ZIPs tricks
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Εργαλεία γραμμής εντολών για τη διαχείριση αρχείων zip είναι απαραίτητα για τη διάγνωση, επισκευή και αποκρυπτογράφηση αρχείων zip. Ακολουθούν μερικά βασικά εργαλεία:
unzip
: Αποκαλύπτει γιατί ένα αρχείο zip μπορεί να μην αποσυμπιέζεται.zipdetails -v
: Προσφέρει λεπτομερή ανάλυση των πεδίων μορφής αρχείου zip.zipinfo
: Λίστα περιεχομένων ενός αρχείου zip χωρίς να τα εξάγει.zip -F input.zip --out output.zip
καιzip -FF input.zip --out output.zip
: Προσπαθούν να επισκευάσουν κατεστραμμένα αρχεία zip.fcrackzip: Ένα εργαλείο για την αποκρυπτογράφηση κωδικών πρόσβασης zip με brute-force, αποτελεσματικό για κωδικούς πρόσβασης έως περίπου 7 χαρακτήρες.
Η Προδιαγραφή μορφής αρχείου Zip παρέχει λεπτομερείς πληροφορίες σχετικά με τη δομή και τα πρότυπα των αρχείων zip.
Είναι κρίσιμο να σημειωθεί ότι τα αρχεία zip που προστατεύονται με κωδικό πρόσβασης δεν κρυπτογραφούν τα ονόματα αρχείων ή τα μεγέθη αρχείων εντός τους, μια αδυναμία ασφαλείας που δεν μοιράζονται τα αρχεία RAR ή 7z που κρυπτογραφούν αυτές τις πληροφορίες. Επιπλέον, τα αρχεία zip που κρυπτογραφούνται με την παλαιότερη μέθοδο ZipCrypto είναι ευάλωτα σε μια επίθεση σε απλή μορφή εάν είναι διαθέσιμο ένα μη κρυπτογραφημένο αντίγραφο ενός συμπιεσμένου αρχείου. Αυτή η επίθεση εκμεταλλεύεται το γνωστό περιεχόμενο για να σπάσει τον κωδικό πρόσβασης του zip, μια ευπάθεια που αναλύεται στο άρθρο του HackThis και εξηγείται περαιτέρω σε αυτή την ακαδημαϊκή εργασία. Ωστόσο, τα αρχεία zip που ασφαλίζονται με κρυπτογράφηση AES-256 είναι ανθεκτικά σε αυτήν την επίθεση σε απλή μορφή, επιδεικνύοντας τη σημασία της επιλογής ασφαλών μεθόδων κρυπτογράφησης για ευαίσθητα δεδομένα.
References
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Last updated