。

3. demo程序

target-hevd 示例能夠讓我們快速的上手 wtf,現在我們提供個 demo 程序以便完整的學習 wtf 的基本使用,編寫 demo 程序如下:

#define _CRT_SECURE_NO_WARNINGS

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

__declspec(dllexport) int fuzzme(char* data);

char* argv_0 = NULL;

int __declspec(noinline) fuzzme(char* data) {
    unsigned int len = strlen(data);

    if (!(len > 0 && data[0] == 't')) {
        printf("Error 0\n");
        return 0;
    }
    if (!(len > 1 && data[1] == 'e')) {
        printf("Error 1\n");
        return 0;
    }
    if (!(len > 2 && data[2] == 's')) {
        printf("Error 2\n");
        return 0;
    }
    if (!(len > 3 && data[3] == 't')) {
        printf("Error 3\n");
        return 0;
    }

    //
    printf("!!!!!!!!!!OK!!!!!!!!!!\n");

    char* crash = NULL;
    if (len > 4 && data[4] == '1') {
        crash[0] = NULL;
    } else if (len > 4 && data[4] == '2') {
        char buffer[5] = { 0 };
        // stack-based overflow to trigger the GS cookie corruption
        for (int i = 0; i < 5; ++i) {
            strcat(buffer, argv_0);
        }
        printf("buffer: %s\n", buffer);
    }
    else {
        printf("Error 4\n");
    }

    return 0;
}

int main(int argc, char* argv[]) {
    char ready = 0;
    char data[32] = { 0 };

    argv_0 = argv[0];

    printf("ready?\n");
    scanf("%c", &ready);

    printf("input data:\n");
    scanf("%16s", data);
    printf("%s\n", data);

    fuzzme(data);

    return 0;
}

main() 函數的起始位置,我們設置了一個 ready 標志等待用戶輸入一個字符后,再執行真正代碼邏輯,這樣可以方便我們后續調試該程序進行快照操作;隨后 demo 程序接收用戶輸入的字符串,將該字符串傳入核心函數 fuzzme() 進行處理,在該函數中將逐字節檢查用戶輸入是否等于 test,滿足條件后若第 5 個字節為 1,則手動觸發空指針訪問異常,若第 5 個字節為 2,則手動觸發 GS cookie 異常,其他則調用 printf() 輸出。

我們將該 demo 程序編譯為 wtf_test.exe,接下來的目標則是使用 wtf 對該二進制程序的 fuzzme() 函數進行 fuzz,找到其中的兩個異常錯誤;同樣按照上文的三大步進行。

4. 內存快照

首先我們需要搭建雙機調試環境來獲取二進制運行時的內存快照,官方推薦使用 hyper-v 虛擬機作為執行環境,我這里使用 ProxmoxVE 虛擬機環境也一樣;運行的虛擬機(debuggee)使用 1C4G 的配置,調試主機(debugger)的環境不做要求,需要注意一點,由于打內存快照涉及到大量的數據通信,雙機調試一定要使用網絡調試進行,實驗環境搭建如下: 6.網絡雙機調試環境

debuggee 上使用命令開啟 powershell 配置網絡雙機調試如下:

# 開啟 debug
$ bcdedit /debug on
# 設置網絡調試參數
# 設置 debugger 的 ip 地址為 10.0.25.191
# 設置被調試機的端口為 50000
# 設置被調試機的連接密碼為 p.a.s.s
$ bcdedit /dbgsettings NET HOSTIP:10.0.25.191 PORT:50000 KEY:p.a.s.s
# 查看調試配置
$ bcdedit /dbgsettings

除此之外,我們還需要關閉 Windows 的 KVA(Kernel Virtual Address) shadow 功能,否則 wtf 執行快照時將出現內存分頁錯誤的問題,可以使用作者提供的腳本(https://github.com/0vercl0k/wtf/blob/main/scripts/disable-kva.cmd)進行關閉:

REM To disable mitigations for CVE-2017-5715 (Spectre Variant 2) and CVE-2017-5754 (Meltdown)
REM https://support.microsoft.com/en-us/help/4072698/windows-server-speculative-execution-side-channel-vulnerabilities
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

如果關閉 KVA shadow 后若還出現內存分頁錯誤,可嘗試使用 https://github.com/0vercl0k/lockmem 對內存進行鎖定再進行快照。

隨后使用 debugger 使用 WinDBG 網絡調試連接 debuggee,隨后在 debuggee 上執行 wtf_test.exe 程序,在 WinDBG 中進入目標進程空間如下: 7.WinDBG進入目標進程空間

此時,我們需要選擇一個「合適」的內存快照位置,因為 wtf 將會以該快照作為起始運行狀態,在 wtf_test.exe 中,我們的目標函數是 fuzzme(),所以我們在 fuzzme() 函數入口打下斷點,并在 wtf_test.exe 程序中分別輸入 g1234 以運行到斷點處,如下: 8.fuzzme函數入口斷點

隨后我們使用 WinDBG 的插件 bdump (https://github.com/yrp604/bdump)對此刻的運行狀態進行快照:

# 加載 bdump.js 腳本
kd> .scriptload C:\Users\john\Desktop\bdump\bdump.js
# 打下內存快照,保存在 state 文件夾中
kd> !bdump_active_kernel "C:\\Users\\john\\Desktop\\state"

執行如下: 9.bdump打下內存快照

在本文的實驗環境下,打內存快照大約需要 40 min。

5. 編寫wtf插件

隨后我們為 demo 程序編寫 wtf 的插件,我們可以以 https://github.com/0vercl0k/wtf/blob/main/src/wtf/fuzzer_hevd.cc 作為模板進行改寫。

插件主要需要實現 Init()InsertTestcase() 兩個函數,wtf 加載內存快照后,將停留在我們打下斷點/打下快照的位置,然后首先調用一次插件的 Init() 函數,在該函數中一般定義了:1.快照運行到何處停止、2.如何處理異常錯誤、3.如何處理IO 等操作,完成初始化操作后,隨后將在每次執行快照前,調用 InsertTestcase() 函數注入測試用例。

編寫 demo 的 wtf 插件如下:

#include "backend.h"
#include "targets.h"
#include "crash_detection_umode.h"
#include <fmt/format.h>

namespace Demo {

bool InsertTestcase(const uint8_t *Buffer, const size_t BufferSize) {
    // "int fuzzme(char* data)" => data == Rcx
    const Gva_t data = Gva_t(g_Backend->Rcx());
    if (!g_Backend->VirtWriteDirty(data, Buffer, BufferSize)) {
        fmt::print("VirtWriteDirty failed\n");
        return false;
    }

    return true;
}

bool Init(const Options_t &Opts, const CpuState_t &) {
    // Stop the test-case once we return back from the call [fuzzme]
    const Gva_t Rsp = Gva_t(g_Backend->Rsp());
    const Gva_t ReturnAddress = Gva_t(g_Backend->VirtRead8(Rsp));
    if (!g_Backend->SetBreakpoint(ReturnAddress, [](Backend_t *Backend) {
            fmt::print("Back from kernel!\n");
            Backend->Stop(Ok_t());
        })) {
        fmt::print("Failed to SetBreakpoint ReturnAddress\n");
        return false;
    }

    // setup usermode crash/exception detection hooks
    if (!SetupUsermodeCrashDetectionHooks()) {
        fmt::print("Failed to SetupUsermodeCrashDetectionHooks\n");
        return false;
    }

    // patch "printf" to stdio
    if (!g_Backend->SetBreakpoint("printf", [](Backend_t *Backend) {
            const Gva_t StrPtr = Backend->GetArgGva(0);
            const std::string &str = Backend->VirtReadString(StrPtr);
            fmt::print("Demo: {}", str);
            Backend->SimulateReturnFromFunction(0);
        })) {
        fmt::print("Failed to SetBreakpoint printf\n");
        return false;
    }

    return true;
}

// Register the target.
Target_t Demo("demo", Init, InsertTestcase);

} // namespace Demo

需要注意的是,由于快照不具備 IO 訪問能力,發生 IO 操作時 wtf 無法正確處理,所以我們應該盡量選擇一個「合適」的快照點;對于無法避免的 IO 操作,我們可以采用 patch 的方式修改邏輯,如 demo 程序中的 printf() 函數調用,我們在 Init() 中進行 patch,不會執行真正的 printf() 功能。

通過 build-release.bat 重新編譯 wtf 以添加 demo 插件。

6. fuzz demo

首先我們準備好工作目錄如下,其中 state 目錄就是我們上文打下的內存快照:

$ tree workdir
workdir
├── inputs
├── outputs
├── coverage
├── crashes
└── state

$ cat workdir/inputs/1.txt
1234

在進行 fuzz 之前,我們先使用 wtf 的 run 子命令,檢查內存快照和插件是否正確運行:

$ cd C:\Users\john\Desktop\wtf-0.4\src\build
# 指定為 run 子命令
# --name 指定插件模塊為 demo
# --state 指定內存快照文件夾
# --backend 指定執行后端為 bochscpu
# --input 指定輸入文件
$ .\wtf.exe run --name demo --state C:\Users\john\Desktop\workdir\state\ --backend=bochscpu --input C:\Users\john\Desktop\workdir\inputs\1.txt

執行如下: 10.run測試運行demo插件

如果不能按預期執行,可以使用 run 命令生成路徑覆蓋,隨后根據執行路徑分析問題,下文我們將介紹在 wtf 如何獲取路徑覆蓋。

隨后我們便可以對其進行 fuzz:

$ cd C:\Users\john\Desktop\wtf-0.4\src\build
# 啟動 server 節點
$ .\wtf.exe master --name demo --max_len=6 --runs=10000000 --target C:\Users\john\Desktop\workdir
# 啟動一個 fuzz 節點
$ .\wtf.exe fuzz --name demo --backend=bochscpu --target C:\Users\john\Desktop\workdir

啟動執行 2min 即可獲得 crash 如下: 11.對 demo 進行 fuzz

其 crash 文件如下,順序尋找到我們埋在 demo 程序中的兩個異常錯誤: 12.demo程序的crash文件

7. 覆蓋率

使用 wtf 的 run 子命令還可以生成路徑覆蓋,配合 IDA 以及 lighthouse 插件可以幫助我們排查 fuzz 問題和衡量 fuzz 的質量,如下:

$ cd C:\Users\john\Desktop\wtf-0.4\src\build
# 指定為 run 子命令
# --trace-path 設置覆蓋率輸出文件夾
# --trace-type 設置路徑類型為 cov
$ .\wtf.exe run --name demo --state C:\Users\john\Desktop\workdir\state\ --backend=bochscpu --input C:\Users\john\Desktop\workdir\inputs\1.txt --trace-path=C:\Users\john\Desktop\workdir\coverage --trace-type=cov

執行完畢后將在 C:\Users\john\Desktop\workdir\coverage 下生成 1.txt.trace 文件,該文件沒有符號化不能直接使用,使用作者提供的工具 symbolizer(https://github.com/0vercl0k/symbolizer) 對其進行符號化處理:

$ cd C:\Users\john\Desktop\workdir\coverage

# --input 指定輸入文件
# --crash-dump 指定內存快照文件
# -o 設置輸出文件
# --style 指定符號化類型
$ C:\Users\john\Desktop\symbolizer\symbolizer.exe --input .\1.txt.trace --crash-dump C:\Users\john\Desktop\workdir\state\mem.dmp -o cov.txt --style modoff

執行完畢后,將在指定目錄下生成符號化的路徑覆蓋文件 cov.txt,如下: 13.wtf生成路徑覆蓋

隨后在 IDA 中加載 wtf_test.exe 文件,并使用 lighthouse 插件加載覆蓋率文件如下: 14.demo程序的代碼覆蓋

8. References

[1]https://github.com/0vercl0k/wtf
[2]https://github.com/0vercl0k/wtf/issues/14
[3]https://github.com/0vercl0k/lockmem
[4]https://github.com/0vercl0k/symbolizer
[5]https://github.com/yrp604/bdump
[6]https://msrc.microsoft.com/blog/2018/03/kva-shadow-mitigating-meltdown-on-windows/
[7]https://blog.ret2.io/2021/07/21/wtf-snapshot-fuzzing/


Paper 本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/2084/