来自https://snyk.io/research/zip-slip-vulnerability
此zip文件的内容必须手工制作。档案 创建工具通常不允许用户使用这些文件添加文件 路径,尽管zip规范允许它。但是,随着 正确的工具,使用这些路径创建文件很容易。
我想创建一个测试有效负载,以便我可以检查一些我的zip处理逻辑。但我无法找到如何创建一个的任何线索。
:~/Desktop # touch "../../../../../../../../tmp/evil.sh"
:~/Desktop # ll
:~/Desktop # ll /tmp/evil.sh
-rw-r--r-- 1 root root 0 Jun 14 09:27 /tmp/evil.sh
答案 0 :(得分:7)
也许
zip zipslip.zip ../../../../../../../../tmp/evil.sh