剛剛把環(huán)境搭建好了。��。�����。搭建環(huán)境永遠(yuǎn)是最討厭的一步
如果你只是想看看codeql運(yùn)行起來有什么效果 ����,怎么運(yùn)行,大概怎么使用���。那么我建議你打開這個(gè)公共課程
CodeQL U-Boot Challenge (C/C++) | GitHub Learning LabLearn to use CodeQL, a query language that helps find bugs in source code. Find 9 remote code execution vulnerabilities in the open-source project Das U-Boot, and join the growing community of security researchers using CodeQL.https://lab.github.com/githubtraining/codeql-u-boot-challenge-(cc++)只要有g(shù)ithub賬號就可以開始學(xué)習(xí)了,它會一步步帶你做完這個(gè)過程的���。
我今天大概就做了以下幾步���。(全程在ubuntu上 )
1.安裝vscode vscode直接下載安裝很慢,需要修改下載前綴 下載完使用命令行解壓 打開vscode命令是code
2.下載codeql命令行(對應(yīng)linux版本) 下載起來也是慢的要死����,然后找第三方網(wǎng)站下載成功。
?? 下載完成以后解壓然后將路徑添加到PATH里 然后命令行使用codeql能不能用
3.下載codeql庫
4.下載codeql u-boot這個(gè)項(xiàng)目和它的數(shù)據(jù)庫(已經(jīng)經(jīng)過codeql數(shù)據(jù)庫) (git clone很慢的話就直接下載.zip吧)
5.打開vscode 下載codeql插件 下載好以后 把codeql cli 路徑填進(jìn)去(可執(zhí)行文件路徑)�。然后把codeql庫導(dǎo)入����,然后把codeql u-boot添加到workpalce (add folder to workplace)
6.添加u-boot已經(jīng)編譯好的數(shù)據(jù)庫
7.可以使用查詢了 并且顯示查詢結(jié)果
如圖所示 這就是經(jīng)過codeql查詢以后顯示的 u-boot項(xiàng)目漏洞和污點(diǎn)追蹤流程
如果不明白可以看:CodeQL 環(huán)境搭建 - 簡書
下面這些鏈接如果錯(cuò)了也很正常��。����。。����。。反正我成功了��。
命令行codeql:GitHub - github/codeql-cli-binaries: Binaries for the CodeQL CLI
codeql庫:https://github.com/github/codeql
uboot數(shù)據(jù)庫:https://downloads.lgtm.com/snapshots/cpp/uboot/u-boot_u-boot_cpp-srcVersion_d0d07ba86afc8074d79e436b1ba4478fa0f0c1b5-dist_odasa-2019-07-25-linux64.zip
uboot項(xiàng)目:https://codeload.github.com/AlphaGir/codeql-uboot/zip/refs/heads/main
vscode:http://vscode.cdn.azure.cn/stable/7f6ab5485bbc008386c4386d08766667e155244e/code_1.60.2-1632313585_amd64.debhttp://vscode.cdn.azure.cn/stable/7f6ab5485bbc008386c4386d08766667e155244e/code_1.60.2-1632313585_amd64.deb
反正我明白了�,他們說的那個(gè)vscode-starter其實(shí)可以不用管,codeql自己就有庫可以直接下載用
codeql 使用過程 首先利用codeql編譯源碼 生成一個(gè)數(shù)據(jù)庫 ->自己寫查詢語句利用codeql庫進(jìn)行查詢->得出查詢結(jié)果
