最近在搞漏洞挖掘,之前写过一个文件格式漏洞挖掘的博文,使用的是光刃牛写的Alpha Fuzz工具。感觉样本生成的质量不是很好,这次打算使用一下老牌的Fuzz工具peach。学长介绍了一下说peach的样本生成算法比较屌,质量比较高。所以这次来学习一下。

  另外最近打算搞android方面的漏洞挖掘和分析,博客也没怎么写。这次也是想学习一下android平台的漏洞挖掘,感觉android平台好用的工具不多,需要自己去研究,大牛们基本也都是有自己的“秘密工具”。

  首先说一下,peach是基于文件格式进行生成的原则进行产生样本的。所以使用的时候需要去提供文件格式的详细信息。但是也支持提供文件样本,基于文件样本变异去Fuzz。peach是用python写的,官方提供了python源码和编译成exe的版本。peach最好配合windbg使用。进行网络协议fuzz的话,最好配合wireshark使用。

  peach pit是用xml写的,用来描述文件格式的文件。peach pit的内容包含了使用工具进行Fuzz的整个过程,包括了测试样本的生成、Fuzz过程的设置和捕获异常的操作等,所以这个peach pit文件决定了整个的Fuzz测试过程。
下面学习一下这个文件的结构。

  首先肯定是xml文件,结构示意图如下

  

  其中可以在一个 Peach Pit 文件里指定任意数目的 DataModel,一般复杂的数据结构都会拆成几部分,增强可读性和可重用性。为了达到这个目的,提供了ref属性,这个属性只能让DataModel和Block标签使用。目的是为了是分开的几块提供重复使用,避免重复编写的。常见的属性和标签如下:

属性:
name-数据模型的名字[必须]
ref-引用模版数据模型[可选],这个用于给DataModel标签使用。目的是为了是分开的几块提供重复使用,避免重复编写的。
size-这个标签代表的数据的大小(以bit为单位)
value-这个标签代表的数据的内容,比如字符串<String name="exmple" value="Hello world!">
minOccours-Block标签使用,表示一个Block的重复出现的最低次数(用于重复出现数据使用)
maxOccours-Block标签使用,表示一个Block的重复出现的最高次数(用于重复出现数据使用)
size-Number-数字使用,指定数字的进制数
signed-数字使用,指定是否有符号
mutable-这个属性标志当前的数据是否可变,因为如果是magic之类的话要设为不可变。
 
有效的子元素:
Block    组合块
Choice    指定标签中任意一个块(不是块也可以?)是有效的,类似于switch。也是用来随机生成数据的。
String    字符串
Number    有signed属性表示有无符号,
Blob    无类型的数据
Flags    以位为单位的数据
Fixup    求校验值用
Relation    用于动态生成值的。有特有的type属性配合特有的of属性使用。
Transformer

这个是Flags标签的使用方法,可见是一个Flag列表。
<Flags name="options" size="16">
    <Flag name="compression" position="0" size="1" />
    <Flag name="compressionType" position="1" size="3" />
    <Flag name="opcode" position="10" size="2" value="5" />
</Flags>

Block 元素是用于组合几个标签使用的,因为多个标签不能一起引用,所以把几个标签放入一个Block中就可以一起引用了。Block不能单独使用,因为没有意义。

Relation 用于动态生成数据使用的,因为文件可能会有各种校验值,就可以使用这个值来生成,与之对应的还有Fixup 用来生成校验值的。

 以上大部分都是抄的-。-没有错。下面写点自己的东西

peach指令

  1. peach -t peach_xml_file                                    对pit文件查错
  2. peach -p 10,2 peach_xml_flie [test_name]         好像跟并发有关,不会用
  3. peach -1 --debug peach_xml_file                        调试运行Pit?

1.mutable="false" token="true" 这两个属性很有用,用来定义各种magic

2.Number与String的区别在于比如都指定"0"时一个是数字一个是字符。

3.长度指定。Blob——length、String——lengthNumber——size、Flag——size。其中前两个的单位是byte,后两个单位是bit。

4.<Choice>标签很有用,这个标签用来处理枚举值再好不过了。

5.用<Block>把每个块分出来很方便。

6.我发现其实pit里的数据类型就<Blob>、<Number>、<String>三种

7.常用的属性其实就三个value、size、length、name

8.表示长度时要记得signed="false"

9. minOccurs="0" maxOccurs="50" 要成对出现,不然会报错

<Publisher class="file.FileWriter">

</Publisher>

这一对标签是Test标签中用于输出的类,参数如下。示例<Param name="FileName" value="FuzzedFile"/>

Supported Parameters:

  FileName: [REQUIRED] Name of file to open for reading/writing
Append: Append to end of file [true/false, default flase]
Overwrite: Replace existing file? [true/false, default true]

关于Fuzz——peach的学习的更多相关文章

  1. MP3 Fuzz学习

    这篇文章主要是学习一波MP3格式fuzz的知识.目录如下 0x0.MP3格式的构成 0x0.MP3格式的构成 MP3是一种通俗叫法,学名叫MPEG1 Layer-3.MP3是三段式的结构,依次由ID3 ...

  2. 使用peach工具进行fuzz测试

    本文简要介绍了Fuzz 工具Peach的使用,并通过文件格式 Fuzz举例阐述了 Peach Pit 文件的编写. 本文转自“绿盟科技博客”:http://blog.nsfocus.net/peach ...

  3. Android的fuzz测试技术之符号执行浅谈-android学习之旅(82)

    简单的漏洞越来越少,需要改进目前的方法 : 通过符号执行,得出执行路径,然后在进行fuzzy是较为有效的方法之一 1)为待测单元自动地生成可到达的测试数据,即提高测试目标的覆盖率 2)根据特定的漏洞模 ...

  4. ref:一系列用于Fuzzing学习的资源汇总

    ref:http://www.freebuf.com/articles/rookie/169413.html 一系列用于Fuzzing学习的资源汇总 secist2018-04-30共185833人围 ...

  5. Peach+Fuzzer

    目录 1 Peach是什么....................................................................................... ...

  6. 在 Peach 中使用发布者进行调试

    0x01 桃子平台 桃子平台(Peach)是一款流行的 Fuzz 平台,主要用作二进制文件及网络协议的模糊测试.其原理遵循基本的模糊测试流程,比较有特色的是它依赖用户所编写的 Pit 文件,同时输入的 ...

  7. python 学习笔记十三 JQuery(进阶篇)

    jQuery 是一个 JavaScript 库. jQuery 极大地简化了 JavaScript 编程. 安装jQuery 有两个版本的 jQuery 可供下载: Production versio ...

  8. python学习之路-day5-模块

    本节内容: 模块详解 1.模块定义 2.os&sys模块 3.time&datetime模块 4.random模块 5.shutil模块 6.shelve模块 7.configpars ...

  9. MongoDB的学习--文档的查询

    继续关于<MongoDB权威指南>记录,今天的内容是文档的查询~~ MongoDB官网地址:http://www.mongodb.org/ 我使用的是MongoDB 2.4.8 find函 ...

随机推荐

  1. laravel 中的 toSql 获取带参数的 sql 语句

    默认情况下,toSql 获取到的 sql 里面的参数使用 "?" 代替的,如下: DB::table('user')->where('id', 1)->toSql(); ...

  2. shell参数代表什么,如何调试shell?

    $0就是该bash文件名$?是上一指令的返回值$*所有位置参数的内容:就是调用调用本bash shell的参数.$@基本上与上面相同.只不过是“$*”返回的是一个字符串,字符串中存在多外空格.“$@” ...

  3. python学习(21) smtp发送邮件

    原文链接: https://www.jianshu.com/p/369ec15bfe22 本文介绍python发送邮件模块smtplib以及相关MIME模块.smtplib用于生成邮件发送的代理,发送 ...

  4. HAOI2018游记

    前言 很懒. 太懒了. 不仅懒得写题..连游记都懒得写.. 花点时间填一下坑吧..不过话说我去年的NOI/APIO/CTSC游记也没写.. 省选前 板子好像一早就打完了,没什么可干的. 也不愿意开新题 ...

  5. 触发器的SQL语法

    create trigger triggerName after/before insert/update/delete on 表名 for each row #这句话在mysql是固定的 begin ...

  6. Java泛型底层源码解析-ArrayList,LinkedList,HashSet和HashMap

    声明:以下源代码使用的都是基于JDK1.8_112版本 1. ArrayList源码解析 <1. 集合中存放的依然是对象的引用而不是对象本身,且无法放置原生数据类型,我们需要使用原生数据类型的包 ...

  7. 《xxx重大需求征集系统的》可用性和可修改性战术分析

    阅读<大型网站技术架构:核心与案例分析>,第五,六章,结合<河北省重大需求填报系统>,列举实例分析采用的可用性和可修改性战术,将上述内容撰写成一篇1500字左右的博客阐述你的意 ...

  8. CentOS 7快速入门系列教程(一)

    基本命令 ls 列举当前目录下的所有文件夹 ls -l 查看文件还是文件夹   d表示文件夹   -表示文件 ls --help man ls 询问命令 man 3 malloc 查看函数 cd 跳转 ...

  9. ETL 自动化测试框架

    分享个自己最近在做的自动化测试框架架构图. 数据的测试,入口一般定时任务.可添加参数选择执行任务的范围,也可以选择默认的执行范围.验证测试的为etl测试.数据库中的字段校验(通过对应关系.接口或者SQ ...

  10. 渐变色之location概念.

    CHENYILONG Blog 渐变色之location概念.全屏幕13-12-22 上午10:18 © chenyilong. Powered by Postach.io Blog