压缩炸弹(zipbomb)制作(附演示)

最新推荐文章于 2024-06-18 09:40:49 发布
最新推荐文章于 2024-06-18 09:40:49 发布
阅读量2w 收藏 40
点赞数 10
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fenwangduanyan/article/details/112969329
版权

最近看到资料有说到ZIP炸弹,主要在存在上传功能且对上传文件有解压动作的地方,如果校验不严,可能导致压缩炸弹,导致消耗CPU导致宕机

1、生成ZIP炸弹:

https://github.com/CreeperKong/zipbomb-generator

python3 zipbomb.py --mode=quoted_overlap --num-files=250 --compressed-size=21179 > zbsm.zip

–num-files :压缩包包含的文件数量

–compressed-size:文件压缩大小
在这里插入图片描述
可以看到生成了一个zbsm.zip的压缩包,其中包含250个约20M大小的子文件,全部解压出来即有5G的大小,如果可以重放,则瞬间可填满硬盘
在这里插入图片描述
使用脚本查看解压后的大小:
在这里插入图片描述
linux下还可以使用dd命令 以及bzip2命令

2、场景:

有些上传处使用了如:

Java.util.jar.jarfile

Java.util.zip.Zipfile

通过 java.util.zip.ZipEntry.getSize()获取解压后的大小,可使用010editor对zip文件进行编辑:

在这里插入图片描述
struct ZIPFILERECORD record 为文件名;
uint frUncompressedSize为解压后的文件大小;

此处我们对uint frUncompressedSize进行修改,可绕过对解压后实际大小的判断:

如,我们修改uint frUncompressedSize大小为111:

在这里插入图片描述
利用java.util.zip进行解压后文件大小判断:

(java代码渣,求勿喷)

import java.io.*;
import java.util.zip.ZipEntry;
import java.util.zip.*;
public class Main {

    public static void main(String[] args) {
        File mfile = new  File("D:/05-MY-PROGRAM/m_java/zipboom/zbsm.zip");
        try {
            ZipFile zipFile = new  ZipFile(mfile);
            InputStream in=new BufferedInputStream(new FileInputStream(mfile));
            ZipInputStream zin=new ZipInputStream(in);
            ZipEntry ze;
            ze=zin.getNextEntry();
            System.out.println("ZIP'Size is :" + ze.getSize());
        }catch (Exception  e)
        {
            e.getStackTrace();
        }

    }
}

在这里插入图片描述
3、防御:

对上传zip文件进行文件个数、文件大小等进行判断

另参考:

https://www.bamsoftware.com/hacks/zipbomb/

素质小邵.
关注
  • 10
    点赞
  • 40
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
ZBLG:非递归zipbomb炸弹,比例为28000000:1
北观止的博客
05-23 3254
分享一个有趣的工具 ZBLG:非递归zipbomb炸弹,比例为28000000:1
python实现数字炸弹游戏
09-16
数字炸弹游戏就是一个很好的例子,它结合了逻辑思考和随机数生成,为玩家带来挑战。在这个游戏中,目标是通过一系列猜测来找到隐藏的“炸弹”数字,而避免猜中它以避免受到“惩罚”。 首先,游戏的核心在于确定游戏...
【错误记录】导入xlsx文件 解析文件内容时出错java.io.IOException: Zip bomb detected 错误原因及解释
chirp_CQ的博客
04-13 9262
java.io.IOException: Zip bomb detected! The file would exceed the max. ratio java后端导入文件解析报错解决办法
探索极限:ZipBomb——压缩艺术的极端展现
最新发布
gitblog_00042的博客
06-18 319
探索极限:ZipBomb——压缩艺术的极端展现 项目地址:https://gitcode.com/AyrA/ZipBomb 在技术探索的广袤领域中,有这样一项独特而令人瞩目的开源项目——ZipBomb,它挑战着我们对文件压缩极限的认知,演绎了一场数据与空间的魔术。 项目介绍 ZipBomb,顾名思义,是一个实验性质的项目,旨在创建一个微小但极度膨胀的ZIP文件,解压后其容量之巨,足以让任何现有的存...
“内存炸弹”DDOS拒绝服务攻击
摔不死的笨鸟的博客
09-10 546
内存炸弹DDOS拒绝服务攻击
在java上传接口防止zip炸弹攻击
melck的博客
10-25 1028
Zip炸弹是一种特殊类型的Zip文件,它包含了大量的无用数据。Zip文件格式允许使用压缩算法来减小文件的大小,但是如果Zip文件中的某些内容被重复压缩,就会导致文件大小急剧增加。Zip炸弹利用这个特性,将一些无用的数据多次压缩到一个Zip文件中,从而生成一个极其庞大的文件。当服务器尝试解压缩这个Zip文件时,它需要解压缩所有的内容。由于Zip炸弹中包含了大量的重复数据,这可能会导致服务器耗尽所有的内存和CPU资源,从而导致服务器崩溃或拒绝服务攻击。
解压zip_ZIP压缩炸弹,46MB解压后扩张1亿倍:最大硬盘都装不下
weixin_42626820的博客
01-15 1298
经常用电脑上网的朋友都知道,网上下载的各种软件大都会使用压缩包格式,最常见的有ZIP、RAR、7-ZIP压缩技术能减少文件的体积,提升下载速度。但在一些时候,解压会膨胀的特性使它成为恶搞的工具。有好事者由此发展出带有恶搞性质的"压缩炸弹",看似小巧的压缩包里会吐出令人难以置信的巨量文件,迅速塞爆你的电脑硬盘。电脑CPU也可能因为杀毒软件陷入死循环而不堪重负。目前有三种不同类型的恶搞压缩包,最小的...
测试poi操作xlsx的压缩炸弹xlsx文件
05-01
标题中的“测试poi操作xlsx的压缩炸弹xlsx文件”指出,这是一个使用Apache POI库来处理可能含有“压缩炸弹”(也称为“zip炸弹”)的Excel XLSX文件的测试案例。Apache POI是一个流行的开源Java库,用于读取、写入...
zdr.zip_炸弹
09-19
炸弹人游戏:JAVA手机平台实现详解》 炸弹人,这款经典的街机游戏,自诞生以来就深受玩家喜爱。在移动设备普及的今天,我们可以在手机平台上重温这一经典。本文将深入探讨如何在JAVA平台上实现炸弹人游戏,通过...
unity游戏制作炸弹人素材包
12-26
Unity是一款跨平台的游戏开发...Unity已成为全球最受欢迎的游戏开发引擎之一,许多知名的游戏开发公司和独立开发者都在使用它来制作高质量的游戏。同时,Unity也被广泛应用于教育、建筑、模拟训练和虚拟现实等领域。
unity3D游戏引擎制作,简易版炸弹
01-08
在这个“简易版炸弹人”项目中,开发者利用Unity3D的游戏引擎特性,构建了一个经典游戏“炸弹人”的简化版本。通过分析这个项目,我们可以学习到多个关键知识点: 1. **场景搭建**:在Unity3D中,游戏世界由不同的...
pb 数据窗口插入数据_46MB 变4.5PB 数据炸弹:新方法突破性压缩资料
weixin_39938935的博客
11-29 153
电脑文件相当多,对于不少用户的电脑来说,经常需要将一些文件进行压缩,解决空间不足的问题,Zip 就是最多人使用的格式之一,不过它亦是一把双刃剑,David Fifield制作一个内含超大量垃圾数据的zip bomb压缩炸弹」,将一个表面上只有46MB的文件,可以解压到4.5PB的超大文件。早在去年,David Fifield 就展示过早期的解压炸弹,一个42KB 的zbsm.zip 文件,可以迅...
java学习之zip炸弹攻击
dayouzi的博客
05-13 1254
Zip炸弹是一种特殊类型的Zip文件,它包含了大量的无用数据。Zip文件格式允许使用压缩算法来减小文件的大小,但是如果Zip文件中的某些内容被重复压缩,就会导致文件大小急剧增加。Zip炸弹利用这个特性,将一些无用的数据多次压缩到一个Zip文件中,从而生成一个极其庞大的文件。当服务器尝试解压缩这个Zip文件时,它需要解压缩所有的内容。由于Zip炸弹中包含了大量的重复数据,这可能会导致服务器耗尽所有的内存和CPU资源,从而导致服务器崩溃或拒绝服务攻击。
POI安全-压缩炸弹
daodfs1的博客
05-01 3739
今天用poi操作xlsx文件时,报错如下 18:49:22.124 [main] ERROR org.apache.poi.openxml4j.opc.internal.marshallers.ZipPartMarshaller - Cannot write: /xl/media/image1.emf: in ZIP java.io.IOException: Zip bomb detected! The file would exceed the max. ratio of compressed file
当Python遇到zip解压炸弹,防护不到位让你泪流满面!
清风Python
09-09 2349
zip解压炸弹 在文章的开头,让我们先来介绍一下zip解压炸弹是个什么妖怪! 解压炸弹是指解压缩后能够产生巨大的数据量的可疑压缩文件!默认设置是文件扫描中产生500MB以上解压数据的是“解压炸弹”,实时监控中是100MB,邮件监控是30MB。 这样的压缩文件解压缩可能对解压程序造成严重负担或崩溃(可能用来攻击压缩软件以及占用大量电脑资源,或者杀毒软件的解压缩功能)。 解压炸弹内,还可能存在病毒,...
安全】【渗透测试】在Linux系统上制作压缩比的“zip炸弹
次次次不吃饼干_的博客
07-25 1879
测试背景 在一些支持上传压缩文件的系统中。 文件制作 进入Linux系统终端,输入如下命令。 其中: if=源文件名,如果没有文件内容要求,可指定系统0源文件,制作好的文件内容也会是0。 count=blocks,仅拷贝blocks个数据块,块大小取决于bs或ibs指定的字节数。 bs=bytes,同时设置输入/输出的数据块大小是bytes个字节。 of=输出文件名,自己任取。 dd if=/dev/zero count=$((1024\*1024)) bs=4096 of=/home/bombfi
(已解决)Linux系统unzip文件出现invalid zip file with overlapped components (possible zip bomb)
weixin_44028537的博客
05-10 6279
在使用unzip解压时遇到如下报错: 解决办法:
压缩炸弹,Java怎么防止
架构大数据双料架构师的博客
10-14 372
压缩炸弹(ZIP):一个压缩包只有几十KB,但是解压缩后有几十GB,甚至可以去到几百TB,直接撑爆硬盘,或者是在解压过程中CPU飙到100%造成服务器宕机。虽然系统功能没有自动解压,但是假如开发人员在不细心观察的情况下进行一键解压(不看压缩包里面的文件大小),可导致压缩炸弹爆炸。又或者压缩炸弹藏在比较深的目录下,不经意的解压缩,也可导致压缩炸弹爆炸。以下是安全测试几种经典的压缩炸弹
unity制作3d炸弹
10-26
Unity是一款跨平台的游戏开发引擎,可以用来制作各种类型的游戏,包括3D炸弹人。 首先,我们需要使用Unity的3D建模工具来创建炸弹人的角色模型。我们可以使用简单的几何图形,如立方体和球体,来构建角色的身体、头部、四肢等部分。然后,我们可以为角色添加纹理和材质,使其看起来更加逼真。 接下来,我们需要为炸弹人添加动画。Unity提供了强大的动画制作工具,可以使角色能够行走、跳跃、爆炸等。我们可以使用关键帧动画或骨骼动画来实现这些动作,从而让角色在游戏中能够有生动的表现。 然后,我们需要创建游戏的场景。可以使用Unity提供的场景编辑器,通过添加地图和障碍物来设计游戏背景。我们可以设置每个障碍物的属性,如是否可以被炸毁、是否可以被穿过等。 接着,我们需要为游戏添加一些规则和机制。例如,当炸弹人触碰到炸弹时会触发爆炸,炸弹的爆炸范围内的障碍物会被摧毁,等等。通过使用Unity的脚本编程功能,我们可以为角色和物体添加交互逻辑,从而让游戏更加有趣和挑战。 最后,我们需要为游戏增加音效和背景音乐,以及一些界面和用户操作的元素。可以使用Unity的音频编辑器来添加音效,通过添加按钮、计分牌等UI元素来增强游戏的可玩性。 总之,利用Unity制作3D炸弹人需要进行模型建立、动画制作、场景设计、脚本编程以及音效等方面的工作,但凭借Unity强大的功能和友好的用户界面,我们可以相对容易地完成这个任务。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值