CVE-2016-10190 FFmpeg Http协议 heap buffer overflow漏洞分析及利用

最新推荐文章于 2023-07-04 15:37:19 发布
VIP文章 最新推荐文章于 2023-07-04 15:37:19 发布
阅读量702 收藏 1
点赞数
分类专栏: 漏洞安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alimobilesecurity/article/details/77976729
版权

作者:栈长@蚂蚁金服巴斯光年安全实验室

————————

1. 背景

FFmpeg是一个著名的处理音视频的开源项目,非常多的播放器、转码器以及视频网站都用到了FFmpeg作为内核或者是处理流媒体的工具。2016年末paulcher发现FFmpeg三个堆溢出漏洞分别为CVE-2016-10190、CVE-2016-10191以及CVE-2016-10192。本文对CVE-2016-10190进行了详细的分析,是一个学习如何利用堆溢出达到任意代码执行的一个非常不错的案例。


2. 漏洞分析

FFmpeg的 Http 协议的实现中支持几种不同的数据传输方式,通过 Http Response Header 来控制。其中一种传输方式是transfer-encoding: chunked,表示数据将被划分为一个个小的 chunk 进行传输,这些 chunk 都是被放在 Http body 当中,每一个 chunk 的结构分为两个部分,第一个部分是该 chunk 的 data 部分的长度,十六进制,以换行符结束,第二个部分就是该 chunk 的 data,末尾还要额外加上一个换行符。下面是一个 Http 响应的示例。关于transfer-encoding: chunked更加详细的内容可以参考这篇文章


HTTP/1.1 200 OK

Server: nginx

Date: Sun, 03 May 2015 17:25:23 GMT

Content-Type: text/html

Transfer-Encoding: chunked

Connection: keep-alive

Content-Encoding: gzip

 

1f

HW(/IJ

 

0



漏洞就出现在libavformat/http.c这个文件中,在http_read_stream函数中,如果是以 chunk 的方式传输,程序会读取每个 chunk 的第一行,也就是 chunk 的长度那一行,然后调用s->chunksize = strtoll(line, NULL, 16);来计算 chunk size。chunksize的类型是int64_t,在下面调用了FFMIN和 buffer 的 size 进行了长度比较,但是 buffer 的 size 也是有符号数,这就导致了如果我们让chunksize等于-1, 那么最终传递给httpbufread函数的 size 参数也是-1。相关代码如下:


s->chunksize = strtoll(line, NULL, 16);


av_log(NULL, AV_LOG_TRACE, "Chunked encoding data size: %"PRId64"'\n",

s->chunksize);

 

if (!s->chunksize)

return 0;

        }

        size = FFMIN(size, s->chunksize);//两个有符号数相比较

    }

//...

read_ret = http_buf_read(h, buf, size);//可以传递一个负数过去


而在httpbufread函数中会调用ffurl_read函数,进一步把 size 传递过去。然后经过一个比较长的调用链,最终会传递到tcp_read函数中,函数里调用了recv函数来从 socket 读取数据,而recv的第三个参数是size_t类型,也就是无符号数,我们把size为-1传递给它的时候会发生有符号数到无符号数的隐式类型转换,就变成了一个非常大的值0xffffffff,从而导致缓冲区溢出。


static int http_buf_read(URLContext *h, uint8_t *buf, int size)

{

    HTTPContext *s = h->priv_data;

    intlen;

    /* read bytes from input buffer first */

    len = s->buf_end - s->buf_ptr;

    if (len> 0) {

        if (len> size)

            len = size;

        memcpy(buf, s->buf_ptr, len);

        s->buf_ptr += len;

    } else {

        //...

       len = ffurl_read(s->hd, buf, size);//这里的 size 是从上面传递下来的

static int tcp_read(URLContext *h, uint8_t *buf, int size)

{

    TCPContext *s = h->priv_data;

    int ret;

 

    if (!(h->flags & AVIO_FLAG_NONBLOCK)) {

        //...

    }

    ret = recv(s->fd, buf, size, 0);    //最后在这里溢出 


可以看到,由有符号到无符号数的类型转换可以说是漏洞频发的重灾区,写代码的时候稍有不慎就可能犯下这种错误,而且一些隐式的类型转换编译器并不会报 warning。如果需要检测这样的类型转换,可以在编译的时候添加-Wconversion -Wsign-conversion这个选项。


官方修复方案

官方的修复方法也比较简单明了,把HTTPContext这个结构体中所有和 size,offset 有关的字段全部改为unsigned类型,把strtoll函数改为strtoull函数,还有一些细节上的调整等等。这么做不仅补上了这次的漏洞,也防止了类似的漏洞不会再其他的地方再发生。放上官方补丁的链接


3. 利用环境搭建

漏洞利用的靶机环境

最低0.47元/天 解锁文章
阿里安全
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
CVE-2016-10191 FFmpeg RTMP Heap Buffer Overflow 漏洞分析利用
weixin_34124939的博客
09-20 187
作者:栈长@蚂蚁金服巴斯光年安全实验室 一、前言 FFmpeg是一个著名的处理音视频的开源项目,使用者众多。2016年末paulcher发现FFmpeg三个堆溢出漏洞分别为CVE-2016-10190CVE-2016-10191以及CVE-2016-10192。网上对CVE-2016-10190已经有了很多分析文章,但是CVE-2016-10191尚未...
CVE-2016-10190 FFmpeg Heap Overflow 漏洞分析
CD的博客
08-06 1403
0x01 漏洞分析 简单来说,是因为变量在传递过程中的类型不一致,导致了传入的负数被转化为极大数,最终导致了堆溢出漏洞。 在溢出的buffer的高地址处,刚好有可利用的对象,其中的函数指针可以被覆盖。如此,就可以在后续调用这个函数指针的时候成功劫持程序的控制流。 1.1 正常情况下的程序功能 ffmpeg的-i选项可以从指定的输入流获取视频,并保存为AVI格式。下面是一个正常使用的例子...
LeetCode 报错 heap-buffer-overflow的解决方法
雪的博客
07-13 4万+
问题描述 在leetcode刷题过程中,遇到运行报错: heap-buffer-overflow*****,详见如下: ================================================================= ==30==ERROR: AddressSanitizer: heap-buffer-overflow on address 0x603000000...
stack-overflowheap-buffer-overflow 等常见执行错误的原因以及改正方法
Dusong_的博客
02-06 4997
你是否会在写完一整串代码之后提交,发现leetcode报错了一大堆看不懂的英文呢?最后在代码中找大半天bug,学会总结会让你少走很多弯路!对照你的报错信息,在简单的例子中找出你的错误吧。
CVE-2016-8655 Linux内核提权漏洞POC
11-18
CVE-2016-8655 Linux内核提权漏洞POC
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
[C语言]leetcode坑爹的二维数组问题导致heap-buffer-overflow记录
gsp1004的博客
07-20 1021
leetcode中出现heap-buffer-overflow问题的另类导致原因。二维数组/多维数组问题导致
LeetCode 报错解决 heap-buffer-overflow Heap-use-after-free Stack-buffer-overflow Global-buffer-overflow
热门推荐
个人博客
03-24 5万+
文章目录前言Heap-buffer-overflowHeap-use-after-freeStack-buffer-overflowGlobal-buffer-overflow 前言 在做LeetCode题时发现一个有趣的事情。 对于C语言来说,如果直接访问超出Index的数组,会报错: int main(int argc, char **argv) { int array [100];...
Leetcode中解决stack/heap-buffer-overflow错误
lijianyi0219的博客
12-22 1万+
文章目录前言一、stack-buffer-overflow解决方法二、heap-buffer-overflow解决方法总结 前言 在leetcode中使用C语言做题时,可能会出现stack-buffer-overflow或者heap-buffer-overflow的问题,在这里,我记录一下自己遇到此类错误时一般的出错原因。 一、stack-buffer-overflow 我没有截图可以放上来,大家的错误信息应该都不一样,但是第一句话都是stack buffer overflow。 遇到该错误时,可能由于
力扣报错heap-buffer-overflow
hover_load的博客
11-02 3601
今天的签到题,做完之后力扣报错:heap-buffer-overflow,原因是对地址的非法访问。(找了半天错。。。代码如下: /** * Note: The returned array must be malloced, assume caller calls free(). */ int* intersection(int* nums1, int nums1Size, int* nums2, int nums2Size, int* returnSize){ int *X=(int *)ma
ERROR: AddressSanitizer: heap-buffer-overflow on address 0x603000000090 at pc 0x00000034d628 bp 0x7f
最新发布
CFY1226的博客
07-04 2031
所以在sum+=nums[i];这里,实际上访问的是数组的第i个元素,而不是当前元素。当i的值大于nums的长度时,就会发生访问越界,导致。的问题,这通常是由于。
Leetcode 常见报错原因之 heap-buffer-overflow on address 和 reference binding to misaligned address
qq_39220334的博客
01-19 1万+
1. SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior 对数组进行操作时,一定要注意数组的可索引范围,保证数组不发生越界。在 Leetcode 中数组越界会给出如下几种报错信息: 1. AddressSanitizer: heap-buffer-overflow on address 报错信息: ==42==ERROR: AddressSanitizer: heap-buffer-overflow on address 0x60300000032
【C语言刷LeetCode】Address Sanitizer 常见报错
kinbo88的专栏
03-01 1万+
LeetCode使用 AddressSanitizer 检查内存是否存在非法访问,报此错,主要是访问了非法内容。 Address Sanitizer(ASan)是google开发一个快速的内存错误检测工具,性能据说比valgrind要好不少,可以配合clang或者GCC编译器使用,GCC需要4.8及以上版本。 详细了解AddressSanitizer信息可以访问其github项目地址:http...
最新系统漏洞--FFmpeg堆缓冲区溢出漏洞
weixin_48555088的博客
10-18 475
最新系统漏洞2021年7月15日 受影响系统: FFmpeg FFmpeg 4.2 描述: CVE(CAN) ID: CVE-2020-22035 FFmpegFFmpeg团队的一套可录制、转换以及流化音视频的完整解决方案。 FFmpeg 4.2版本libavfilter/vf_bm3dc的get_block_row存在堆缓冲区溢出漏洞。攻击者可利用漏洞导致内存破坏。 <**> 建议: 厂商补丁: FFmpeg 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: https:
php 漏洞 怎么解决,php安全漏洞怎么修复?
weixin_39869693的博客
03-09 3618
该楼层疑似违规已被系统折叠隐藏此楼查看此楼PHP PHAR扩展安全漏洞(CVE-2016-4072)PHP ‘php_filter_encode_url’函数整数溢出漏洞(CVE-2016-4345)PHP ‘str_pad’函数整数溢出漏洞(CVE-2016-4346)PHP‘wddx_stack_destroy’函数释放后重用漏洞(CVE-2016-7413)PHP Calendar...
windows server cve-2016-2183 ssl/tls协议信息泄露漏洞修复脚本
05-01
CVE-2016-2183是一种SSL/TLS协议信息泄露漏洞,可能允许攻击者披露SSL/TLS连接的一些内容,包括密钥。为了缓解该漏洞的风险,需要使用Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本。 修复脚本...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值