CVE-2016-10190 FFmpeg Http协议 heap buffer overflow漏洞分析及利用

最新推荐文章于 2024-04-20 09:34:00 发布
最新推荐文章于 2024-04-20 09:34:00 发布
阅读量951 收藏 2
点赞数
分类专栏: 二进制 文章标签: ffmpeg http协议 漏洞 缓冲区溢出 cve
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/axiejundong/article/details/78937138
版权

1. 背景

FFmpeg是一个著名的处理音视频的开源项目,非常多的播放器、转码器以及视频网站都用到了 FFmpeg 作为内核或者是处理流媒体的工具。2016年末 paulcher 发现FFmpeg三个堆溢出漏洞分别为CVE-2016-10190、CVE-2016-10191以及CVE-2016-10192。本文对CVE-2016-10190进行了详细的分析,是一个学习如何利用堆溢出达到任意代码执行的一个非常不错的案例。

2. 漏洞分析

FFmpeg 的 Http 协议的实现中支持几种不同的数据传输方式,通过 Http Response Header 来控制。其中一种传输方式是transfer-encoding: chunked, 表示数据将被划分为一个个小的 chunk 进行传输,这些 chunk 都是被放在 Http body 当中,每一个 chunk 的结构分为两个部分,第一个部分是该 chunk 的 data 部分的长度,十六进制,以换行符结束,第二个部分就是该 chunk 的 data,末尾还要额外加上一个换行符。下面是一个 Http 响应的示例。关于transfer-encoding: chunked更加详细的内容可以参考这篇文章

HTTP/1.1 200 OK
Server: nginx
Date: Sun, 03 May 2015 17:25:23 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Content-Encoding: gzip

1f
�H���W(�/�I�J

0

漏洞就出现在libavformat/http.c这个文件中,在http_read_stream函数中,如果是以 chunk 的方式传输,程序会读取每个 chunk 的第一行,也就是 chunk 的长度那一行,然后调用s->chunksize = strtoll(line, NULL, 16);来计算 chunk size。chunksize的类型是int64_t,在下面调用了FFMIN和 buffer 的 size 进行了长度比较,但是 buffer 的 size 也是有符号数,这就导致了如果我们让 chunksize 等于-1, 那么最终传递给http_buf_read函数的 size 参数也是-1。 相关代码如下:

                s->chunksize = strtoll(line, NULL, 16);

                av_log(NULL, AV_LOG_TRACE, "Chunked encoding data size: %"PRId64"'\n",
                        s->chunksize);

                if (!s->chunksize)
                    return 0;
        }
        size = FFMIN(size, s->chunksize);//两个有符号数相比较
    }
//...
    read_ret = http_buf_read(h, buf, size);//可以传递一个负数过去

而在 http_buf_read函数中会调用ffurl_read函数,进一步把 size 传递过去。然后经过一个比较长的调用链,最终会传递到tcp_read函数中,函数里调用了recv函数来从 socket 读取数据,而 recv 的第三个参数是size_t类型,也就是无符号数,我们把size为-1传递给它的时候会发生有符号数到无符号数的隐式类型转换,就变成了一个非常大的值0xffffffff, 从而导致缓冲区溢出。

static int http_buf_read(URLContext *h, uint8_t *buf, int size)
{
    HTTPContext *s = h->priv_data;
    int len;
    /* read bytes from input buffer first */
    len = s->buf_end - s->buf_ptr;
    if (len > 0) {
        if (len > size)
            len = size;
        memcpy(buf, s->buf_ptr, len);
        s->buf_ptr += len;
    } else {
        //...
        len = ffurl_read(s->hd, buf, size);//这里的 size 是从上面传递下来的
static int tcp_read(URLContext *h, uint8_t *buf, int size)
{
    TCPContext *s = h->priv_data;
    int ret;

    if (!(h->flags & AVIO_FLAG_NONBLOCK)) {
        //...
    }
    ret = recv(s->fd, buf, size, 0);    //最后在这里溢出

可以看到,由有符号到无符号数的类型转换可以说是漏洞频发的重灾区,写代码的时候稍有不慎就可能犯下这种错误,而且一些隐式的类型转换编译器并不会报 warning。如果需要检测这样的类型转换,可以在编译的时候添加-Wconversion -Wsign-conversion这个选项。

官方修复方案

官方的修复方法也比较简单明了,把HTTPContext这个结构体中所有和 size,offset 有关的字段全部改为unsigned类型,把strtoll函数改为strtoull函数,还有一些细节上的调整等等。这么做不仅补上了这次的漏洞,也防止了类似的漏洞不会再其他的地方再发生。放上官方补丁的链接

3. 利用环境搭建

漏洞利用的靶机环境

操作系统:Ubu

最低0.47元/天 解锁文章
ddd0ng
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2016-10190 FFmpeg Heap Overflow 漏洞分析
CD的博客
08-06 1426
0x01 漏洞分析 简单来说,是因为变量在传递过程中的类型不一致,导致了传入的负数被转化为极大数,最终导致了堆溢出漏洞。 在溢出的buffer的高地址处,刚好有可利用的对象,其中的函数指针可以被覆盖。如此,就可以在后续调用这个函数指针的时候成功劫持程序的控制流。 1.1 正常情况下的程序功能 ffmpeg的-i选项可以从指定的输入流获取视频,并保存为AVI格式。下面是一个正常使用的例子...
nginx —— win下搭建nginx - hls服务,使用FFmpeg进行rtmp/http/m3u8推拉流(附跨域问题解决)
wx微信公众号“码农总动员”,获取更多编程知识
08-24 1466
nginx —— win下搭建nginx - hls服务,使用FFmpeg进行rtmp/http/m3u8推拉流
探索技术新星:Buffer_Overflow漏洞利用与防护实践
最新发布
gitblog_00081的博客
04-20 336
探索技术新星:Buffer_Overflow漏洞利用与防护实践 项目地址:https://gitcode.com/gh0x0st/Buffer_Overflow 在网络安全的世界里,Buffer Overflow是一个著名的漏洞,它允许恶意攻击者超越程序原本的控制流,执行任意代码。Buffer_Overflow 是一个由开发者 gh0x0st 创建的开源项目,旨在帮助学习和理解这种漏洞的本质...
buffer overflow 分析
hunter
01-17 767
1.打开app 就马上出现buffer overflow的Log, 定位问题的代码段? 1.1 api有问题? 1.2 js有问题?我都没点呢? 1.3字符串相关的位置
【无标题】AddressSanitizer :heap-buffer-overflow
光明
04-30 434
leetcode调试代码遇到上述问题,在vs编译器中不出错。内存是正常申请的,不应该overflow才对。经过逐行注释,发现问题出在array=parray赋值的地方。尝试,1.把parraymalloc申请内存注释掉,问题消失。 2.把parray赋值给array后,赋值为NUL,问题消失。 推测:函数内的野指针会被检测到。 char* convert(char* s, int numRows) { char* parray = NULL; char *array = NULL..
ffmpeg 之 http 分析
陌上烟雨遥的博客
02-27 1743
一 协议简介 http(超文本传输协议)它是一个简单的请求响应协议,工作在tcp 之上,请求响应信息是ASCII 编码,消息内容是则具有一个类似MIME的格式。两台计算机之间使用HTTP通信,必定一个是客户端,一个是服务端。用于HTTP协议交互的信息统称为报文,请求端的HTTP报文叫做请求报文, 响应端的报文叫做响应报文。 二 请求报文 请求报文格式为:请求行 + 请求头部 + 空行+ 报文主体。 第一部分:请求行, 方法 + 路径 + 版本号 第二部分:请求头部,紧接着请求行,用来说明服...
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
CVE-2016-8655 Linux内核提权漏洞POC
11-18
CVE-2016-8655 Linux内核提权漏洞POC
ffmpeg_http_multiclient_demo.c例子
01-29
FFmpeg是领先的多媒体框架,能够解码,编码, 转码,复用,解复用,流,过滤和播放人类和机器创造的任何东西(ffmpeg http multiclient demo.c)
oracle 补丁 mysql_Oracle Critical Patch Update - October 2017
weixin_31809171的博客
02-08 1025
Oracle Critical Patch Update Advisory - October 2017DescriptionA Critical Patch Update (CPU) is a collection of patches for multiple security vulnerabilities. Critical Patch Update patches are usually...
Weblogic漏洞CVE -2017-10271解决方案
仅此而已
03-11 5512
补丁包下载链接:https://pan.baidu.com/s/1i6jvOBq6VZAS1XUXGDmMlg 提取码:k6sn
2017年10月 oracle 关键补丁更新
地 衣
10-31 5169
注:本文出自http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html              检查你的系统,是否打了最新的补丁。。。。。。。。。。。。。 Oracle Critical Patch Update Advisory - October 2017 Description A Crit
ffmpeg 之 http 分析
陌上烟雨遥的博客
02-28 1457
1 前言 本文我们学习关于HTTP 是如何在FFMPEG 中实现的,关于HTTP 协议部分请参考《ffmpeg 之 http 分析 一》, 只有熟悉了http 协议部分,我们在阅读http 源码时才能有的放矢,不至于迷失方向。 和其他demuxer 一样, 我们从分析其给外界开出的API 入手。 const URLProtocol ff_http_protocol = { .name = "http", .url_open2 = h.
使用nginx和ffmpeg搭建HTTP FLV流媒体服务器(摄像头RTSP视频流->RTMP->http-flv)
weixin_38340874的博客
07-21 8095
名词解释RTSP是一种网络协议,用于控制实时流媒体的传输。它是一种应用层协议,通常用于在客户端和流媒体服务器之间建立和控制媒体流的传输。RTSP允许客户端向服务器发送请求,如播放、暂停、停止、前进、后退等,以控制媒体流的播放和操作。RTSP可以与不同的传输协议(如RTP、TCP、UDP)结合使用,以实现实时的音视频流传输。它在视频监控、流媒体直播、视频会议等应用中广泛使用。RTMPRTMP(Real-Time Messaging Protocol)是一种用于实时数据传输的网络协议。
ffmpeg中的http协议相关代码阅读笔记
toymaker的专栏
11-26 8219
ffmpeg中的http协议相关代码阅读笔记今天闲来无事,尝试看了下ffmpeg中的相关http协议传输处理代码先简单说下这个代码在整个仓库里面的位置:ffmpeg/libavformat/http.hffmpeg/libavformat/http.c avoi.h中的函数调用分析avoi.h是ffmpeg中libavformat/目录下的一个重要的头文件,这个文件主要处理了一些传输协议的传输封装。他的封装过程是通过函数指针来实现的。可以先看http.c文件中的最后一个结构体:URLProtocol htt
FFmpeg技术进行HTTP串流转RTMP的介绍
m0_60259116的博客
05-23 909
这个应用主要是将HTTP的串流转换成RTMP协议传送到Adobe Flash Media Server或Wowza Media Server的媒体服务器。 RTMP的协议有以下的参数: RTMP: 其原始采用TCP port 1935 RTMPS: 将RTMP加载到SSL的安全机制,就类似HTTPS。 RTMPE: 采用Adobe所提供给RTMP所发展的加密版本。 RTMPT: 在RTMP上加挂he RTMP protocol 封裝在HTTP請求中,可以穿越防火牆。這是一個很不错的協議,使用TCP
windows server cve-2016-2183 ssl/tls协议信息泄露漏洞修复脚本
05-01
CVE-2016-2183是一种SSL/TLS协议信息泄露漏洞,可能允许攻击者披露SSL/TLS连接的一些内容,包括密钥。为了缓解该漏洞的风险,需要使用Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本。 修复脚本...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值