使用libFuzzer fuzz Chrome V8入门指南

V8（也称为Chrome V8）是由Chromium Project开发的用于Google Chrome浏览器的开源JavaScript引擎。使用V8的其他项目包括Couchbase，MongoDB和Node.js.等。在本文的帮助下，可能您会对其有更为深入的了解。

众所周知Google做事情总是会有点不一样，所以它不会像./configure && make那么简单。但是一旦您找出正确的过程，这其实真的并不难。因此再次感谢Google给我指出正确的方向。

克隆depot_tools资料库：

m.googlesource.com/chromium/tools/depot_tools.git

添加depot_tools到您的PATH结尾（您可能想把它放在您的~/.bashrc或~/.zshrc）。假设您克隆depot_tools到/path/to/depot_tools：

$ export PATH="$PATH:/path/to/depot_tools"

现在我们得到了我们将要fuzzing的代码，然后创建chromium用于结帐的目录并更改它：

$ mkdir ~/chromium && cd ~/chromium

从depot_tools 上运行工具fetch以查看代码及其依赖关系。

$ fetch --nohooks --no-history chromium

该–no-history选项将加快速度，因为它不会拉下整个git历史，事实上我们并不是真正需要fuzzing。

其余的说明假设您已切换到src目录：

$ cd src

举个例子，我使用的是Ubuntu 16.04 x64，而如果您正在使用Debian，那么这些说明也应该适用于您。否则，您可能需要调整构建依赖关系。

安装附加的构建依赖项。

$ build/install-build-deps.sh

运行钩子

$ gclient runhooks

现在，您已经有了开始构建fuzzing器所需的代码库和工具。对于这个例子，我使用的是libFuzzer而不是AFL。

构建fuzzer

首先，我们将运行这个命令来设置我们的目标：

$ gn gen out/libfuzzer '--args=use_libfuzzer=true is_asan=true is_ubsan_security=true is_debug=false enable_nacl=false' --check

这将使构建得这个系统去使用libFuzzer，ASan和UBSan。当它成功运行时，您将受到类似Done. Made 6168 targets from 1323 files in 9620ms的消息的欢迎。接下来运行gn ls out/libfuzzer | grep fuzzer，您会收到一个包含约519个条目的列表，其中大部分我们不会关心。在这个例子中，我要选一个json解析器，所以让我们来gn ls out/libfuzzer | grep json一下看看弹出的内容：

//components/json_schema:json_schema
//components/json_schema:unit_tests
//components/json_schema:unit_tests_bundle_data
//components/ntp_tiles:json_unsafe_parser
//components/safe_json:safe_json
//components/safe_json:test_support
//components/safe_json:unit_tests
//components/safe_json/public/interfaces:interfaces
//components/safe_json/public/interfaces:interfaces__check_deps_are_all_mojom
//components/safe_json/public/interfaces:interfaces__generator
//components/safe_json/public/interfaces:interfaces__is_mojom
//components/safe_json/public/interfaces:interfaces__type_mappings
//components/safe_json/public/interfaces:interfaces_blink
//components/safe_json/public/interfaces:interfaces_blink__generator
//components/safe_json/public/interfaces:interfaces_blink__type_mappings
//components/safe_json/public/interfaces:interfaces_js
//components/safe_json/public/interfaces:interfaces_js__generator
//components/safe_json/public/interfaces:interfaces_js_data_deps
//components/safe_json/public/interfaces:interfaces_shared
//components/safe_json/public/interfaces:interfaces_shared__generator
//components/safe_json/public/interfaces:interfaces_shared_cpp_sources
//components/safe_json/utility:utility
//content/browser/devtools:compressed_protocol_json
//extensions/shell/common/api:shell_api_features_json_features
//extensions/shell/common/api:shell_behavior_features_json_features
//extensions/shell/common/api:shell_manifest_features_json_features
//extensions/shell/common/api:shell_permission_features_json_features
//extensions/test:test_api_features_json_features
//extensions/test:test_behavior_features_json_features
//extensions/test:test_manifest_features_json_features
//extensions/test:test_permission_features_json_features
//gpu/config:process_json
//testing/libfuzzer/fuzzers:base_json_reader_fuzzer
//testing/libfuzzer/fuzzers:v8_json_parser_fuzzer
//testing/libfuzzer/fuzzers:v8_json_parser_fuzzer.options
//testing/libfuzzer/fuzzers:v8_json_parser_fuzzer_dict_copy
//third_party/WebKit/Source/platform:blink_json_parser_fuzzer
//third_party/WebKit/Source/platform:blink_json_parser_fuzzer.options
//third_party/WebKit/Source/platform:blink_json_parser_fuzzer_dict_copy
//third_party/angle/src/vulkan_support:vulkan_gen_json_files
//third_party/dom_distiller_js:json_values_converter_test_proto
//third_party/dom_distiller_js:json_values_converter_test_proto_gen
//third_party/dom_distiller_js:json_values_converter_tests
//third_party/jsoncpp:jsoncpp
//third_party/webrtc/base:rtc_json
//third_party/webrtc/rtc_base:rtc_json
//tools/json_schema_compiler:generated_api_util
//tools/json_schema_compiler/test:api
//tools/json_schema_compiler/test:api_schema_generator
//tools/json_schema_compiler/test:features_compiler_test
//tools/json_schema_compiler/test:features_compiler_test_json_features
//tools/json_schema_compiler/test:unit_tests
//v8:json_fuzzer
//v8:v8_simple_json_fuzzer

我觉得v8_json_parser_fuzzer看起来是一个不错的选择。所以为了构建这个特定的fuzzer，我们需要运行这个命令：

$ ninja -C out/libfuzzer v8_json_parser_fuzzer

您会看到[55/1074] CXX obj/third_party/libFuzzer/libfuzzer/FuzzerExtraCounters.o正在构建的文字。这一步可能需要一段时间，所以请耐心等待一杯咖啡的时间。一旦完成，cd out/libfuzzer以及您将要发现的v8_json_parser_fuzzerfuzzer就会连同v8_json_parser_fuzzer.dict的字典文件以及一个v8_json_parser_fuzzer.optionslibFuzzer选项文件一起来让您可以使用它定义各种东西。但我们现在不会对此进行深入。各位可以随意探索。

接下来为您的起始语料库创建一个目录，并根据所需将其命名为：

$ mkdir json_parser_corpus

使用您的json文件填写json_parser_corpus。这里我没有使用附带的V8fuzzing语料库，因为每个人以及他们的fuzzing都被填满了。如果您不想自己找一个示例，那么您可以使用下面这个：

{
    "colorsArray":[{
        "colorName":"red",
        "hexValue":"#f00"
    },
    {
        "colorName":"green",
        "hexValue":"#0f0"
    },
    {
        "colorName":"blue",
        "hexValue":"#00f"
    },
    {
        "colorName":"cyan",
        "hexValue":"#0ff"
    },
    {
        "colorName":"magenta",
        "hexValue":"#f0f"
    },
    {
        "colorName":"yellow",
        "hexValue":"#ff0"
    },
    {
        "colorName":"black",
        "hexValue":"#000"
    }
    ]
}

如果您只有一个核心，那么您的命令行将是：

$ ./v8_json_parser_fuzzer json_parser_corpus/ -dict=v8_json_parser_fuzzer.dict

而如果您有多个核心：

$ ./v8_json_parser_fuzzer json_parser_corpus/ -dict=v8_json_parser_fuzzer.dict -jobs=X -workers=X

注意： -jobs=X X是您希望fuzzer在找到触发特定job中止或崩溃的事件之后重新启动-workers=X的次数，X是要使libFuzzer利用的CPU内核数。

最后，恭喜您现在正在对V8进行fuzzing，我非常希望您能因此而找到一两个漏洞。