粤通网安监测到并大中发了修改文档过来
问题地方:
风险位置:
1、/lib/armeabi-v7a/libijkffmpeg.so
2、/lib/armeabi/libijkffmpeg.so
生成apk,鼠标右键,用好压打开,去看下lib是不是有该libijkffmpeg.so
libijkffmpeg:它是对视频编码和解码的,准确说视频播放器会涉及到它
1、如果是你手动添加在lib上的删除即可,要确保删除对项目没影响
2、我项目依赖中自动引入的,所以得从依赖入手
原
根据它github的说法,这样引入是完整引入,就是会引入ijk模纤启式的so
所以不能这样引入,引入我们想要的so
改
提供 https://github.com/CarGuo/GSYVideoPlayer 可以详滚竖山细上去看看
打包完看果然没有了libijkffmpeg.so。
弄完记得测试项目视频播放有没有问题
FFmpeg 进行视频转码的时候,使用了 concat 协议中的 ‘ | ’ 语法,如下图官方文档所示:
所以针对这一点,我们利用 file 协议构造本地文件路径指令,并将其加于concat 协议中,使得 FFmpeg 在州氏处理视频流时候执行指令,将指令指向的内容直接加载到视频中,然后通过查看视频即可获得文件内容。
neex大神的poc
Local File Disclosure via ffmpeg
FFmpeg各版本的安装
FFmpeg安装中各种问题的解决方案纳尺
FFmpeg中的SSRF问题
本文内容参考网上知识洞迹高,自己从中实践感悟而来,希望能对大家有所帮助。
(菜鸡作者木有直接给poc的能力也很绝望啊)
如果牵扯版权问题请及时联系,愿意更改删减~~
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)