CVE-2016-10191 FFmpeg RTMP Heap Buffer Overflow 漏洞分析及利用

最新推荐文章于 2021-07-21 20:43:09 发布
置顶 最新推荐文章于 2021-07-21 20:43:09 发布
阅读量2k 收藏
点赞数
分类专栏: 二进制 文章标签: ffmpeg cve 缓冲区溢出 rtmp 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/axiejundong/article/details/78937126
版权
CVE-2016-10191 FFmpeg RTMP Heap Buffer Overflow 漏洞分析及利用一、前言FFmpeg是一个著名的处理音视频的开源项目,使用者众多。2016年末 paulcher 发现FFmpeg三个堆溢出漏洞分别为CVE-2016-10190、CVE-2016-10191以及CVE-2016-10192。网上对CVE-2016-10190已经有了很多分析文章,但是CVE
摘要由CSDN通过智能技术生成

CVE-2016-10191 FFmpeg RTMP Heap Buffer Overflow 漏洞分析及利用

一、前言

FFmpeg是一个著名的处理音视频的开源项目,使用者众多。2016年末 paulcher 发现FFmpeg三个堆溢出漏洞分别为CVE-2016-10190、CVE-2016-10191以及CVE-2016-10192。网上对CVE-2016-10190已经有了很多分析文章,但是CVE-2016-10191尚未有其他人分析过。本文详细分析了CVE-2016-10191,是学习漏洞挖掘以及利用一个非常不错的案例。

二、漏洞成因分析

在 RTMP协议中,最小的发送数据包的单位是一个 chunk。客户端和服务器会互相协商好发送给对方的 chunk 的最大大小,初始为 0x80 个字节。一个 RTMP Message 如果超出了Max chunk size, 就需要被拆分成多个 chunk 来发送。在 chunk 的 header 中会带有 Chunk Stream ID 字段(后面简称 CSID),用于对等端在收到 chunk 的时候重新组装成一个 Message,相同的CSID 的 chunk 是属于同一个 Message 的。

在每一个 Chunk 的 Message Header 部分都会有一个 Size 字段存储该 chunk 所属的 Message 的大小,按道理如果是同一个 Message 的 chunk 的话,那么 size 字段都应该是相同的。这次漏洞的起因是对于属于同一个 Message 的 Chunk的 size 字段没有校验前后是否一致,导致写入堆的时候缓冲区溢出。

漏洞发生在rtmppkt.c文件中的rtmp_packet_read_one_chunk函数中,漏洞相关部分的源代码如下

    size = size - p->offset;    //size 为 chunk 中提取的 size 字段
    //没有检查前后 size 是否一致
    toread = FFMIN(size, chunk_size);//控制 toread 的值
    if (ffurl_read_complete(h, p->data + p->offset, toread) != toread) {
        ff_rtmp_packet_destroy(p);
        return AVERROR(EIO);
    }

在 max chunk size 为0x80的前提下,如果前一个 chunk 的 size 为一个比较下的数值,如0xa0, 而后一个 chunk 的 size 为一个非常大的数值,如0x2000, 那么程序会分配一个0xa0大小的缓冲区用来存储整个 Message,第一次调用ffurl_read_complete函数会读取0x80个字节,放到缓冲区中,而第二次调用的时候也是读取0x80个字节,这就造成了缓冲区的溢出。

官方修补方案

非常简单,只要加入对前后两个 chunk 的 size 大小是否一致的判断就行了,如果不一致的话就报错,并且直接把前一个 chunk 给销毁掉。

+    if (prev_pkt[channel_id].read && size != prev_pkt[channel_id].size) {
 +        av_log(NULL, AV_LOG_ERROR, "RTMP packet size mismatch %d != %d\n",
 +                size,
 +                prev_pkt[channel_id].size);
 +        ff_rtmp_packet_destroy(&prev_pkt[channel_id]);
 +        prev_pkt[channel_id].read = 0;
 +    }
 +

三、漏洞利用环境的搭建

漏洞利用的靶机环境

操作系统:Ubuntu 16.04 x64

FFmpeg 版本:3.2.1 (参照https://trac.ffmpeg.org/wiki/CompilationGuide/Ubuntu编译, 需要把官方教程中提及的所有 encoder编译进去。)

官方的编译过程由于很多都是静态编译,在一定程度上降低了利用难度。

四、漏洞利用脚本的编写

首先要确定大致的利用思路,由于是堆溢出,而且是任意多个字节的,所以第一步是观察一下堆上有什么比较有趣的数据结构可以覆盖。堆上主要有一个RTMPPacket结构体的数组,每一个 RTMPPakcet 就对应一个 RTMP Message, RTMPPacket 的结构体定义是这样的:

/**
 * structure for holding RTMP packets
 */
typedef struct RTMPPacket {
    int            channel_id; ///< RTMP channel ID (nothing to do with audio/video channels though)
    RTMPPacketType type;       ///< packet payload type
    uint32_t       timestamp;  ///< packet full timestamp
    uint32_t       ts_field;   ///< 24-bit timestamp or increment to the previous one, in milliseconds (latter only for media packets). Clipped to a maximum of 0xFFFFFF, indicating an extended timestamp field.
    uint32_t       extra;      /
最低0.47元/天 解锁文章
ddd0ng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MFC 播放FFMPEG SDL视频所需库
07-04
在MFC中调用FFMPEG SDL实现RTSP视频的播放 所需的库和头文件
CVE-2016-8655 Linux内核提权漏洞POC
11-18
CVE-2016-8655 Linux内核提权漏洞POC
北广传媒RTMP流媒体服务器漏洞
dianyimo9099的博客
09-15 194
北广传媒移动电视(http://www.bj-mobiletv.com/)的RTMP流媒体服务器有漏洞漏洞可以上我们通过他们的服务器向互联网直播视频 使用任意可以发布RTMP流媒体的客户端(例如:Adobe Flash Media Encoder,或者自己做一个Flash文件) 随便给流媒体起个名字,可以直接Publish到他们的服务器的名字叫“live”的地址...
FFMPEGRTMP流注意点
Teacian的博客
09-09 223
直接从硬件H264读取NALU包进行推流时,若使用AVPacket,必须手动设置关键帧的flag。 硬件H264编码器的码流中pts为系统时间,可以设置timebase为1/fsys,然后使用rescale类函数进行pts转换。
RTMP Packet构建
nicolelili1的专栏
12-16 682
/** * 发送h264 SPS与PPS参数集 */ void add_264_sequence_header(unsigned char* pps,unsigned char* sps,int pps_len,int sps_len){ int body_size = 16 + sps_len + pps_len; //按照H264标准配置SPS和PPS,共使用了16字节 ...
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle 漏洞利用
03-29
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle Shiro721 RememberMe Padding Oracle影响版本: - Apache Shiro 1.2.5,1.2.6,1.3.0,1.3.1,1.3.2,1.4.0-RC2,1.4.0,1.4.1 CVE-2016-4437 ...
librtmp长时间直播socket连接断开的原因
12-30
librtmp长时间直播socket连接断开的原因
CVE-2016-3720
02-22
这个项目是CVE-2016-3720 Demo,为了避免搭建环境,大佬们可以直接获取到这个资源。 相对应的分析文章是:https://blog.csdn.net/qq_36869808 可以在这篇文章看到分析的内容,感谢~当然如果非常需要这个资源,也...
RTMP服务器(一)
朱韦刚(zhuweigangzwg)的技术博客
10-22 8937
一:chunk_header/rtmp_header   块由头和数据组成。块头由三部分组成:     块基本头:1到3 字节 本字段包含块流ID和块类型。块类型决定编码的消息头的格式。长度取决于块流ID。块流ID是可变长字段。 块消息头:0,3,7或11字节。本字段编码要发送的消息的信息。本字段的长度,取决于块头中指定的块类型。 扩展时间戳:0个或4字节 本字段必须在发送普通时间
调用RTMP_SendPacket经常会出现阻塞现象
STN_LCD的专栏
03-31 3330
http://bbs.csdn.net/topics/391023560 获取屏幕图像,编码264并用librtmp发布成直播流,调用RTMP_SendPacket经常会出现阻塞现象,通常为几秒甚至10几秒,这导致直播流卡顿以及延时。 我在librtmp内部RTMP_Connect0中加入了send超时设置, C/C++ code ?
RTMP学习(九)rtmpdump源码阅读(4)建立连接
NB_vol_1的专栏
02-28 1261
建立连接 建立连接的步骤如下: 1、设置套接字的地址信息 2、调用RTMP_Connect0,和服务器建立套接字连接,套接字的连接是所有今后通信的基础,这里就是tcp的三次握手 3、调用RTMP_Connect1,进行rtmp内部的握手操作和网络连接操作。 入口函数: /* ** 1、设置套接字的地址信息 ** 2、调用RTMP_Connect0,和服务器建立套接字
Mismatch in datapacket 解决方法 (Delphi)
chelen_jak的专栏
04-13 3827
问题: 在旧电脑(Win7系统)复制了一个Delphi + SQl2008r2的程序到新电脑(Win10)登录时出现“Mismatch in datapacket”错误。 解决过程: 由于之前装SqlServer为了节约空间,没有选完全安装,以为是这个问题,所以补装了sql的全部的组件,发觉问题依旧。忽然想起会不会时midas.dll的问题,用 regedit 命令打...
FLV 格式详解
crl6的博客
07-21 4431
一、FLV格式介绍: 是Adobe发布的一种可以用于直播也可以用于点播的封装格式,以FLVTAG的形式存在,每一个TAG都是独立存在的,我们先用FlvAnalyzer.exe打开一个flv视频看看。 从上图可以看到FLV包括文件头(File Header)和文件体(File Body)两部分,其中文件体由一系列的Tag组成。 1. 文件头 Header 部分记录了FLV的类型、版本等信息,是FLV的开头。一般差不多占9bytes。具体格式如下: a. ...
CVE-2016-10190 FFmpeg Http协议 heap buffer overflow漏洞分析利用
weixin_33813128的博客
09-14 136
2019独角兽企业重金招聘Python工程师标准>>> ...
a different vulnerability than CVE-2016-4589, CVE-2016-4623, and CVE-2016-4624.是什么意思?
最新发布
07-25
"a different vulnerability than CVE-2016-4589, CVE-2016-4623, and CVE-2016-4624" 的意思是指一个与 CVE-2016-4589、CVE-2016-4623 和 CVE-2016-4624 不同的漏洞CVE(Common Vulnerabilities and Exposures)是一种公共漏洞和暴露标识符的命名方案,用于唯一标识计算机系统中的已知漏洞。每个CVE标识符都与特定的漏洞相关联。 在这句话中,提到了 CVE-2016-4589、CVE-2016-4623 和 CVE-2016-4624 这三个漏洞标识符。通过使用 "a different vulnerability" 这个短语,可以推断出在讨论的上下文中,还存在另一个与这三个漏洞不同的漏洞。 具体而言,这句话表达了在给定的情况下,存在多个漏洞,其中一个与 CVE-2016-4589、CVE-2016-4623 和 CVE-2016-4624 不同,可能需要进一步的信息或上下文来了解这个不同的漏洞是指什么。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值