小结：找到感兴趣的函数，计算偏移，自动化fuzz.

这是一篇客座文章，作者是乌云二进制漏洞挖掘白帽子 k0shl 。其实上个月17号，本文就已经写完了，但是我们一直“捂”到了今天。算是给二进制方向的白帽子的七夕礼物吧 : )

0x01 什么是 winafl

其实说的 afl-fuzz 大家都不会很陌生， afl-fuzz 是 Linux 用于 fuzz 文件格式，协议等二进制漏洞的神器，而 winafl 则是 afl-fuzz 的 Windows 版，最近我对 winafl 进行了一些浅层研究，由于之前也进行过一段时间的二进制漏洞挖掘，但基本上都是停留在手工挖掘上，越发觉得自动化神器功能的强大，也为以后自己开发 fuzz 工具提供了很重要的指导依据。

Winafl 到底是什么？

Winafl 是 windows 下一种挖掘文件格式，协议漏洞的半自动化工具，为什么说半自动化呢，，因为针对特定的软件， Winafl 并没有提供一个全面的样本库，虽然 winafl 确实提供了一些测试样本，但实际上真正 fuzz 的过程中，很多文件需要自己手工构造。

其次比起自动 fuzz ， Winafl 需要自己手动定位需要 fuzz 的函数地址偏移，来确定具体要进行 fuzz 的函数位置。

那么相比较来说 winafl 到底优势在哪呢？这里我要提一下我的理解， winafl 的优势在于它采用的是代码扩展来确定输入输出，以此来判断漏洞是否存在，这么说可能大家比较晕乎。

这个原理有点像 PIN 插件， PIN 插件是微软提供的一种类似用于汇编指令扩展的插件，我用一张图来简单描述一下这个过程。

如何理解这个过程，可以想象钩子，插桩等过程，在函数进入和函数返回时，检查程序输入输出是否符合预期等等，通过插入一些“额外”的指令来进行检查，这样，对崩溃位置定位更加精准，误报率极低等等。

刚开始如何学习 fuzz ？

有很多刚开始接触二进制，或者学过一段时间二进制的小伙伴会问我如何去挖掘，或者刚开始如何学习挖掘二进制漏洞的方法，其实我想说二进制漏洞挖掘是一个很难的过程，随着现在一些类似于 strcpy_s ，或者说软件安全性越来越好， fuzz 的难度越来越高，想要挖掘高级漏洞，需要一些入门的知识，我的水平不高，在这里跟大家分享一些我做 fuzz 的心得，也是为之后利用 winafl 进行 fuzz 做一些铺垫。

在入门的漏洞挖掘中，最重要的是关注程序可能存在的脆弱点，其实和 web 很像，在二进制中，用户输入也应该是不可信的，而这里所谓的脆弱点，就是存在于用户输入和程序交互的过程中，比较有趣的函数有： strcpy ， memcpy ， sprintf ， read 等函数，指针传递，指针赋值等操作中。

下面我来举一个简单的例子，通过 IDA 分析一个软件，发现有一处比较有趣的调用。

这里我们关注到调用了一处 strcpy 的调用，我们可以通过 windbg 附加调试，在 j_strcpy 位置下断点，这样，程序执行中，如果调用了这处函数，就会命中这处断点（当然，这里用 OllyDBG也是可以的）。

在敏感函数位置下断点，通过对样本的附加执行等等方法，直到命中断点，再对函数执行前后的输入输出进行判断，来确定样本是否可以造成程序崩溃，是否可控，是否是一处可造成拒绝服务或者代码执行的漏洞。

通过后续执行情况，判断栈空间的覆盖情况，来确定这里是否是一处可利用的漏洞，可以看到，此时栈回溯已经被畸形字符串冲垮，这个畸形字符串是构造样本中，用户可控的字符串部分。

这里只是简单的讲述了一下最简单的二进制漏洞挖掘过程，其实仔细回想我描述的这个过程，对函数进入推出时输入输出的检查，也就是增加一个类似于指令扩展的过程，那么其实就是自动化 fuzz 一个简单的模型。

0x02 Winafl fuzz 前的准备

这里，我们使用一个名为 VUPlayer 的软件来利用 Winafl fuzz 进行一次简单的漏洞挖掘，看过网上 afl-fuzz 教程的小伙伴可能会发现其实这个挖掘过程耗时很长，指令扩展一定意义上加大了代码冗余，增加了执行时间，这里我提供一个可以触发 VUPlayer 缓冲区溢出漏洞的 PoC ，只是为了讲解 Winafl fuzz 的使用和简单原理。

寻找一个可能存在的脆弱点