Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Adapter le concept de la Zip Bomb pour défendre son site web des scripts kiddies

Hier, le développeur Christian Haschek a publié sur son blog un article qui explique comment il a dépoussiéré le concept de « zip bomb » pour en faire une méthode de défense contre les scanners de vulnérabilités.

Mais avant d’aller plus loin, qu’est-ce qu’une « zip bomb » ? Et bien cela consiste à créer un fichier zip contenant de la donnée ultra répétitive qui ne pèsera que quelques kb dans sa version compressée, mais qui générera un fichier de plusieurs petabytes si vous tentez de le décompresser. L’idée est bien évidemment de faire crasher la machine ou le soft en saturant le disque dur ou la RAM.

Vous pouvez trouver une bombe zip en téléchargement ici, si vous voulez faire sauter votre disque dur. Le concept de la zip bomb est assez ancien et Christian l’a adapté pour défendre son site et faire chier les scripts kiddies.

Les navigateurs ne sachant pas décompresser du zip, il a donc fabriqué une gzip bomb…

…qu’il envoie ensuite via une page PHP lorsqu’il détecte le user-agent d’un scanner de vuln (voir son article pour consulter le code associé).

C’est basic, mais efficace car ça fait planter des navigateurs comme Chrome, IE ou encore Edge et détraque certains scanners de vuln comme SQLmap ou Nikto.

Maintenant si vous voulez tester par vous même, vous pouvez cliquer ici à vos risques et périls : https://blog.haschek.at/tools/bomb.php

Source


Hack du scanner Iris du S8

Après les Galaxy Note 7 qui prend feu, le spot de pub qui nous explique que maintenant, ça y est, ils ont compris et ils font les meilleurs tests qualité possibles sur leur matos, voici que la sécurité de déverrouillage par l’iris présente dans le Galaxy S8 et le Galaxy S8 Plus est mise à mal.

En effet, les hackers du CCC…

Promo – Beats Casque audio Solo 3 Wireless Noir

Les points forts : Casque audio Bluetooth Pliable Micro intégré pour smartphone Autonomie 40 heures


Réponses notables

  1. “consiste à créé”=créer

  2. GENIUS :smiley:
    ça me rappelle les firewall agressifs de l’époque qui DOSaient une IP si elle envoyait un peu trop de SYN

  3. Ne pourrions nous pas adapter le concept de la zip bomb pour reduire considerablement la taille de nos fichiers zip ?

  4. Merci pour l’info … mais ce n’est (techniquement) pas clair du tout !
    Oui dsl de ne pas tester la bombe pour essayer de comprendre …

    “Les navigateurs ne sachant pas décompresser du zip, il a donc fabriqué une gzip bomb … qu’il envoie ensuite via une page PHP lorsqu’il détecte le user-agent d’un scanner de vuln”

    Ce qui veut dire quoi ?
    Q1 - Que l’on peut forcer à auto-décrompresser automatiquement un fichier gzip sur une machine client simplement en lui faisant consulter une page web ?

    “Et bien cela consiste à créer un fichier zip contenant de la donnée ultra répétitive qui ne pèsera que quelques kb dans sa version compressée, mais qui générera un fichier de plusieurs petabytes si vous tentez de le décompresser”

    En se rendant sur le lien on voit que l’on peut en compressant quelques Ko de données répétitive obtenir un fichier de 4.3 Go, OK! … Puis on lit :

    “The file contains 16 zipped files, which again contains 16 zipped files, which again contains 16 zipped files, which again contains 16 zipped, which again contains 16 zipped files, which contain 1 file, with the size of 4.3GB”

    Q2 - Que l’auto-decompression par le navigateur s’il y’a ? (précédente question) fera en plus automatiquement de la decompression récursive ?

    Chez moi si je décompresse ce genre de structure je me retrouve seulement avec 16 zip files décompressé, mon décompresseur ne va pas automatiquement décompresser de manière récursive le reste de la structure.

    Deplus (ou alors j’ai rien compris) mais vu la structure même si cela se faisait automatiquement il faut 16 x 16 x 16 x 16 x 16 = 1 048 576 noms de fichiers différent à l’intérieur de l’archive pour ne pas que la décompression écrase récursivement le précédent fichier, auquel cas ou le système de décompression pourrait encore poser la question sur l’éxistance d’un fichier de 4.2 Go portant le même nom, ce qui bloquerait immédiatement le processus …

    Q3 - Donc merci de m’expliquer, parce que moi simple et pas vraiment comprendre comment tout cela mis bout à bout puisse réellement fonctionner !

    Deplus, dans son cas je suppose que pour s’adapter il suffirait juste de changer l’user-agent dudit scanner du Vuln, non ?

    Merci

  5. Non => “contenant de la donnée ultra répétitive”

  6. Ha oui j’avais pas tout lu ^^

  7. “En effet, le protocole HTTP permet de transmettre du contenu gzippé afin de réduire le traffic”

    Ok, je ne savais pas !

    J’ai donc mélanger 2 concepts différent, j’aurai peut-être due aller voir la source car l’article Korben n’était pas méga clair pour le coup …

    Pour le coté HTML, je pense qu’il n’est du coup pas trop difficile de faire passer un scanner de vuln pour un navigateur légitime … sans compter que ca ne devrait pas être trop dur à corriger du coup dans les prochaine version des navigateurs non ? C’est juste que ce cas là n’est pas pris en charge ! (cad aucune limitation)

    Pour le coté du fichier zip je ne comprend toujours pas, puisque pour moi (ou du moins chez moi) les compresseurs ne décompresse jamais les archives de façon récursives sans compter les pb évoqué dans mon précédent comment !

    Merci pour ce début d’explication donc !

  8. Bon je me répond à moi même !

    J’ai pas tester la page html/gzip mais le fichier zip bomb …

    Alors comme je le pensais et c’est confirmé donc, la decompression ne se fait pas de manière recursive !
    (du moins par défaut). Donc à priori aucun risque !

    Deplus Windows Defender Security Center le détecte comme un Virus:
    DoS:Win32/ZipBomb.A

    Captures à l’appuie …

  9. Des développeurs qui vont implémenter la zipbomb sur leur site, il ne risque pas d’y en avoir beaucoup surtout que ça doit amener forcement certains problèmes du genre site marqué comme dangereux par google ou déférencé. Par contre des script kiddie qui vont spammer les boites mails avec le lien html “zipbombé” de l’article, avec comme titre “ma soeur sous la douche”… C’est moins sur :slight_smile:

  10. Pour répondre à islogged, le fichier que Korben a mis en lien n’est pas une zip bomb, mais une demonstration par l’auteur du hack qu’on peut compresser des fichiers de 4,5 Go en un fichier de 42Ko. Je n’ai pas pu le decompresser sur mon mac, ni dans le terminal mais j’ai reussi sous linux dans un vm et effectivement, la decompression se fait a la main si tu veux récupérer les 4,5go.

    Par contre j’ai essayé le lien toujours dans ma vm kali, firefox n’a pas planté mais effectivement dans le moniteur systeme on voit qu’il charge des données et la page reste blanche donc j’ai killé le processus après 500 Mo bouffé sur ma 4G :).

    Donc effectivement ca semble fonctionner et le code sera plus utilisé pour faire une page malveillante plus qu’un anti scanner à mon avis.

  11. Il me semble que KORBEN affiche des articles style “blogs” assez généralistes pour tout public, et que si l’internate vue tplus de détails, il peut aller chercher lui-même via les liens/URL fournis ou en tapant dans un moteur de recherche…Il est toujours délicat de vouloir satisfaire tous les types de lecteurs, ce qui est quasiment impossible dans un seul article.

    Je pense que le but de KORBEN est de partager avec vous cette news, et qu’en suite on est libre d’approfondir. Korben ne peut pas approfondir directement dans un article d’annonce, par risque de déterrer les lecteurs “néophytes” oyu qui n’y connaissent rien en informatique.

    Compromos entre vulgarisation et expertise = Korben atteint cet objectif je pense!

    Donc faut arrêter de critiquer à tout bout de champ, c’est pas évident à faire, j’en sais quelque chose car j’ai 2 sites Webs à moi et il faut cibler .

  12. Korben passe beaucoup moins de temps sur son blog qu’il ne le faisait il y a 7 ou 8 ans et la qualité s’en ressent. La frustration de ceux qui étaient là au début et qui ont contribué au succès du site n’y trouvent plus leur compte et personne ne les a avertis que la ligne éditoriale du site changeait pour viser plus large. C’est la même méthode en politique, on s’adresse d’abord aux plus intéressés/concernés au début (ils sont peu, mais plus déterminés, plus engagés, plus fidèles, ils ont plus d’énergie, etc.) puis arrive un moment ou le nombre des derniers arrivés fait basculer le rapport de force en leur faveur. C’est ni bien ni mal, c’est une évolution naturelle tout simplement.

    par risque de déterrer les lecteurs “néophytes”

    Anglais -> to deter = décourager
    Français -> déterrer = sortir de sous la terre.

  13. Mouai c’était pas la méga critique non plus !
    Mais un manque de clarté du billet.

    Si “blogueur” est un metier, pourquoi serait-il plus facile qu’un autre.
    Hein ? :wink:

  14. “Pour répondre à islogged, le fichier que Korben a mis en lien n’est pas une zip bomb, mais une demonstration par l’auteur du hack qu’on peut compresser des fichiers de 4,5 Go en un fichier de 42Ko.”

    <=>

    “Vous pouvez trouver une bombe zip en téléchargement ici, si vous voulez faire sauter votre disque dur.”

    De plus il est bien détecter comme tel par Windows !

  15. Oui il n’y a pas de processus d’automatisation pour dezipper les fichiers mais si tu le fais à la main en te concentrant sur le premier fichier et que tu vas jusqu’au bout des dossiers, tu te retrouve bien a dezippé un fichier dll de 4,3 go. Donc c’est un zip bomb sans charge utile, mais une belle bouse quand même.

    Ma machine virtuelle vient de grossir de 4 giga, donc en faisant un dezippage par des “selectionner tout”, tu peux vite avoir des soucis.

    Le site est lui parfaitement fonctionnel est automatisé, c’est impressionnant ce qu’on eut faire avec un peu de php. J’imagine bien le gars qui tombe sur ce lien en 3g avec un forfait de 500mo et depassement surtaxe et qui laisse l’onglet ouvert… Ca pourrait être marrant.

  16. je partage avec vous ma version du Zipbomb un FileDummy de 32GB zipé il fait 26ko :stuck_out_tongue:

  17. Pas mal mais l’auteur de 42.zip a compresse 4,5 peta-bytes dans 42 KB…

  18. oui c’est faisable si tu modifie le fichier zip :stuck_out_tongue: mais globalement je pense pas que c’est un zip créé à partir d’une fichier réel . mais je peut faire pareil avec mon fichier juste que j’ai jugé logique de propose un fichier vrai sans trafiquer celui-ci.

  19. Oui il n’y a pas de processus d’automatisation pour dezipper les fichiers mais si tu le fais à la main en te concentrant sur le premier fichier et que tu vas jusqu’au bout des dossiers, tu te retrouve bien a dezippé un fichier dll de 4,3 go. Donc c’est un zip bomb sans charge utile, mais une belle bouse quand même.

    Oui donc pour moi ce n’est plus une zip bombe !

    Seul le dernier file est une zip bombe de 4 070 octets => 4,2Go
    Sauf que = 4,2Go aujourd’hui sur un disque ce n’est plus une bombe, mais un pétard !!!

    Le jour ou j’ai 5 ou 6 To de libre j’essaierai de forger une zip bombe sfx (autoextractible) de 4Mo !
    Du moins si les rapports sont conservé, elle “explosera” elle vraiment sur une surface de 4To, ça sera déjà plus marrant ^^

    Par contre j’ai essayé le lien toujours dans ma vm kali, firefox n’a pas planté mais effectivement dans le moniteur systeme on voit qu’il charge des données et la page reste blanche donc j’ai killé le processus après 500 Mo bouffé sur ma 4G :).

    Le site est lui parfaitement fonctionnel est automatisé, c’est impressionnant ce qu’on eut faire avec un peu de PHP. J’imagine bien le gars qui tombe sur ce lien en 3g avec un forfait de 500mo et depassement surtaxe et qui laisse l’onglet ouvert… Ca pourrait être marrant.

    Si j’ai bien compris le principe tu n’a cramer que 10Mo de Datas vue que la page HTML Gzipée ne pèse que 10 Mo, donc il n’y aura pas plus de 10Mo de datas utilisé sur ton forfait !

    C’est seulement ton navigateur qui en local décompresse les 10Mo vers 10Go ce qui bouffe des ressources mémoires, Ram ou HDD ?

    @Korben: C’est basic, mais efficace car ça fait planter des navigateurs comme Chrome, IE ou encore Edge et détraque certains scanners de vuln comme SQLmap ou Nikto.

    En tout cas sur mon navigateur (via un laptop) le ventirad n’a souffler que 3 ou 4sec (début de décompression je suppose) puis la bombe à fait pschitt !

    Donc hormis la page, rien à planter !
    Un vrai pétard mouillé ! lol

    Cf Capture: http://imgur.com/a/o3nnj

    Enfin pour les scanners de vuln. oui ça peut faire le Job …
    Mais j’ose espérer que ces mêmes scanners puisse changer aléatoirement leur user agent vers des noms plus respectable !

    @Korben …qu’il envoie ensuite via une page PHP lorsqu’il détecte le user-agent d’un scanner de vuln (voir son article pour consulter le code associé).

    Ca me parait méga limite pour un scanner de vuln. de venir sur un site et dire en clair “Hello bonjour c’est moi le scanner de vuln. je viens juste ici pour essayer de te niquer la tronche” y’a pas à dire c’est pas méga discret !

    C’est un peu comme frapper à la porte et dire, bonjour Mme je suis un voleur, puis-je rentrer ?
    Non ?

  20. on peut faire en sorte de ne pas donner la taille du fichier et de progressivement lui balancer 1to Gzip coté serveur qui se auto déGzip coté client via le protocole d’échange qui support le Gzip :stuck_out_tongue:

Continuer la discussion sur Korben Communauté

1 commentaires supplémentaires dans les réponse

Participants