压缩炸弹(zipbomb)制作(附演示)

最新推荐文章于 2025-04-22 11:28:37 发布
最新推荐文章于 2025-04-22 11:28:37 发布
阅读量2.3w 收藏 42
点赞数 10
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fenwangduanyan/article/details/112969329
版权

最近看到资料有说到ZIP炸弹,主要在存在上传功能且对上传文件有解压动作的地方,如果校验不严,可能导致压缩炸弹,导致消耗CPU导致宕机

1、生成ZIP炸弹:

https://github.com/CreeperKong/zipbomb-generator

python3 zipbomb.py --mode=quoted_overlap --num-files=250 --compressed-size=21179 > zbsm.zip

–num-files :压缩包包含的文件数量

–compressed-size:文件压缩大小
在这里插入图片描述
可以看到生成了一个zbsm.zip的压缩包,其中包含250个约20M大小的子文件,全部解压出来即有5G的大小,如果可以重放,则瞬间可填满硬盘
在这里插入图片描述
使用脚本查看解压后的大小:
在这里插入图片描述
linux下还可以使用dd命令 以及bzip2命令

2、场景:

有些上传处使用了如:

Java.util.jar.jarfile

Java.util.zip.Zipfile

通过 java.util.zip.ZipEntry.getSize()获取解压后的大小,可使用010editor对zip文件进行编辑:

在这里插入图片描述
struct ZIPFILERECORD record 为文件名;
uint frUncompressedSize为解压后的文件大小;

此处我们对uint frUncompressedSize进行修改,可绕过对解压后实际大小的判断:

如,我们修改uint frUncompressedSize大小为111:

在这里插入图片描述
利用java.util.zip进行解压后文件大小判断:

(java代码渣,求勿喷)

import java.io.*;
import java.util.zip.ZipEntry;
import java.util.zip.*;
public class Main {

    public static void main(String[] args) {
        File mfile = new  File("D:/05-MY-PROGRAM/m_java/zipboom/zbsm.zip");
        try {
            ZipFile zipFile = new  ZipFile(mfile);
            InputStream in=new BufferedInputStream(new FileInputStream(mfile));
            ZipInputStream zin=new ZipInputStream(in);
            ZipEntry ze;
            ze=zin.getNextEntry();
            System.out.println("ZIP'Size is :" + ze.getSize());
        }catch (Exception  e)
        {
            e.getStackTrace();
        }

    }
}

在这里插入图片描述
3、防御:

对上传zip文件进行文件个数、文件大小等进行判断

另参考:

https://www.bamsoftware.com/hacks/zipbomb/

【用unity实现100个游戏之8】用Unity制作一个炸弹人游戏(项目源码)
向宇
09-04 2280
我们将在这个视频中,学习如何在Unity中制作炸弹人心》,《炸弹人》是—个游戏系列,最初于1983年7月在日本发行,《炸弹人》的游戏玩法包括策略性地放炸弹,在一定时间后以多个方向爆炸,以摧毁障碍物和杀死敌人。本文重点介绍了实现瓦片地图精灵动画的方法,你可以用许多不同的方式自定义游戏,想出独特的游戏模式并建立自己的关卡。先来看看实现的最终效果。
java学习之zip炸弹攻击
dayouzi的博客
05-13 2862
Zip炸弹是一种特殊类型的Zip文件,它包含了大量的无用数据。Zip文件格式允许使用压缩算法来减小文件的大小,但是如果Zip文件中的某些内容被重复压缩,就会导致文件大小急剧增加。Zip炸弹利用这个特性,将一些无用的数据多次压缩到一个Zip文件中,从而生成一个极其庞大的文件。当服务器尝试解压缩这个Zip文件时,它需要解压缩所有的内容。由于Zip炸弹中包含了大量的重复数据,这可能会导致服务器耗尽所有的内存和CPU资源,从而导致服务器崩溃或拒绝服务攻击。
解压zip_ZIP压缩炸弹,46MB解压后扩张1亿倍:最大硬盘都装不下
weixin_42626820的博客
01-15 1515
经常用电脑上网的朋友都知道,网上下载的各种软件大都会使用压缩包格式,最常见的有ZIP、RAR、7-ZIP压缩技术能减少文件的体积,提升下载速度。但在一些时候,解压会膨胀的特性使它成为恶搞的工具。有好事者由此发展出带有恶搞性质的"压缩炸弹",看似小巧的压缩包里会吐出令人难以置信的巨量文件,迅速塞爆你的电脑硬盘。电脑CPU也可能因为杀毒软件陷入死循环而不堪重负。目前有三种不同类型的恶搞压缩包,最小的...
惊爆:当Python代码遇到zip解压炸弹,未做防护的你后悔莫及!
09-12 1317
zip解压炸弹 在文章的开头,让我们先来介绍一下zip解压炸弹是个 什么妖怪! 解压炸弹是指解压缩后能够产生巨大的数据量的可疑压缩文件!默认设置是文件扫描中产生500MB以上解压数据的是“解压炸弹”,实时监控中是100MB,邮件监控是30MB。这样的压缩文件解压缩可能对解压程序造成严重负担或崩溃(可能用来攻击压缩软件以及占用大量电脑资源,或者杀毒软件的解压缩功能)。解压炸弹内,还可能存在病毒,解压中会自启动窃取用户信息 如何制作解压炸弹 42.zip是很有名的zip炸弹。一个42KB的文件,...
安全】【渗透测试】压缩炸弹(zipbomb)制作
最新发布
m0_46111897的博客
04-22 416
在某些安全性较高的软件中,上传文件时会限制文件的大小、格式等,通常的实现方法是在前台对文件大小进行校验,或者在发起文件上传请求时,后台也做一校验,以防止被绕过前台校验的风险。通过制作一个高压缩比的文件(俗称zip炸弹),来满足软件前后台校验的大小要求。由于原始文件很大,未做zip炸弹防范的软件,会在后台持续性地解压文件,从而造成cpu、内存,磁盘等资源持续性高占用,进而产生拒绝服务攻击的风险。(特别声明:本文仅用于合法合规的安全学习目的,旨在提升安全意识与技能。所有内容需在法律法规允许的范围内使用。
安全】【渗透测试】在Linux系统上制作压缩比的“zip炸弹
次次次不吃饼干_的博客
07-25 2289
测试背景 在一些支持上传压缩文件的系统中。 文件制作 进入Linux系统终端,输入如下命令。 其中: if=源文件名,如果没有文件内容要求,可指定系统0源文件,制作好的文件内容也会是0。 count=blocks,仅拷贝blocks个数据块,块大小取决于bs或ibs指定的字节数。 bs=bytes,同时设置输入/输出的数据块大小是bytes个字节。 of=输出文件名,自己任取。 dd if=/dev/zero count=$((1024\*1024)) bs=4096 of=/home/bombfi
ZIP BOMB
冷风
11-04 3434
1.OPEN GOOGLE ENGLISH SEARCH ZIP BOMB2.http://en.wikipedia.org/wiki/Zip_bomb3.http://www.unforgettable.dk/Password: 42
世界上最大的ZIP炸弹:114885734 Quettabytes,一个普通人无法想象的量级。
ooooooih的博客
08-23 943
1148857344 Quettabytes,这个量级可能很多人没有概念
ZBLG:非递归zipbomb炸弹,比例为28000000:1
北观止的博客
05-23 3956
分享一个有趣的工具 ZBLG:非递归zipbomb炸弹,比例为28000000:1
探索极限:ZipBomb——压缩艺术的极端展现
gitblog_00042的博客
06-18 505
探索极限:ZipBomb——压缩艺术的极端展现 去发现同类优质开源项目:https://gitcode.com/ 在技术探索的广袤领域中,有这样一项独特而令人瞩目的开源项目——ZipBomb,它挑战着我们对文件压缩极限的认知,演绎了一场数据与空间的魔术。 项目介绍 ZipBomb,顾名思义,是一个实验性质的项目,旨在创建一个微小但极度膨胀的ZIP文件,解压后其容量之巨,足以让任何现有的存储设备汗颜...
测试poi操作xlsx的压缩炸弹xlsx文件
05-01
标题中的“测试poi操作xlsx的压缩炸弹xlsx文件”指出,这是一个使用Apache POI库来处理可能含有“压缩炸弹”(也称为“zip炸弹”)的Excel XLSX文件的测试案例。Apache POI是一个流行的开源Java库,用于读取、写入...
Java炸弹人源代码
11-05
支持两人同机对战,前端和后端分开,GUI基于java awt框架 代码非常精炼,适合初学者进行源码剖析。 开发环境: 操作系统:Windows10 编程平台:MyEclipse 2016、JDK1.8
泡泡堂(炸弹)小游戏CC++完整源码,游戏背景音乐及图片。.zip
10-24
总的来说,"泡泡堂(炸弹)小游戏CC++完整源码,游戏背景音乐及图片"是一个非常有价值的教育资源,它将帮助开发者深入理解游戏开发的各个方面,从基础的编程技巧到高级的游戏设计原则,都可以在实践中得到提升。...
计算机系统实验:缓冲区炸弹(栈的结构以及栈的构造过程演示
03-09
在计算机科学领域,缓冲区炸弹通常指的是利用缓冲区溢出漏洞进行攻击的一种攻击方式。攻击者通过向程序输入超出预期长度的数据,以达到覆盖内存中的其他数据,甚至控制程序执行流程的目的。这种攻击行为广泛涉及到栈...
python实现数字炸弹游戏
09-16
数字炸弹游戏就是一个很好的例子,它结合了逻辑思考和随机数生成,为玩家带来挑战。在这个游戏中,目标是通过一系列猜测来找到隐藏的“炸弹”数字,而避免猜中它以避免受到“惩罚”。 首先,游戏的核心在于确定游戏...
压缩炸弹,Java怎么防止
架构大数据双料架构师的博客
10-14 747
压缩炸弹(ZIP):一个压缩包只有几十KB,但是解压缩后有几十GB,甚至可以去到几百TB,直接撑爆硬盘,或者是在解压过程中CPU飙到100%造成服务器宕机。虽然系统功能没有自动解压,但是假如开发人员在不细心观察的情况下进行一键解压(不看压缩包里面的文件大小),可导致压缩炸弹爆炸。又或者压缩炸弹藏在比较深的目录下,不经意的解压缩,也可导致压缩炸弹爆炸。以下是安全测试几种经典的压缩炸弹
世界上最大的ZIP炸弹样本下载
weixin_58203004的博客
09-05 780
世界上最大的ZIP炸弹样本下载
使用python实现zip爆破
a2106883567的博客
10-21 575
Pythonzipfile模块用来做zip格式编码的压缩和解压缩的,要进行相关操作,首先需要实例化一个ZipFile对象。ZipFile接受一个字符串格式压缩包名称作为它的必选参数,第二个参数为可选参数,表示打开模式,类似于文件操作,有r/w/a三种模式,分别代表读、写、添加,默认为r,即读模式。zipfile里有两个非常重要的class,分别是ZipFile和ZipInfo,在绝大多数的情况下,我们只需要使用这两个class就可以了。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值