压缩炸弹(zipbomb)制作(附演示)

最近看到资料有说到ZIP炸弹,主要在存在上传功能且对上传文件有解压动作的地方,如果校验不严,可能导致压缩炸弹,导致消耗CPU导致宕机

1、生成ZIP炸弹:

https://github.com/CreeperKong/zipbomb-generator

python3 zipbomb.py --mode=quoted_overlap --num-files=250 --compressed-size=21179 > zbsm.zip

–num-files :压缩包包含的文件数量

–compressed-size:文件压缩大小
在这里插入图片描述
可以看到生成了一个zbsm.zip的压缩包,其中包含250个约20M大小的子文件,全部解压出来即有5G的大小,如果可以重放,则瞬间可填满硬盘
在这里插入图片描述
使用脚本查看解压后的大小:
在这里插入图片描述
linux下还可以使用dd命令 以及bzip2命令

2、场景:

有些上传处使用了如:

Java.util.jar.jarfile

Java.util.zip.Zipfile

通过 java.util.zip.ZipEntry.getSize()获取解压后的大小,可使用010editor对zip文件进行编辑:

在这里插入图片描述
struct ZIPFILERECORD record 为文件名;
uint frUncompressedSize为解压后的文件大小;

此处我们对uint frUncompressedSize进行修改,可绕过对解压后实际大小的判断:

如,我们修改uint frUncompressedSize大小为111:

在这里插入图片描述
利用java.util.zip进行解压后文件大小判断:

(java代码渣,求勿喷)

import java.io.*;
import java.util.zip.ZipEntry;
import java.util.zip.*;
public class Main {

    public static void main(String[] args) {
        File mfile = new  File("D:/05-MY-PROGRAM/m_java/zipboom/zbsm.zip");
        try {
            ZipFile zipFile = new  ZipFile(mfile);
            InputStream in=new BufferedInputStream(new FileInputStream(mfile));
            ZipInputStream zin=new ZipInputStream(in);
            ZipEntry ze;
            ze=zin.getNextEntry();
            System.out.println("ZIP'Size is :" + ze.getSize());
        }catch (Exception  e)
        {
            e.getStackTrace();
        }

    }
}

在这里插入图片描述
3、防御:

对上传zip文件进行文件个数、文件大小等进行判断

另参考:

https://www.bamsoftware.com/hacks/zipbomb/

评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值