"Evasive Concatenated ZIP 漏洞" 是一种绕过安全扫描器和压缩格式解析器的ZIP结构污染攻击,属于更隐蔽形式的压缩文件利用方式。它可以用来隐藏恶意文件,绕过防病毒软件、Web应用防火墙(WAF)、CI/CD管道等的安全检测。
🧨 漏洞简介:Evasive Concatenated ZIP(也称为 ZIP Polyglot)
🔍 原理
该漏洞利用了 ZIP 文件格式的一个容错特性:ZIP 文件允许在其尾部附加任意内容,也允许多个 ZIP 文件级联(concatenate)在一起,而某些解析器只会解析第一个或最后一个 ZIP 文件头。
攻击者可以构造一个串联多个 ZIP 结构的文件,其中一个结构是合法但“干净”的(安全),另一个结构是隐藏的恶意 ZIP,实际运行或部署时(如 CI/CD 解包或服务端解压)使用的是恶意部分。
🎯 攻击效果
-
绕过安全扫描:病毒扫描工具解析的是第一个 ZIP 结构,看到的是无害内容。 -
绕过 WAF 检测:上传时检测“干净”,部署时实际解压的是恶意代码。 -
构造 polyglot 文件:ZIP + JAR / ZIP + EXE / ZIP + HTML,逃避静态检查。 -
实现 Zip Slip(路径穿越)结合使用时效果更强。
演示(概念)
# 创建干净文件zip clean.zip safe.txt# 创建恶意文件zip evil.zip ../../../../../var/www/html/shell.php# 合并cat clean.zip evil.zip > combined.zip如果:
-
防毒引擎仅解析第一个 ZIP,则只看到 safe.txt。 -
服务器使用 lenient 解析器(如 Java 的 ZipInputStream),可能解析到后面的 evil.zip内容。
参考链接:
https://github.com/snyk/zip-slip-vulnerability
https://perception-point.io/blog/evasive-concatenated-zip-trojan-targets-windows-users/
原文始发于微信公众号(夜风Sec):这不是压缩包,是陷阱:警惕 Evasive Concatenated Zip 攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论