JavaWeb解压缩漏洞之ZipSlip与Zip炸弹

最新推荐文章于 2024-06-04 15:44:05 发布
最新推荐文章于 2024-06-04 15:44:05 发布
阅读量1k 收藏 13
点赞数 28
分类专栏: Web安全 文章标签: ZipBomb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39190897/article/details/137090300
版权

前言

前面一篇博文《Android Zip解压缩目录穿越导致文件覆盖漏洞》介绍过 Android 系统 Zip 文件解压缩场景下的目录穿越漏洞,近期在学习 JavaWeb 代码审计的时候从 github 看到《OpenHarmony-Java-secure-coding-guide.md》中“从 ZipInputStream 中解压文件必须进行安全检查”章节提及 JavaWeb 系统同样涉及此类目录穿越漏洞,同时还涉及 Zip 炸弹的攻击场景,故在此学习记录下。

Zip Slip

此类漏洞指的是解压 zip 文件时没有校验各解压文件的名字,如果文件名包含 ../ 会导致解压文件被释放到目标目录之外的目录。

在《Android Zip解压缩目录穿越导致文件覆盖漏洞》一文已经讲过原理,不再过多赘述。直接沿用原来的恶意 Zip 生成代码和 Zip 解压缩代码即可:

import zipfile


def zip_slip_file(output_path):
    try:
        with open("source/test.txt", "r") as f:
            binary = f.read()
            zipFile = zipfile.ZipFile(output_path, "a", zipfile.ZIP_DEFLATED)
            zipFile.writestr("../../test.txt", binary)
            zipFile.close()
    except Exception as e:
        print(e)


if __name__ == '__main__':
    zip_slip_file(r'result/test.zip')

    public static void unzipFile(String zipPtath, String outputDirectory) throws IOException {
        File file = new File(outputDirectory);
        if (!file.exists()) {
            file.mkdirs();
        }
        InputStream inputStream = new FileInputStream(zipPtath); ;
        ZipInputStream zipInputStream = new ZipInputStream(inputStream);
        byte[] buffer = new byte[1024 * 1024];
        int count;
        ZipEntry zipEntry;
        while ((zipEntry = zipInputStream.getNextEntry()) != null){
            if (!zipEntry.isDirectory()) {
                String fileName = zipEntry.getName();
                System.out.println("解压文件的名字: " + fileName + ",解压文件的大小: " + zipEntry.getSize());
                file = new File(outputDirectory + File.separator + fileName);
                file.createNewFile();
                FileOutputStream fileOutputStream = new FileOutputStream(file);
                while ((count = zipInputStream.read(buffer)) > 0) {
                    fileOutputStream.write(buffer, 0, count);
                }
                fileOutputStream.close();
            }
        }
        zipInputStream.close();
        System.out.println("解压完成!");
    }

运行结果如下,成功进行路径穿越:
image.png
在实际漏洞利用中,可借助上述 Zip Slip 漏洞,对系统重要文件或可执行文件进行被覆盖,从而造成系统故障或任意代码执行的危害。

Zip 炸弹

重点介绍下 Zip 炸弹,先看下 OpenHarmony Java 安全编码指导文档的相关描述:
image.png
Zip 炸弹的大致原理是 zip 炸弹文件中有大量刻意重复的数据,这种重复数据在压缩的时候是可以被丢弃的,这也就是压缩后的文件其实并不大的原因。最为典型的 Zip 炸弹就是 42.zip,一个 42KB 的文件,解压完其实是个 4.5 PB(1 PB=1024 TB) 的“炸弹”,详细原理可参见:A better zip bomb

漏洞演示

Github 有生成 Zip 炸弹的现成项目: CreeperKong/zipbomb-generator

脚本用法很简单,如下指定生成包含一个 3.9G 左右大小的 test.zip 文件:

python zipbomb.py --mode=quoted_overlap --num-files=1 --compressed-size=3999999 > test.zip

image.png
修改 --num-files=10 参数则可以令 zip 中包含 10 个重复的上述文件(当然还可以包含更多):
image.pngimage.png
由上面可见,如果 Web 服务器从客户端发送过来的 http 报文中提取 zip 文件并进行解压缩的时候没校验 zip 文件夹内部文件的大小的话,将导致攻击者可以传递 zip 炸弹耗尽服务器资源,形成严重的 Dos 攻击。

历史上知名组件的相关漏洞的话可以参见 ZIP bomb vulnerability in HuTool
image.png

错误修补

上文提到使用 zipEntry.getSize() 函数获取 zip 文件大小是不可取,zipEntry.getSize()是从 zip 文件中的固定字段中读取单个文件压缩前的大小,如何篡改并欺骗服务器?

先模仿一段存在缺陷的修复代码:

    public static void unzipFile(String zipPtath, String outputDirectory) throws IOException {
        File file = new File(outputDirectory);
        if (!file.exists()) {
            file.mkdirs();
        }
        InputStream inputStream = new FileInputStream(zipPtath); ;
        ZipInputStream zipInputStream = new ZipInputStream(inputStream);
        byte[] buffer = new byte[1024 * 1024];
        int count;
        ZipEntry zipEntry;
        while ((zipEntry = zipInputStream.getNextEntry()) != null){
            if (!zipEntry.isDirectory()) {
                String fileName = zipEntry.getName();
                System.out.println("解压文件的名字: " + fileName + ",解压文件的大小: " + zipEntry.getSize());
                // 判断被压缩的文件的大小,单个文件不得大于4Mb
                if(zipEntry.getSize() < 4096){
                    file = new File(outputDirectory + File.separator + fileName);
                    file.createNewFile();
                    FileOutputStream fileOutputStream = new FileOutputStream(file);
                    while ((count = zipInputStream.read(buffer)) > 0) {
                        fileOutputStream.write(buffer, 0, count);
                    }
                    fileOutputStream.close();
                }else {
                    System.out.println("文件大小超出限制!");
                    return;
                }
            }
        }
        zipInputStream.close();
        System.out.println("解压完成!");
    }

image.png
上述代码判断被压缩的文件的大小,单个文件不得大于 4Mb,如何绕过?

步骤很简单,首先下载用于修改二进制文件的 010editor 软件,安装后打开上面演示用的 Zip 炸弹 test.zip(包含了一个 3.9G 的大文件):
image.png
image.png
修改图示 frUncompressedsize 字段的值后,重新运行 Java 程序对其进行解压缩,可成功绕过文件大小限制,解压出目标文件:
image.png
用 VSCode 可成功打开上述解压缩出来的文件(文件内容全都是 aaaaa……),意味着文件并未损坏:
image.png
可以看到,此时zipEntry.getSize() 函数获取到的压缩文件大小已经变成我们修改完以后的值(10),同时成功解压缩出 3.9G 大小的目标文件,成功绕过了修复代码对于压缩文件的大小限制。

值得注意的是,从上述截图也可以看到修改了 zip 文件的 frUncompressedsize 字段的值以后,解压缩 zip 文件会报错,如果直接使用 7-zip 进行解压缩的话更是直接报错而终止,提取不出任何文件:

java.util.zip.ZipException: invalid entry size (expected 10 but got 396289 bytes)
	at java.util.zip.ZipInputStream.readEnd(ZipInputStream.java:384)
	at java.util.zip.ZipInputStream.read(ZipInputStream.java:196)
	at java.io.FilterInputStream.read(FilterInputStream.java:107)
	at Util.Util.unzipFile(Util.java:42)
	at Main.main(Main.java:14)

image.png
但是通过实践也可以看到,通过上述 Java 代码可成功解压缩出来目标文件,这样子的话就不影响我们通过修改 zip 文件的 frUncompressedsize 字段的值,制作 zip 炸弹绕过服务端的文件大小校验检测,完成攻击利用。

安全编码

最后直接看看《OpenHarmony-Java-secure-coding-guide》提供的 Zip 文件解压缩的安全编码示例:

private static final long MAX_FILE_COUNT = 100L;
private static final long MAX_TOTAL_FILE_SIZE = 1024L * 1024L;

...

public void unzip(FileInputStream zipFileInputStream, String dir) throws IOException {
    long fileCount = 0;
    long totalFileSize = 0;
    try (ZipInputStream zis = new ZipInputStream(zipFileInputStream)) {
        ZipEntry entry;
        String entryName;
        String entryFilePath;
        File entryFile;
        byte[] buf = new byte[10240];
        int length;
        while ((entry = zis.getNextEntry()) != null) {
            entryName = entry.getName();
            //先对文件名的合法性进行校验
            entryFilePath = sanitizeFileName(entryName, dir);
            entryFile = new File(entryFilePath);
            if (entry.isDirectory()) {
                creatDir(entryFile);
                continue;
            }
            fileCount++;
            //对zip压缩包中的文件数量进行限制,设置了上限阈值
            if (fileCount > MAX_FILE_COUNT) {
                throw new IOException("The ZIP package contains too many files.");
            }
            //此处不再同通过zipEntry.getSize()函数获取 zip 文件大小,而是通过文件数据流直接读取整个文件的数据并统计大小
            try (FileOutputStream fos = new FileOutputStream(entryFile)) {
                while ((length = zis.read(buf)) != -1) {
                    totalFileSize += length;
                    zipBombCheck(totalFileSize);
                    fos.write(buf, 0, length);
                }
            }
        }
    }
}

//防止压缩文件名携带../导致的Zip Slip路径穿越漏洞
private String sanitizeFileName(String fileName, String dir) throws IOException {
    File file = new File(dir, fileName);
    String canonicalPath = file.getCanonicalPath();
    if (canonicalPath.startsWith(dir)) {
        return canonicalPath;
    }
    throw new IOException("Path Traversal vulnerability: ...");
}

private void creatDir(File dirPath) throws IOException {
    boolean result = dirPath.mkdirs();
    if (!result) {
        throw new IOException("Create dir failed, path is : " + dirPath.getPath());
    }
    ...
}

//防止zip炸弹
private void zipBombCheck(long totalFileSize) throws IOException {
    if (totalFileSize > MAX_TOTAL_FILE_SIZEG) {
        throw new IOException("Zip Bomb! The size of the file extracted from the ZIP package is too large.");
    }
}

上述示例中,一共做了 3 项目安全检查:

  1. 在解压每个文件之前对其文件名进行校验,如果校验失败,整个解压过程会被终止,防止路径穿越漏洞;
  2. 解压缩过程中,对每个文件通过文件数据流识别其实际大小,如果达到指定的阈值(MAX_TOTAL_FILE_SIZE),会抛出异常终止解压操作;
  3. 同时,程序会统计解压出来的文件的数量,如果达到指定阈值(MAX_FILE_COUNT),会抛出异常终止解压操作。

总结

从上面的安全示例编码可以看到,简简单单的一个常见 Zip 文件解压缩过程,需要做的安全校验却并不少。总的来说,研发人员在编写对用户可见的 zip 文件上传功能时,一定要严格校验好 zip 文件中待解压缩的文件文件名是否包含../非法字符,校验带解压的文件大小,同时禁止通过 zipEntry.getSize() 函数获取 zip 文件大小,最后也需要校验下解压缩出来的文件总数(设置阈值,毕竟积少成多,通过大量中小型文件也可以完成 zip 炸弹攻击)。

本文参考文章:

  1. Java代码审计指南;
  2. OpenHarmony-Java-secure-coding-guide;
  3. 压缩炸弹(zipbomb)制作(附演示)
  4. 一个42KB的文件,是如何解压完变成一个4.5PB的数据
  5. https://github.com/CreeperKong/zipbomb-generator
Tr0e
关注
  • 28
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Zip Slip目录遍历漏洞已影响多个Java项目
AzulSystems的博客
03-03 228
近日,专注于开源及云安全监控防范工作的公司了一种可能会造成任意文件被覆写的安全漏洞,称为。其相应的攻击手段是创建一种特制的ZIP压缩文件,在其中引用会对目录进行遍历的文件名。受该风险影响的项目多达数千个,包括OLAP数据库、 Apache/Twitter、Alibaba和等等。各大云服务提供商也纷纷发现了该问题的存在,InfoQ将对此问题的进展持续追踪。据该公司所分析,这一安全漏洞对于 Java 生态系统来说影响尤其严重,这是因为在 Java 生态中缺少对压缩文件进行高层次处理功能的这样一种集中式的库。
压缩炸弹(zipbomb)制作(附演示)
热门推荐
fenwangduanyan的博客
01-21 2万+
最近看到资料有说到ZIP炸弹,主要在存在上传功能且对上传文件有解压动作的地方,如果校验不严,可能导致压缩炸弹,导致消耗CPU导致宕机 1、生成ZIP炸弹: https://github.com/CreeperKong/zipbomb-generator python3 zipbomb.py --mode=quoted_overlap --num-files=250 --compressed-size=21179 > zbsm.zip –num-files :压缩包包含的文件数量 –compresse
java.util.zip.ZipException: invalid entry size (expected 0 but got 419 bytes)
weixin_60049918的博客
06-04 409
用户上传Excel文件报了这个错,让用户删除Excel多余的列和行,有脏东西。
软件安全访谈:ZipSlip、NodeJS安全性和BBS攻击
cpongo011702
09-26 163
正如Nodejs Security WG成员和Snyk开发者布道师Liran Tal所写的那样,自BBS早期以来,这种漏洞利用的矢量攻击已经为人所知。InfoQ采访了Tal,了解了更多有关软件安全性(尤其是Nodejs安全性)的相关信息。今年早些时候,Bower软件包管理器被发现在解压缩包方面存在漏洞,攻击者可以在用户磁盘上写入任意文件。正如Nodejs Security WG成员和Snyk开发者...
java sliplist_下载 | Zip Slip漏洞可导致RCE 多个语言库受影响 JAVA影响最大 含POC
weixin_34207964的博客
02-24 286
Zip Slip漏洞“任意文件覆盖”和“目录遍历”问题的结合,可能导致攻击者可以将文件解压缩到正常解压缩路径之外并覆盖敏感文件,如关键OS库或服务器配置文件。虽然使用几种编程语言编写的库已知会受到影响,例如JavaScript,Python,Ruby,.NET,Go和Groovy,但这个问题主要影响Java生态系统。然而,开发人员还没有意识到这个问题。安全研究人员今天透露了一个关于影响处理归档文件...
scanner一次输入多行_记一次Zip Slip漏洞
weixin_39853843的博客
11-30 159
漏洞复现第一次在测试中见到这个安全问题,故记录一下。首先发现到这里存在一个zip文件上传点:于是我们构造特殊的zip压缩文件:import zipfile # the name of the zip file to generate zf = zipfile.ZipFile('out.zip', 'w') # the name of the malicious file that will ove...
ZIP BOMB
冷风
11-04 3359
1.OPEN GOOGLE ENGLISH SEARCH ZIP BOMB2.http://en.wikipedia.org/wiki/Zip_bomb3.http://www.unforgettable.dk/Password: 42
【安全】【渗透测试】在Linux系统上制作高压缩比的“zip炸弹
次次次不吃饼干_的博客
07-25 1882
测试背景 在一些支持上传压缩文件的系统中。 文件制作 进入Linux系统终端,输入如下命令。 其中: if=源文件名,如果没有文件内容要求,可指定系统0源文件,制作好的文件内容也会是0。 count=blocks,仅拷贝blocks个数据块,块大小取决于bs或ibs指定的字节数。 bs=bytes,同时设置输入/输出的数据块大小是bytes个字节。 of=输出文件名,自己任取。 dd if=/dev/zero count=$((1024\*1024)) bs=4096 of=/home/bombfi
JavaWeb课程设计的毕业设计与代码管理系统源码.zip
06-17
JavaWeb课程设计的毕业设计与代码管理系统源码,采用标准MVC模式开发 毕业设计与代码管理系统JavaWeb课程设计的毕业设计与代码管理系统源码,采用标准MVC模式开发 毕业设计与代码管理系统JavaWeb课程设计的毕业设计...
javaweb项目实(含笔记与详细实现步骤)
07-20
JavaWeb项目实(含笔记与详细实现步骤) JavaWeb是一种基于Java技术的Web应用程序开发框架,它涵盖了服务器端编程、数据库交互、用户界面设计等多个方面。对于初学者来说,掌握JavaWeb开发是步入Web开发领域的关键...
javaweb校舍管理系统项目源码.zip
最新发布
06-12
javaweb校舍管理系统项目源码.zip本资源中的源码都是经过本地编译过可运行的,评审分达到95分以上。资源项目的难度比较适中,内容都是经过助教老师审定过的能够满足学习、使用需求,如果有需要的话可以放心下载使用...
Windows版本的二进制炸弹文件
08-26
CSAPP大名鼎鼎了,网上许多人都完成了其独具特色的实验,特别是二进制炸弹、缓冲区炸弹等。 二进制炸弹实验,主要锻炼学习者使用反汇编工具对二进制可执行程序调试、分析的能力。学习者首先需要使用调试器调试bomb可执行文件,对其进行反汇编分析,找出炸弹逻辑,并输入正确的密码,以便顺利拆除炸弹。 由于许多学习者对Linux不熟悉、对英文不熟悉,所以存在较大的畏惧心理。据此,我依据CSAPP二进制炸弹的原理,自行设计了一个可在windows下面运行的二进制炸弹,重新设计了关卡,并进行中文提示。这个二进制炸弹,主要面向大量学生的课堂,每个学生拿到的炸弹逻辑是不同的,这样每个学生的答案应该是不一样的。
基于JavaWeb的论坛管理系统源码.zip
08-21
基于JavaWeb的论坛管理系统源码.zip基于JavaWeb的论坛管理系统源码.zip基于JavaWeb的论坛管理系统源码.zip基于JavaWeb的论坛管理系统源码.zip基于JavaWeb的论坛管理系统源码.zip基于JavaWeb的论坛管理系统源码.zip
JavaWeb实战之library.zip
08-25
在本JavaWeb实战项目"library.zip"中,我们将探讨如何使用Java、JavaWeb技术栈,包括JSP(JavaServer Pages)和Servlet,来构建一个实际的Web应用。这个项目可能是一个图书管理系统的实现,旨在帮助用户浏览、搜索、...
1.zip slip问题
Sai_BAN的博客
03-30 292
ZipSlip攻击是一种利用压缩文件中的目录遍历漏洞来覆盖系统中的任意文件的攻击方式,通常会导致远程命令执行。攻击者通过构造一个压缩文件条目中带有…/的压缩文件,上传后交给应用程序进行解压,由于程序解压时没有对文件名进行合法性的校验,而是直接将文件名拼接在待解压目录后面,导致可以将文件解压到正常解压缩路径之外并覆盖可执行文件、配置文件或其他敏感文件。ZipSlip攻击影响多种编程语言和压缩文件格式,例如tar、jar、war、cpio、apk、rar、7z等。
java学习之zip炸弹攻击
dayouzi的博客
05-13 1264
Zip炸弹是一种特殊类型的Zip文件,它包含了大量的无用数据。Zip文件格式允许使用压缩算法来减小文件的大小,但是如果Zip文件中的某些内容被重复压缩,就会导致文件大小急剧增加。Zip炸弹利用这个特性,将一些无用的数据多次压缩到一个Zip文件中,从而生成一个极其庞大的文件。当服务器尝试解压缩这个Zip文件时,它需要解压缩所有的内容。由于Zip炸弹中包含了大量的重复数据,这可能会导致服务器耗尽所有的内存和CPU资源,从而导致服务器崩溃或拒绝服务攻击。
惊爆:当Python代码遇到zip解压炸弹,未做防护的你后悔莫及!
09-12 1190
zip解压炸弹 在文章的开头,让我们先来介绍一下zip解压炸弹是个 什么妖怪! 解压炸弹是指解压缩后能够产生巨大的数据量的可疑压缩文件!默认设置是文件扫描中产生500MB以上解压数据的是“解压炸弹”,实时监控中是100MB,邮件监控是30MB。这样的压缩文件解压缩可能对解压程序造成严重负担或崩溃(可能用来攻击压缩软件以及占用大量电脑资源,或者杀毒软件的解压缩功能)。解压炸弹内,还可能存在病毒,解压中会自启动窃取用户信息 如何制作解压炸弹 42.zip是很有名的zip炸弹。一个42KB的文件,...
java的第四个程序—漏洞百出的压缩
bigfang
01-27 96
在过年之前,先总结一下,自己第一次写的,漏洞百出的压缩。 相对来说,Huffman压缩的流程比较多。 压缩步骤: 1.读取原文件。 2.统计文件中每个字节出现的次数,存于Map中。 3.根据每个字节的次数,构建Huffman树,得到每个字节对应的编码,存于Map中。 4.根据Map,将原文件的字节转化成0、1码。 5.将步骤4中...
javaweb 文件上传漏洞 修复
08-31
要修复JavaWeb文件上传漏洞,可以采取以下几个步骤: 1. 验证文件类型:在服务器端对上传的文件进行类型验证,比较常见的方法是通过文件后缀名和MIME类型验证。可以根据应用的需求,限定允许上传的文件类型,并拒绝上传不允许的文件类型。 2. 检查文件内容:可以使用文件解析库来解析上传的文件内容,确保其符合预期的格式和结构。例如,对于图像文件,可以使用图像处理库来检查图像的有效性,避免恶意代码注入。 3. 控制文件大小:限制上传文件的最大大小,可以防止攻击者上传过大的文件导致服务器资源耗尽。可以在应用程序中配置上传文件的最大大小,并在上传时检查文件大小是否超出限制。 4. 随机化文件名:为了避免被攻击者猜测到上传文件的真实路径,可以生成随机的文件名,并将上传的文件保存在指定目录中。 5. 安全存储:确保将上传的文件存储在安全的位置,并设置适当的文件权限。避免将上传的文件存储在Web根目录下或其他可以直接通过URL访问的地方。 6. 定期清理:定期清理服务器上存储的上传文件,删除不再需要的文件,以减少攻击面和释放磁盘空间。 除了以上的措施,还应该定期更新和维护服务器和相关库的补丁,以确保应用程序的安全性。另外,进行安全性测试和代码审查也是非常重要的步骤,以发现和修复其他潜在的安全漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Tr0e

分享不易,望多鼓励~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值