libexif-0.6.14.

CVE-2012-2836

-s 123跑几分钟,出了13个crash,栈回溯分一下类,一共4种路径

崩溃分析

crash 0:
调用exif_data_load_data_thumbnail函数时size参数明显过大,且正好是unsigned int的最大值,猜测是个整数溢出或错误的类型转换(int32_t转uint32_t).

CVE-2019-13288

xpdf-3.02.
放两个最简单的pdf作为input,-s 123开跑.5秒后出现第一个crash.

崩溃分析

用第一个crash样例,复现一下

只要吃透了AFL的源码，就能掌握绝⼤部分fuzzer的要领

前言

源码分析之前需先对AFL有个基本的认识,可以看看这篇文章: https://xidoo.top/2022/01/afl-white-book
本文按照时序对afl-fuzz.c进行分析.相应函数在第一次调用点进行分析.
参考文章:https://eternalsakura13.com/2020/08/23/afl/

分析

首先查看漏洞报告:

Heap-based overflow vulnerability in TFTP Server SP 1.66 and earlier allows remote attackers to perform a denial of service or possibly execute arbitrary code via a long TFTP error packet, a different vulnerability than CVE-2008-2161.

程序是一个开源的TFTP协议服务器.下载v1.66源码到本地.

CONFIG_SLAB_FREELIST_HARDENED毁了我的slub master梦

“世界上最遥远的距离,是任意地址写和ASLR”

分析

内核版本5.11(没有GFP_KERNEL_ACCOUNT的隔离),smap,smep,kpti,kaslr.
给了一次1024字节对象的double free,但未提供对该对象读写能力.

用户态pwn题对double free的处理一般是利用堆管理器,劫持freelist达成任意地址分配.且在此之前一般需要先获得一些地址信息.

在这里,我们需要通过一次对不具有读写能力的对象的double free完成信息泄露以及控制流劫持.这种效果在内核中反而容易办到,因为内核中有大量可以利用的结构体.

笔者kernel pwn入门时的笔记,由于笔者接触kernel时间较短,难免出现错误….

稳定的任意读和不稳定的任意写

理论部分学习: 数据流分析笔记
只展示部分代码,完整代码见github.

学习CSCD70 和 南京大学《软件分析》课程中数据流分析部分的笔记与思考.
ps: 本篇有许多个人观点,如有错误虚心求教.

中间表示 IR

静态单赋值 SSA

静态单赋值（SSA），就是让每次对变量x赋值都重新使用一个新的变量xi，并在后续使用中选择最新的变量.
在控制流汇入同一个块时,导致多个变量备选,则使用合并操作符(phi-function),根据控制流的信息来决定选择哪个变量.

函数信息