ffmpeg 任意文件读取漏洞环境
Vulnhub官方复现教程
https://vulhub.org/#/environments/ffmpeg/phdays/
漏洞原理
FFmpeg可以处理HLS播放列表的特性,而播放列表可以引用外部文件。
通过在AVI文件中添加自定义的包含本地文件引用的HLS播放列表,可以触发该漏洞并在该文件播放过程中显示本地文件的内容。
复现漏洞
启动环境
https://blog.csdn.net/JiangBuLiu/article/details/93853056
进入路径为
cd /root/vulhub/ffmpeg/phdays
搭建及运行漏洞环境:
docker-compose build && docker-compose up -d
用时:20分钟(主要是下载的资源在国外服务器上,下的很慢)
环境启动后,访问http://your-ip:8080
即可查看。