Padding oracle attack!

最新推荐文章于 2023-10-01 18:06:19 发布
最新推荐文章于 2023-10-01 18:06:19 发布
阅读量1.5k 收藏 4
点赞数
分类专栏: Web 密码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35078631/article/details/78484980
版权
Web 同时被 2 个专栏收录
41 篇文章 1 订阅
订阅专栏
密码
1 篇文章 0 订阅
订阅专栏

终于补题补到了这个题目!这个也是非常经典的问题了,但是一直没有搞明白,之前鸡哥的讲解已经非常清楚了,忍不住还是想佩服一下4ction。下面还是大概讲一下这个Padding oracle attack到底是个啥,这里采用白帽子上的讲解方式就很好了!

1.基础知识

(1)padding

由于CBC是块密码工作模式, 所以要求明文长度必须是块长度的整数倍.
对于不满足的数据, 会进行数据填充到满足整数倍. 即 padding,格式如下

** ** ** ** ** ** ** 01
** ** ** ** ** ** 02 02
** ** ** ** ** 03 03 03
** ** ** ** 04 04 04 04
** ** ** 05 05 05 05 05
** ** 06 06 06 06 06 06
** 07 07 07 07 07 07 07
08 08 08 08 08 08 08 08

当然这里是64位为一块的情况,其他的情况自行分析

(2)CBC分组密码的链接模式

这里写图片描述

CBC模式加密流程图

这里写图片描述

CBC模式解密流程图

理解以上两张图以后还需要知道以下这张图中的IV的意思,中间值,也是我们解密过程中最后的需要抑或的地方

这里写图片描述

这个的认识非常关键!下买你讲一下攻击的原理 

    在Padding Oracle Attack攻击中,攻击者输入的参数是IV+Cipher,我们要通过对IV的”穷举”来请求服务器端对我们指定的Cipher进行解密,并对返回的结果进行判断。

    和SQL注入中的Blind Inject思想类似。我觉得Padding Oracle Attack也是利用了这个二值逻辑的推理原理,或者说这是一种”边信道攻击(Side channel attack)”

2.攻击条件

二者缺一不可

1.可以控制密文 或者 IV
2.如果解密后不满足 padding 服务端会报错.

然后这里需要搞清楚到底是怎样猜解,具体比较复杂,不多讲了。总之就是控制IV在解密的过程中寻找成功解密的IV值,并且根据填充的内容确定中间值。至于我们需要的明文只要中间值和原有的IV抑或一下就有了(本人就坑在这几个变量的关系上)

3.一个例子

题目来自于第三届上海大学生网络安全大赛中的is_aes_secure密码题目,题目中明显就是了利用此漏洞,给定一个rb,贴一下代码如下

#!/usr/bin/ruby -w
require 'openssl'
require 'base64'

def banner()
    puts ' ____________________________________________'
    puts '|                                            |'
    puts '| Welcome to our secure communication system |'
    puts '| Our system is secured by AES               |'    
    puts '| So...No key! No Message!                   |'
    puts '|____________________________________________|'
    puts ''
end

def option()
    puts '1. Get the secret message.'
    puts '2. Encrypt the message'
    puts '3. Decrypt the message.'
    puts 'Give your option:'
    STDOUT.flush
    op=gets
    return op.to_i
end

def init()
    file_key=File.new("./aeskey","r")
    $key=file_key.gets
    file_key.close()
end
def aes_encrypt(iv,data)
    cipher = OpenSSL::Cipher::AES.new(256, :CBC)
    cipher.encrypt
    cipher.key = $key
    cipher.iv  =  iv
    cipher.update(data) << cipher.final
end

def aes_decrypt(iv,data)
    cipher = OpenSSL::Cipher::AES.new(256, :CBC)
    cipher.decrypt
    cipher.key = $key
    cipher.iv  = iv
    data = cipher.update(data) << cipher.final
end

def output_secret()
    file_secret=File.new("./flag","r")
    secret=file_secret.gets
    puts secret
    file_secret.close
    secret_enc=aes_encrypt("A"*16,secret)
    secret_enc_b64=Base64.encode64(secret_enc)
    puts secret_enc_b64 
    STDOUT.flush
end

init
banner
while true do
    begin
        op=option
        if op==1
            output_secret
        elsif op==2
            puts "IV:"
            STDOUT.flush
            iv=Base64.decode64(gets)
            puts "Data:"
            STDOUT.flush
            data=Base64.decode64(gets)
            data_enc=aes_encrypt iv,data
            puts Base64.encode64(data_enc)
            puts "Encrytion Done"    
            STDOUT.flush
        elsif op==3
            puts "IV:"
            STDOUT.flush
            iv=Base64.decode64(gets)
            puts "Data:"
            STDOUT.flush
            data=Base64.decode64(gets)
            data_dec=aes_decrypt iv,data
            puts "233"
            puts data_dec
            puts "Decrpytion Done"
            STDOUT.flush
        else
            puts 'Wrong Option'
            STDOUT.flush
        end
    rescue Exception => e  
        puts e.message
        STDOUT.flush
        retry
    end
end

代码的逻辑非常清楚,然后我们需要进行一些设置将服务挂起来

安装socat,这个可以看我前面的介绍
socat安装使用指南
还需要配置几个文件

1.创建flag文件输入flag
flag{flag_is_here_but_you_cannont_see}
2.创建aeskey输入密码
因为这个我们在做题中不可得,填入任意的32字节长的字符串

然后我们挂载起来服务即可

之后就是做题了,首先我们输入1得到经过加密的flag内容,然后大概分析一下b64解密后长度为48,需要将之分为3组,然后就比较简单了,直接上程序,我写的程序可能比较乱,但是思路尽可能写清楚
ps:这里注意owntools的使用,这里在接收东西的时候用recvuntil远远比recv要稳定的多!!!之前做不出来就是因为这个!!!长见识了!!!

# coding:utf-8
from pwn import *

using_words=''  #从0-255的字符
flag = ''   #最终的flag
temp_flag=''    #获取的每一块的flag值
def make_using_words():
    global using_words
    for i in range(0,255):
        using_words+=chr(i)

def make_new(ans,sigal,pos):    #这个函数生成爆破的IV向量,我们尤其需要注意ans值,和下面的的return值理清关系
    ret=''
    for i in range(pos):    #添加前导零
        ret+="0"
    ret+=sigal
    for i in range(len(ans)):
        ret+=chr(ord(ans[i])^(16-pos))  #加入要填充nbyte,保证后n-1byte是0xn
    return ret

def decode_sigal_word(conn,iv,block,ans,pos):   #爆破一个byte
    global using_words
    for sigal in using_words:
        padding = make_new(ans,sigal,pos)  #NO.16-pos word
        conn.send('3\n')
        conn.recvuntil('IV:\n')     #注意用recvuntil比较稳定
        conn.send(base64.b64encode(padding)+"\n")   #注意用\n才会进入下一步
        conn.recvuntil('Data:\n')
        conn.send(base64.b64encode(block)+"\n")
        content =  conn.recv()
        #print content
        if "Decrpytion Done"  in content:   #我们在文章中描述的二叉值的来源,Decrpytion Done说明解密成功了
            global temp_flag 
            temp_flag+= chr(ord(sigal)^(16-pos)^ord(iv[pos]))   #抑或原来的IV,得到直接是flag的值
            return chr(ord(sigal)^(16-pos))     #注意这里不需要抑或原来的IV,后面只要num^(16-pos)^(15-pos),自己想清楚!!!

def decode_words(conn,iv,block):    #爆破一整串
    global temp_flag
    temp_flag = ''
    ans=''
    for i in range(15,-1,-1):   #从尾向头爆破
        ans+=decode_sigal_word(conn,iv,block,ans[::-1],i)
        #print ans
    #return ans



if __name__=='__main__':
    decode_total = 'zCGS96d+kbkerCze6RFPRz+0+0Lg6NzXbdhmLgXtliGJyJuoW4aAQT18u6AGkmFR' #我们按下1得到的密文
    IV = "QUFBQUFBQUFBQUFBQUFBQQ==" #"A"×16的base64加密值
    make_using_words()
    decode = base64.b64decode(IV)+base64.b64decode(decode_total)    #链接起来
    conn = remote('127.0.0.1',3333)
    print conn.recvuntil('option:\n')
    global flag
    global temp_flag
    for i in range(1,4):    #按照位置分片,前一个为IV值后一个为密文
        iv = decode[i*16-16:i*16]
        decode_block = decode[i*16:i*16+16]
        decode_words(conn,iv,decode_block)
        flag+=temp_flag[::-1]
    print flag

这里写图片描述

学习到了,开心啊,再膜4ction师傅














Assassin__is__me
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透--35--Padding Oracle攻击
武天旭的博客
09-21 2612
1、漏洞描述: Padding Oracle攻击指应用在解密客户端提交的加密数据时,泄露了解密数据的分段填充是否合法的信息。攻击者利用Padding Oracle可以在不知道加密程序所使用的密钥的情况下,解密数据或者加密任意数据。即使应用程序确认加密数据的完整性,仍会导致该程序仍有敏感数据泄露和越权漏洞的风险。 密文在被解密时,会被分成若干个数据块,每个数据块有固定的长度,常见的加密算法大多为8字...
实验 5、Padding Oracle 攻击
05-07
实验 5、Padding Oracle 攻击 实验目的: 理解 padding oracle 攻击的过程,验证攻击的可行性。 实验准备: 网站 crypto-class.appspot.com 部署了一个填充预言机的模拟示例,请搭建 可以访问上述地址的实验环境...
Padding Oracle Attack 分析
4ct10n
05-12 8664
Padding Oracle Attack是一个经典的攻击,在《白帽子讲web安全》有一章提到Padding Oracle Attack的攻击方式,本篇文章结合着NJCTF的Be admin 进行详细的讲解,扫除知识上的盲点。 本篇文章讲解的顺序是攻击原理、攻击条件、本地测试、结果分析与总结四个方面进行详细的讲解。
实验五:Padding Oracle 攻击
dxxmsl的博客
05-07 1011
Padding Oracle 的实现方式是,当系统收到一个密文后,首先会解密该密文,然后对解密后的明文进行 padding 验证,如果验证失败,则返回 404。在猜测一个字节的值时,需要依次枚举该字节可能的取值,并将该值与前面已经猜测出来的字节的值进行异或,以得到中间结果。对于每个待解密的块,枚举该块中每一个字节的可能取值,然后构造一个新的IV和密文,并向Padding Oracle发送请求,查询是否存在解密失败的情况。对于每次发送的请求,如果返回404,则说明猜测的IV是正确的,我们继续猜测下一个字节;
padding oracle attack相关之padding oracle attack
小小鱼的博客
10-14 850
前段时间遇到一个挺有意思的题目,用到了padding oracle attack的相关知识,于是恶补了一下padding oracle attack相关内容,本着取之于民用之于民同时也可以方便自己以后复习的心态,我决定整理一下这几天的所学所得,也算是留下点什么hhh。 前面两篇文章简单介绍了padding oracle attack需要事先了解的一些知识,以便于理解,现在终于进入正题了hhh。下
padding-oracle-attack_Padding Oracle Attack&CBC字节翻转攻击
weixin_39835991的博客
11-24 491
先来讲一讲CBC模式加密原理:加密过程:1.首先将明文(Plaintext)分组(常见的以16或8字节为一组),位数不足的使用特殊字符填充。2.生成一个随机的初始化向量(IV)和一个密钥。3.将IV和第一组明文异或(xor运算)。4.用密钥对3中xor后产生的密文加密。5.用4中产生的密文对第二组明文进行xor操作。6.用密钥对5中产生的密文加密。7.重复4-7,到最后一组明文。8.将I...
利用方法ms10-070(ASP.NET Padding Oracle Vulnerability)1
08-08
利用方法ms10-070(ASP.NET Padding Oracle Vulnerability)1
padding oracle攻击浅谈
11-26
padding oracle攻击详解。
Padding-Oracle-Attack详解[归纳].pdf
10-11
Padding-Oracle-Attack详解[归纳].pdf
Apache Shiro Padding Oracle漏洞可导致远程命令执行漏洞解决
01-09
背景:Apach Shiro官方披露其cookie持久化参数rememberMe加密算法存在漏洞,可被Padding Oracle攻击,攻击者利用Padding Oracle攻击手段可构造恶意的rememberMe值,绕过加密算法验证,执行java反序列化操作,最终可...
Web需要懂的Crypto|Padding Oracle
echosec的博客
08-21 1221
CBC字节翻转和Padding Oracle这两个考点在2017-2018年的CTF题目中比较常见,没想到最近的巅峰极客2022的 babyweb 中再出现,总感觉知识点比较零散,这里尝试稍微系统的梳理下,水平有限,有误望师傅们指正。
我对Padding Oracle Attack的分析和思考
weixin_34262482的博客
10-28 180
道哥的《白帽子讲web安全》有一章提到Padding Oracle Attack的攻击方式,据说这货在2011年的Pwnie Rewards上还被评为"最具价值的服务器漏洞"。 抱着书看了半天,感觉也不是很理解,和密码学结合的比较紧,有一些理论的东西在里面。这里做个学习笔记,研究一下。   1. 相关阅读材料 https://github.com/GDSSecurity/PadBuster...
一文搞明白 Padding Oracle Attack
闵行小鱼塘
06-16 4198
讲讲Padding Oracle Attack,之前在ctf中遇到过一次,但直接拿了网上找的exp就没仔细学,现在回头看看学学
Apache Shiro Padding Oracle Attack (Shiro-721)漏洞复现
whojoe的博客
05-11 4612
Apache Shiro Padding Oracle Attack (Shiro-721)漏洞复现环境搭建安装git使用dockerfile启动docker获取dockerfile查看是否搭建成功centos7+tomcat8启动docker一系列命令登录测试账户抓取cookie安装maven使用Java反序列化工具 ysoserialshiro_exp.py参考文章 环境搭建 环境使用centos7+docker 安装git yum install git 使用dockerfile 启动docker
Padding Oracle填充预言机攻击
最新发布
cherryc_的博客
10-01 269
喜欢!神奇的padding oracle攻击原理和python代码实现
SEEDLAB2.0-Padding Oracle Attack
Yale的博客
04-14 1336
一些系统在解密给定密文时,验证填充是否有效,如果填充无效,则抛出错误。 这种看似无害的行为启用了一种称为padding oracle攻击的攻击。 发现许多知名系统容易受到此攻击,包括Ruby on Rails,ASP.NET和OpenSSL。 在本实验中,在容器中运行的两个Oracle服务器。 每个oracle内部都隐藏着一条秘密消息,它让我们知道知道密文和IV。 而且,对于我们提供的任何密文,它都会告诉我们填充是否有效。我们的工作是使用oracle的响应来找出秘密消息的内容。 先把之前运行的容器关掉,然后
Padding Oracle Attack--代码实现及深入理解
Yale的博客
05-26 4944
Padding Oracle Attack 分组密码 在密码学中,分组加密(英语:Block cipher),又称分块加密或块密码,是一种对称密钥算法。它将明文分成多个等长的模块(block),使用确定的算法和 对称密钥对每组分别加密解密。 什么是PKCS#5? PKCS#5,就是一种由RSA信息安全公司设计的填充标准。 对于PKCS#5标准来说,一般缺少几位,就填充几位那个数字。 比方说,在上...
oracle攻击的几种方式,padding oracle攻击思路总结
weixin_39842955的博客
04-07 2074
之前一直没有机会好好总结下padding oracle, 在LCTF 上水了两天,Simple Blog 这题就看了一天,最后还是没有弄出来, 参考了各位大师傅的wp, 赛后好好总结下这个漏洞, 还是很有意思的Padding Orlace攻击这是CBC模式下存在的攻击,与具体的加密算法无关(当然,必须是分组加密)。不过,实际上Padding Oracle不能算CBC模式的问题,它的根源在于应用程序...
Padding Oracle Attack实例分析
buptisc_txy的专栏
11-24 1582
转自:http://blog.zhaojie.me/2010/10/padding-oracle-attack-in-detail.html,谢谢老赵! cookie在保证一段时间的有效登录时,估计会涉及padding oracle的漏洞。 老赵没有提到怎么防范这种类型的漏洞,我看1 不用cbc的加密方式。2 随机加密密钥。3  格式错误,比如padding错误,并不明显提示出来。
padding Oracle attack
05-22
Padding Oracle attack is a type of cryptographic attack that exploits the behavior of cryptographic systems using block ciphers with padding. The attack allows an attacker to decrypt the contents of encrypted data by sending specially crafted ciphertexts to a server that uses the encryption algorithm. The attack works by exploiting the server's ability to detect whether a ciphertext is properly padded or not. Padding is commonly used in block ciphers to ensure that the input block is a fixed length. If the padding is incorrect, the server will reject the ciphertext and return an error message. However, by analyzing the error messages, an attacker can infer information about the plaintext and eventually decrypt it. To carry out the attack, the attacker sends many modified ciphertexts to the server, each with a different block of the ciphertext modified. By analyzing the responses from the server, the attacker can determine whether the modified block of ciphertext was properly padded or not. This information can be used to gradually determine the value of each byte of the plaintext. Padding Oracle attack is a serious threat to many cryptographic systems that use block ciphers with padding. To prevent this attack, it is important to use authenticated encryption modes, such as AES-GCM or ChaCha20-Poly1305, that provide both encryption and authentication of the ciphertext. Additionally, servers should be configured to return a generic error message, rather than specific error messages that reveal information about the encryption process.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值