您可能听说过格式工厂，这是一种格式化文件的工具。

但是今天，硅粉们看到了一些非常酷的东西：一个文件不仅可以有六种格式，而且新文件具有与源文件相同的MD5哈希值……

声明一下，这篇文章并不是为了欺骗人们在4月1日的感受：以下内容是真实的，不是开玩笑。

让我们一步一步来看。

黑客们的这份期刊被称为PoC | | GTFO，全称是国际概念证明期刊或Get The Fuck Out(翻译成“国际概念证明期刊或Fuck off?)这一切都是关于文件格式化，逆向工程和黑客。期刊以在线pdf格式发布，免费分发，并鼓励镜像。

最新的PoC | | GTFO 0 x19这个问题也很有趣：它本身就是一个pocortfo19。PDF文件，但您可以手动修改扩展名，分为三个“完全不同”(如文件格式)，但“相同”(如MD5)的文件。

这三个相同但不同的文件的扩展名为。pdf.zip和。html。你可以下载这个文件(大约65MB)在GitHub[1](点击“阅读更多”)，并尝试更改扩展自己。如果您无法访问，四星人也会将文件上传到百度的网盘[2]。

如果我们对三个文件(.pdf.zip和.html)运行MD5检查，我们会看到它们具有与——相同的MD5值。这没关系，因为它根本不影响文件，从技术上讲，它是同一个文件(只是扩展名不同):

但有趣的是，这三种不同的扩展都可以工作，并且有自己的含义。

如果你打开。pdf版本，你可以阅读日记：

扩展到.zip，然后提取并得到这个问题PoC | | GTFO在原始文档中引用的作品：

最后，我们将格式更改为。html，并在浏览器中打开它，得到如下静态页面：

这还没完。它变得更有趣了。它说把我放到这里，这样我就可以自己解析了。它说把我放到这里，这样我就可以自己解析了。这是什么意思？

因为你现在正在打开一个。html文件，正确的做法是将。html文件拖回到上面的单词所在的位置：

html解析自己，并实际解决另外四个文件？

这四个新文件分别是：image.png, Microsoft executable。例如，video.mp4和另一个与原始。pdf相同的。pdf文件)。

如果重新检查四个新文件的MD5值，可能会导致世界观崩溃：MD5值与原来的。pdf相同。

您应该注意到三个新文件(.png。 exe和.mp4)不是直接从原始文件的扩展名派生的，而是从充当解析器并解析自身的.html文件派生的，从而产生辅助文件。

因为在macOS上，硅不能打开。前文件；如果我们打开mp4文件，我们会得到一个简短的赛车视频：

在解析的页面中，小工具的作者解释说该文件是HTML文件，但它也是PDF多语言文件。

Polyglot字面上的意思是懂得一种以上的语言。在计算机科学中，它描述了几种计算机语言的“混合”，这些语言写在一个文件中，可以由相应的编译器编译这些语言。

用程序员的话来说，Polyglot是一个可以被PDF和HTML编译器传递的程序。翻译成人类的话，它是一个文件，可以打开作为图片，视频和文档，或运行作为一个可执行程序…

作者继续解释说，它不仅是HTML和pdf的混合体，而且还实现了与其他四个文件(即.png. exe .mp4和.pdf)的MD5冲突。

0

有一个文件我们没有打开，它是。png。如果你在Chrome中打开它，你会看到下面的图片：

它实际上描述了这个文件的结构。简单地说：故意修改文件的编码“布局”，包括html, png, mp4, pe头和内容。

遗传学中有一个词叫做嵌合体，它描述的是一种生物体同时拥有多套DNA，表现出不同的特征。例如，如果杂交成功，结果就是一个典型的生物嵌合体。

这个html/pdf文件，就像电脑的嵌合体。它看起来像一个文件，但实际上包含了许多其他文件的“特征”……

网友们对这款小玩意给予了高度评价：

郊区是如此接近魔法!使用SHA-2!推特@_unwriter笑了。别担心，你不是完全没用，只是一个梗：-)Twitter @037注意这些碰撞碎片(双关语，raph-shell-shell-shell -shell) Twitter @dntlookbehindu这个小工具的主要作者是Ange Albertini和Marc Stevens。

Albertini是PoC b| | GTFO，编辑之一，也是“官方”页面的所有者。他在b谷歌位于瑞典苏黎世的办公室担任安全工程师，负责对这个小工具进行逆向工程。

Marc Stevens为项目提供了哈希碰撞方面的重要帮助。他在荷兰国家研究机构CWI从事加密科学工作，并于2017年与谷歌合作进行了第一次SHA-1碰撞破解，即著名的SHAttered事件。

如前所述，多年来已经证明MD5能够在碰撞中被破解，但是碰撞既耗时又费力。Albertini和Stevens一起开发了一个“一键脚本”，允许两个(或更多)文件之间的MD5冲突。

“碰撞任何两个文件已经有很多年了，问题是每次都要花几个小时，而且没有捷径。在这里，我们为特定的文件格式提供了一个技巧和一个预先计算的冲突前缀来完成冲突。

该技术的工作原理大致如下：通过预先计算常见文件格式(如JPG、PNG、PDF、MP4)的前缀(可以理解为文件内容的“目录”)的兼容性，然后处理一个单独的文件A，文件A可以包含四个不同文件的数据：b.p JPG、c.p ppg、d.p ppdf和e.p MP4。

现在，这些研究人员可以快速实现JPG、PNG、PDF、MP4和GIF等常见格式文件之间的碰撞。他们在github上开源了这些技术-corkami /Collision[3]，“git克隆，运行，完成。”阿尔贝蒂尼写道。

老实说，这项技术并没有多少创造价值的用途……不超过1)证明MD5确实不安全，建议放弃；2)可以用于黑客攻击

安全研究人员陈悦举了一个简单的哈希碰撞攻击的例子：“假设杀毒软件对可执行文件非常严格，但一个伪装成jpg文件的exe文件，图像看起来很好，它通过了，然后进入系统发动攻击。”(当然，如今的软件杀手没那么傻了，安全行业一直在关注碰撞事件。)

此类袭击造成的损害可能更具社会性。

例如，某政治家的网站上有一个视频，总结了他的政治理念和平台，黑客制作了一个与原始视频哈希值完全相同，但意义完全相反的视频，然后将其注入网站，羞辱该政治家，使其失去选民的信任。

因此，基于这项技术的黑客攻击有很大的潜力……

两个不同的视频具有相同的MD5值[4]

这个小玩意的其他贡献者是拉法？Hirsz, Albertini的JavaScript同事；Kurt Pfeifle, PDF文件/PostScript语言专家和PDF协会成员；比利时安全公司QuarksLab的研究员菲利普特温(Philippe Teuwen)帮助该项目进行文档格式化；这段mp4视频由独立视觉艺术家Gustavo Torres编写。

由于文件格式和哈希算法真的不是硅的专长，我们不会深入研究它们…

如果你有兴趣，你可以下载b|的PoC b| GTFO 0 19期，然后自己扩展播放，然后再去制作- corkami/Collision了解技术细节。