FFmpeg是一套可以用来记录、转换数字音频、视频，并能将其转化为流的开源计算机程序。应用范围广泛，国内诸多大厂也有使用。

Part1 漏洞状态

Part2 漏洞描述

FFmpeg 2.x允许远程攻击者通过在HTTP Live Streaming（HLS）M3U8文件中使用concat协议进行跨源攻击并读取任意文件，导致外部HTTP请求中的URL字符串包含本地文件。

影响范围
FFmpeg 2.8.x < 2.8.5
FFmpeg 2.7.x < 2.7.5
FFmpeg 2.6.x < 2.6.7
FFmpeg 2.5.x < 2.5.10

复现环境:
Kali 64
FFmpeg-2.8.1

Part3 漏洞复现

– 安装yasm-1.3.0
1）下载：wget http://www.tortall.net/projects/yasm/releases/yasm-1.3.0.tar.gz
2）解压：tar zxvf yasm-1.3.0.tar.gz
3）切换路径：cd yasm-1.3.0
4）执行配置：./configure
5）编译：make
6）安装：make install
– 安装FFmpeg-2.8.1
·wget 下载
https://ffmpeg.org/releases/ffmpeg-2.8.1.tar.bz2
·tar -xjvf ffmpeg-2.8.1.tar.bz2 解压下载的文件
·cd ffmpeg-2.8.1/
·编译和安装
./configure –enable-shared –prefix=/monchickey/ffmpeg
make
make install
运行后可能会提示找不到libavdevice.so.56
find / -name “libavdevice.so.56”
添加动态库路径(根据)

通过python exp脚本生成一个特殊构造的验证视频文件 file_read.avi

使用命令出发ffmpeg漏洞
./ffmpeg -i /home/kali/Desktop/poc/file_read.avi /home/kali/Desktop/poc/file_read.mp4

打开转换后的mp4文件

出现文件内容
复现成功！

漏洞细节:
由于漏洞是出现在解析HLS流媒体文件出的问题，所以我们必须先了解HLS。
HLS（HTTP Live Streaming）是Apple公司开发的一种基于HTTP协议的流媒体通信协议，大多数都应用在PC上和Iphone上。它的基本原理是把一个视频流分成很多个很小很小很小的ts流文件，然后通过HTTP下载，每次下载一点点。在一个开始一个新的流媒体会话时，客户端都会先下载一个m3u8（播放列表 Playlist）文件，里面包含了这次HLS会话的所有数据。

m3u8 文件结构如下：
#EXTM3U
#EXT-X-TARGETDURATION:6
#EXT-X-VERSION:2
#EXTINF:6,
http://**.flv.ts?ts_start=0&ts_end=5.9&ts_seg_no=0&ts_keyframe=1
#EXTINF:0,
http://**.flv.ts?ts_start=5.9&ts_end=6.367&ts_seg_no=1&ts_keyframe=1
#EXT-X-ENDLIST

解析：
#EXTM3U 标签是m3u8的文件头，开头必须要这一行
#EXT-X-TARGETDURATION 表示整个媒体的长度 这里是6秒
#EXT-X-VERSION:2 该标签可有可无
#EXTINF:6, 表示该一段TS流文件的长度
#EXT-X-ENDLIST 这个相当于文件结束符
这些是m3u8的最基本的标签，而问题就出在FFMpeg去请求TS流文件的时，由于我们可以伪造一个m3u8文件，FFMpeg不会判断里面的流地址，直接请求。

总结来说，就是通过构造一个特殊的流媒体文件，包含m3u8标签，里面内容指向kali系统内部的文件，这样 ffmpeg在转换视频文件的时候会读取指向的kali系统内部文件，并转换成视频。

这是通过winhex打开的特殊构造的avi文件，可以看到里面存在m3u8 文件结构。

Part4 修复缓解建议

1. 软件升级至最新版本。
2. 监控网络流量，查看是否有恶意代码的流量特征。
3. 安装主机卫士，设置IP白名单。

————————————————
获取更多情报
联系我们，获取更多漏洞情报详情及处置建议，让企业远离漏洞威胁。
电话：18511745601
邮箱：shiliangang@andisec.com