使用AFL对CS:GO进行模糊测试 - 详细教学文档<\/h1>

1. 背景介绍<\/h2>
本教学文档基于Anciety在先知社区分享的使用AFL对CS:GO进行模糊测试的经验。通过这种方法，作者在3天内发现了CS:GO中的3个远程可利用的栈相关漏洞和5个堆相关的内存损坏问题。<\/p>

2. BSP文件格式与攻击面<\/h2>

2.1 BSP文件概述<\/h3>

BSP代表Binary Space Partitioning(二进制空间分区)<\/li>
是Source引擎(包括CS:GO)使用的地图文件格式<\/li>
包含3D空间信息和其他游戏所需数据<\/li>

客户端和服务器都需要处理BSP文件<\/li> <\/ul>

2.2 攻击面分析<\/h3>

客户端在初始化地图时会从服务器下载BSP文件<\/li>
解析器入口函数：CModeLoader::Map_LoadModel<\/code><\/li>
共享解析代码存在于2007年泄露的Source引擎源代码中<\/li>

解析器安全防护较弱，是理想的模糊测试目标<\/li>
<\/ul>
3. 模糊测试环境搭建<\/h2>
3.1 基本设置<\/h3>

目标：Linux服务器二进制文件而非客户端<\/li>
参考项目：https:\/\/github.com\/niklasb\/bspfuzz<\/li>
预期性能：核心每秒100次执行<\/li>
<\/ul>
3.2 地图文件优化<\/h3>

原始地图文件过大(约300KB)<\/li>
编写脚本去除无用数据，保留文件结构完整性<\/li>
优化后文件大小：<16KB<\/li>
虽然不能完全加载，但能被Map_LoadModel<\/code>处理<\/li>
<\/ul>
3.3 服务器加载测试<\/h3>
$ LD_LIBRARY_PATH=<\/span>`<\/span>pwd`<\/span>\/bin .\/srcds_linux -game csgo -console -usercon \
<\/span><\/span><\/span><\/span>+game_type 0<\/span> +game_mode 0<\/span> +mapgroup mg_active +map test \
<\/span><\/span><\/span><\/span>-nominidumps -nobreakpad
<\/span><\/span><\/code><\/pre>4. Wrapper编写与补丁<\/h2>
4.1 Wrapper功能<\/h3>

调用DedicatedMain<\/code>启动服务器<\/li>
Patch engine.so<\/code>中的NET_CloseAllSockets<\/code>使其跳转到startpoint()<\/code><\/li>
调用forkserver()<\/code>供AFL fork<\/li>
调用CModelLoader::GetModelForName<\/code>加载指定地图<\/li>
快速退出<\/li>
<\/ol>
4.2 关键共享库<\/h3>

engine.so<\/code>: 主要Source引擎代码(含BSP解析)<\/li>
dedicated.so<\/code>: 专用服务器实现<\/li>
libtier0.so<\/code>: Steam\/应用管理相关<\/li>
<\/ul>
4.3 补丁说明<\/h3>

需要根据服务器版本调整偏移量<\/li>
使用Python脚本自动打补丁<\/li>
<\/ul>
5. AFL配置与修改<\/h2>
5.1 AFL修改点<\/h3>

强制输入文件以.bsp<\/code>结尾<\/li>
添加AFL_ENTRY_POINT<\/code>环境变量指定fork服务器启动点<\/li>
增加fork等待超时时间乘数<\/li>
<\/ol>
5.2 运行命令<\/h3>
$ export AFL_ENTRY_POINT=<\/span>$(<\/span>nm bspfuzz |& grep forkserver | cut -d' '<\/span> -f1)<\/span>
<\/span><\/span>$ export AFL_INST_LIBS=<\/span>1<\/span>
<\/span><\/span>$ afl-fuzz -m 2048<\/span> -Q -i fuzz\/in -o fuzz\/out -- .\/bspfuzz @@
<\/span><\/span><\/code><\/pre>5.3 性能数据<\/h3>

Ryzen 7 1800X处理器<\/li>
平均每线程每秒50次执行<\/li>
建议使用多进程并行fuzz<\/li>
<\/ul>
6. 漏洞分类与分析<\/h2>
6.1 分类方法<\/h3>

基于调用栈去重<\/li>
使用Valgrind检查每个样本<\/li>
搜索Invalid write<\/code>模式<\/li>
<\/ol>
6.2 分析步骤<\/h3>
$ sudo sysctl -w kernel.randomize_va_space=<\/span>0<\/span>  # 关闭ASLR<\/span>
<\/span><\/span>$ cd \/path\/to\/bspfuzz\/triage
<\/span><\/span>$ .\/triage.sh
<\/span><\/span>$ .\/valgrind.sh
<\/span><\/span>$ egrep 'Invalid write'<\/span> -A1 valgrind\/* | egrep at | perl -n -e '\/.*at (0x[print "$1\n";'<\/span>
<\/span><\/span><\/code><\/pre>6.3 逆向辅助<\/h3>

使用泄露的源码辅助逆向<\/li>
标记BSP解析代码符号<\/li>
验证漏洞在Windows客户端上的表现<\/li>
<\/ul>
7. 示例漏洞分析<\/h2>
7.1 CVirtualTerrain::LevelInit堆溢出<\/h3>

漏洞位置：cmodel_disp.cpp<\/code><\/li>
根本原因：dphysdisp_t::numDisplacements<\/code>可大于g_DispCollTreeCount<\/code><\/li>
Release版本缺少assert检查<\/li>
攻击者可控制m_dispHullOffset<\/code>缓冲区<\/li>
<\/ul>
7.2 漏洞代码片段<\/h3>
void<\/span> LevelInit<\/span>( dphysdisp_t *<\/span>pLump, int<\/span> lumpSize )
<\/span><\/span>{
<\/span><\/span>    if<\/span> ( !<\/span>pLump ) {
<\/span><\/span>        m_pDispHullData =<\/span> NULL;
<\/span><\/span>        return<\/span>;
<\/span><\/span>    }
<\/span><\/span>    
<\/span><\/span>    int<\/span> totalHullData =<\/span> 0<\/span>;
<\/span><\/span>    m_dispHullOffset.SetCount(g_DispCollTreeCount);
<\/span><\/span>    \/\/ [[1]] Assert在release版本中不存在
<\/span><\/span><\/span><\/span>    Assert(pLump-><\/span>numDisplacements==<\/span>g_DispCollTreeCount);
<\/span><\/span>    
<\/span><\/span>    unsigned<\/span> short<\/span> *<\/span>pDataSize =<\/span> (unsigned<\/span> short<\/span> *<\/span>)(pLump+<\/span>1<\/span>);
<\/span><\/span>    for<\/span> ( int<\/span> i =<\/span> 0<\/span>; i <<\/span> pLump-><\/span>numDisplacements; i++<\/span> ) {
<\/span><\/span>        if<\/span> ( pDataSize[i] ==<\/span> (unsigned<\/span> short<\/span>)-<\/span>1<\/span> ) {
<\/span><\/span>            m_dispHullOffset[i] =<\/span> -<\/span>1<\/span>;
<\/span><\/span>            continue<\/span>;
<\/span><\/span>        }
<\/span><\/span>        \/\/ [[2]] 当numDisplacements > g_DispCollTreeCount时发生溢出
<\/span><\/span><\/span><\/span>        m_dispHullOffset[i] =<\/span> totalHullData;
<\/span><\/span>        totalHullData +=<\/span> pDataSize[i];
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>7.3 触发条件<\/h3>

构造numDisplacements = 0xffff<\/code><\/li>
g_DispCollTreeCount = 2<\/code><\/li>
可导致csgo.exe<\/code>崩溃<\/li>
<\/ul>
8. 经验总结<\/h2>

AFL QEMU模式<\/strong>：灵活适用于小范围代码测试，配合wrapper效果更佳<\/li>
输入文件大小<\/strong>：关键因素，从300KB降到16KB带来5倍性能提升<\/li>
漏洞分类<\/strong>：对于未测试过的代码，分类至关重要<\/li>
堆内存损坏<\/strong>：Valve认为没有完整利用程序的堆漏洞不予修复(WONTFIX)<\/li>
逆向辅助<\/strong>：泄露的源码极大帮助了逆向工程<\/li>
<\/ol>
9. 扩展建议<\/h2>

尝试对Windows客户端进行模糊测试<\/li>
探索其他Source引擎游戏的BSP解析器<\/li>
开发自动化分类工具提高效率<\/li>
研究更精确的漏洞利用链构建方法<\/li>
<\/ol>
10. 参考资料<\/h2>

原始文章：先知社区《使用AFL对CS:GO进行模糊测试》<\/li>
参考项目：https:\/\/github.com\/niklasb\/bspfuzz<\/li>
Source引擎2007泄露代码：https:\/\/github.com\/VSES\/SourceEngine2007<\/li>
<\/ol>

使用AFL对CS:GO进行模糊测试 - 详细教学文档<\/h1>

1. 背景介绍<\/h2> 本教学文档基于Anciety在先知社区分享的使用AFL对CS:GO进行模糊测试的经验。通过这种方法，作者在3天内发现了CS:GO中的3个远程可利用的栈相关漏洞和5个堆相关的内存损坏问题。<\/p>

2. BSP文件格式与攻击面<\/h2>

3. 模糊测试环境搭建<\/h2>

4. Wrapper编写与补丁<\/h2>

5. AFL配置与修改<\/h2>

6. 漏洞分类与分析<\/h2>

7. 示例漏洞分析<\/h2>

10. 参考资料<\/h2> 原始文章：先知社区《使用AFL对CS:GO进行模糊测试》<\/li> 参考项目：https:\/\/github.com\/niklasb\/bspfuzz<\/li> Source引擎2007泄露代码：https:\/\/github.com\/VSES\/SourceEngine2007<\/li> <\/ol>

1. 背景介绍<\/h2>
本教学文档基于Anciety在先知社区分享的使用AFL对CS:GO进行模糊测试的经验。通过这种方法，作者在3天内发现了CS:GO中的3个远程可利用的栈相关漏洞和5个堆相关的内存损坏问题。<\/p>

10. 参考资料<\/h2>

原始文章：先知社区《使用AFL对CS:GO进行模糊测试》<\/li>
参考项目：https:\/\/github.com\/niklasb\/bspfuzz<\/li>
Source引擎2007泄露代码：https:\/\/github.com\/VSES\/SourceEngine2007<\/li> <\/ol>