padding oracle攻击

最新推荐文章于 2023-07-07 23:45:00 发布
最新推荐文章于 2023-07-07 23:45:00 发布
阅读量2.7k 收藏 3
点赞数
分类专栏: 安全学习 文章标签: 安全 密码学 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47968686/article/details/120913423
版权

密码侧信道分析

0x01 前言

紧接着上一篇文章exchange获取cookie

,通过SSRF与XSS的配合得到了用户的cookie。 cookie中的cadata值就是用户名跟密码经过加密后得到的一串字符串。所以本次任务我们就是通过侧信道分析解密用户名跟密码。

0x11 CBC加密模式

首先我们要了解什么是CBC模式,CBC模式又称为密码分组链接模式(Cipher Block Chaining)。首先将明文分块,分成等长的明文模块。另外还有一个初始化向量IV,IV一般是随机生成。首先将第一块明文与初始化向量IV进行依次异或,然后将异或的结果(initialization value)进行加密得到我们的第一组密文,紧接着进行第二组密文的加密,此时将第一组密文作为第二次加密的IV进行异或以此类推进行剩下分组的加密。
在这里插入图片描述

0x21利用点

​ 看样子CBC每组密文都是互相影响,安全性肯定很高才对,但是这个模式是存在一定的缺陷的,这个缺陷就会导致padding oracle攻击。因为明文加密之前要与IV进行异或,所以每一组IV是与分组明文等长的,那不可能待加密的明文长度都正好是某个数的倍数。所以当明文长度不足时要进行填充,例如加密的分组为8个字节,当不足8个字节时会进行填充,填充的规则就是少几个字节就填充多少个缺失的字节数,例如缺少3个字节就填充3个0x03,从而确保了是8的倍数。所以利用点就在填充上,首先解密的时候会先检查填充是否正确,如果不正确则解密失败,如果填充位错误的时候有回显就是造成padding oracle攻击。

​ CBC的解密过程如下,首先密文经过加密算法解密以后与initialization vector(IV)进行异或的得到明文。

在这里插入图片描述

​ 那怎么利用,例如我们首先将初始化向量IV,定义成如下:

(initialization value:是明文与IV异或后的结果)

initialization value0x210x310x320x990x280x220x200x29
initialization vector(IV)0x000x000x000x000x000x000x000x00
PlainText0x210x310x320x990x280x220x200x29

那么经过异或之后0x29还是它本身,那这时服务端就会报填充位错误,因为填充位不可能超过0x08(ps:因为即使是明文刚刚好是倍数的时候也会有填充,例如填充一个新的模块即填充8个0x08),此时服务器就会报填充错误。那怎样才不会报填充错误当结果为如下:

initialization value0x210x310x320x990x280x220x200x29
initialization vector(IV)0x000x000x000x000x000x000x000x28
PlainText0x210x310x320x990x280x220x200x01

则不会报填充错误。当结果为0x01的时候,那IV我们是知道的,那么不就可以推出initialization value的最后一位了吗。所以经过不断变换使得PlainText

0x21 0x31 0x32 0x99 0x28 0x22 0x02 0x02

0x21 0x31 0x32 0x99 0x28 0x03 0x03 0x03

0x08 0x08 0x08 0x08 0x08 0x08 0x08 0x08

我们就可以推出完整的initialization value,而initialization value是明文与IV异或后的结果,而IV我们是知道的我们再把initialization value与IV异或不就可以得到PlainText了吗!

0x31漏洞复现

在Cookie中,有这么几个值,cadata:用户名与密码的密文,cadataKey:加密的密钥,cadataIV:加密所使用的IV,而cadataIV是使用SSL证书作为私钥使用RSA加密过的,所以我们无法破解。

我们看看加密流程

 @key = GetServerSSLCert().GetPrivateKey()
 cadataSig = RSA(@key).Encrypt("Fba Rocks!")
 cadataIV  = RSA(@key).Encrypt(GetRandomBytes(16))
 cadataKey = RSA(@key).Encrypt(GetRandomBytes(16))

 @timestamp = GetCurrentTimestamp()
 cadataTTL  = AES_CBC(cadataKey, cadataIV).Encrypt(@timestamp)

 @blob  = "Basic " + ToBase64String(UserName + ":" + Password)
 cadata = AES_CBC(cadataKey, cadataIV).Encrypt(@blob)

看到加密的流程即使IV不可控那顶多就是第一个模块解密不出,但是我们可以知道第一个模块的前12个字节
B\x00a\x00s\x00i\x00c\x00 \x00为什么是12个字节因为C#里面会将字符串当作UTF-16。而我们丢失的仅仅是四个字节,即用户名的1.5个字节。
当我们填充位错误时候返回头

Location: /OWA/logon.aspx?url=&reason=0

当填充位正确,而拿着解密错的用户名跟密码进行后续的验证时候返回头有

Location: /OWA/logon.aspx?url=&reason=2

这就是提示错误!
按照上述解密步骤一步一步的破译出全部分组,会得到一串base64编码,这时直接拿去解密要么解密不出要么解密结果出错,前文提到了我们丢失了四个字节,因为base64加密规则是将3个字节编为4个字节,所以我们要补上丢失的四个字节,这四个字节可以随意补上(4个0x00除外)。这时候拿去base64解密会发现用户名丢失两个字符,密码正确。

_@飞龙在天
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透--35--Padding Oracle攻击
武天旭的博客
09-21 2736
1、漏洞描述: Padding Oracle攻击指应用在解密客户端提交的加密数据时,泄露了解密数据的分段填充是否合法的信息。攻击者利用Padding Oracle可以在不知道加密程序所使用的密钥的情况下,解密数据或者加密任意数据。即使应用程序确认加密数据的完整性,仍会导致该程序仍有敏感数据泄露和越权漏洞的风险。 密文在被解密时,会被分成若干个数据块,每个数据块有固定的长度,常见的加密算法大多为8字...
padding oracle攻击原理分析(附带rsa资料)
Bendawang's Blog
09-26 5697
加解密
实验五:Padding Oracle 攻击
dxxmsl的博客
05-07 1239
Padding Oracle 的实现方式是,当系统收到一个密文后,首先会解密该密文,然后对解密后的明文进行 padding 验证,如果验证失败,则返回 404。在猜测一个字节的值时,需要依次枚举该字节可能的取值,并将该值与前面已经猜测出来的字节的值进行异或,以得到中间结果。对于每个待解密的块,枚举该块中每一个字节的可能取值,然后构造一个新的IV和密文,并向Padding Oracle发送请求,查询是否存在解密失败的情况。对于每次发送的请求,如果返回404,则说明猜测的IV是正确的,我们继续猜测下一个字节;
如何攻击oracle,Padding Oracle攻击
weixin_39952502的博客
04-12 347
最近在复现LCTF2017的一道题目,里面有一个padding oracle攻击,也算是CBC翻转攻击,这个攻击主要针对CBC加密模式的网上有关这个攻击的博客文章很多,但是其中有一些细节可能是个人的理解不同,或者作者省略了,我这里将我在学习这个攻击中遇到的问题,记录一下之前有写过关于CBC翻转攻击的文章,但是之前的文章是知道了密文和iv的,而且只要翻转一位就可以了(翻转多位也是可以的)现在这个pa...
oracle攻击的几种方式,padding oracle攻击思路总结
weixin_39842955的博客
04-07 2110
之前一直没有机会好好总结下padding oracle, 在LCTF 上水了两天,Simple Blog 这题就看了一天,最后还是没有弄出来, 参考了各位大师傅的wp, 赛后好好总结下这个漏洞, 还是很有意思的Padding Orlace攻击这是CBC模式下存在的攻击,与具体的加密算法无关(当然,必须是分组加密)。不过,实际上Padding Oracle不能算CBC模式的问题,它的根源在于应用程序...
Padding Oracle攻击
weixin_30955341的博客
04-24 178
最近在复现LCTF2017的一道题目,里面有一个padding oracle攻击,也算是CBC翻转攻击,这个攻击主要针对CBC加密模式的 网上有关这个攻击的博客文章很多,但是其中有一些细节可能是个人的理解不同,或者作者省略了,我这里将我在学习这个攻击中遇到的问题,记录一下 之前有写过关于CBC翻转攻击的文章,但是之前的文章是知道了密文和iv的,而且只要翻转一位就可以了(翻转多...
CBC Padding Oracle 攻击
jeffreynnn的博客
08-14 3122
0x01 题目来源https://github.com/pbiernat/BlackBox/tree/master/Padz0x02 解题过程1、首先还是需要了解CBC加解密模式的基本流程:CBC加密: CBC解密: 整个做题的目标四计算出中间结果,这需要从最后一个字节开始向前逐个字节计算。整个的理论原理参考了下文中的链接,这里不再赘述。2、查看源码 输出唯一的密文,发现当输入有效的时候只会返回
openssl CVE-2016-2107 漏洞检测---OpenSSL Padding Oracle 攻击
最新发布
汪敏的博客
07-07 810
openssl CVE-2016-2107 漏洞检测—OpenSSL Padding Oracle 攻击
Padding Oracle攻击(POODLE)技术分析
翟海飞
08-04 9441
SSLv3降级加密协议Padding Oracle攻击(POODLE)技术分析漏洞概述:   SSL 3.0的历史非常久远,已经有将近15年了,现今几乎所有的浏览器都支持该协议。今天该协议爆出了一个漏洞,该漏洞由谷歌公司率先发现,下面是此漏洞的大致描述。    攻击者可利用该漏洞获取安全连接当中某些是SSLv3加密后的明文内容。因为兼容性问题,当浏览器进行HTTPS连接失败的时候,将会尝试使用
实验 5、Padding Oracle 攻击
05-07
实验 5、Padding Oracle 攻击 实验目的: 理解 padding oracle 攻击的过程,验证攻击的可行性。 实验准备: 网站 crypto-class.appspot.com 部署了一个填充预言机的模拟示例,请搭建 可以访问上述地址的实验环境...
CBC字节翻转攻击padding oracle攻击
06-06
CBC字节翻转攻击padding oracle攻击 CBC 字节翻转攻击是指在使用 CBC 加密模式时,如果攻击者可以控制明文最后的一部分,并且可以观察到密文的变化,那么攻击者可以通过修改明文的最后一部分来观察密文的变化,...
Padding Oracle攻击浅析.pdf
10-09
"Padding Oracle攻击浅析" Padding Oracle攻击是指攻击者可以使用 oracle 机制来检测加密数据的padding是否正确,从而破解加密数据的攻击方式。这种攻击方式可以应用于多种加密算法,包括DES、RC2、AES等。 ...
padding oracle攻击浅谈
11-26
### Padding Oracle攻击浅谈 #### 一、引言 随着互联网技术的发展,网络安全问题日益凸显。其中,Padding Oracle攻击作为一种常见的安全威胁,引起了广泛关注。2022年9月17日,微软发布了一则安全漏洞公告,指出其...
基于Padding Oracle填充规则的服务器攻击算法(Python实现)
08-22
代码说明 CBC模式的全称是Cipher Block Chaining模式,即密文分组链接模式,之所以叫这个名字,是因为...将源码clone到本地运行Padding_Oracle_Attack.py程序即可。 软件环境:Visual Studio 2019 硬件环境:PC机
ThinkPHP6.0反序列化漏洞
m0_47968686的博客
01-21 6014
ThinkPHP6.0反序列化漏洞 前言 在学习大师傅们的thinkPHP6.0.x的反序列化漏洞复现文章时,发现自己下载的TP版本是被修复过后的版本。于是更改一下旧链达到RCE。在看本文章前先去看一下上述提到的大师傅的文章。 修补之处 __destruct链触发走的路一样 __toString链最终利用点不同 在旧版本当中,trait Attribute中499行else里面就是最终执行动态函数的地方,所以需要绕过496行的if语句。 但是我复现的时候发现了新版本做了更改即使绕过了496处的if语句在e
python内网主机存活探测
m0_47968686的博客
01-30 1814
python内网主机存活探测 实验环境 1.在Ubuntu系统下进行发包 2.使用python中的scapy模块 ARP知识 ​ ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。其作用是在以太网环境中,数据的传输所依懒的是MAC地址而非IP地址,而将已知IP地址转换为MAC地址的工作是由ARP协议来完成的。 在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但
构造ARP包发包
m0_47968686的博客
01-30 1798
构造ARP包进行arp欺骗 arp分为请求包以及响应包 Opcode中的代码表示请求以及响应 使用wireshark抓包可见,Opcode为1可知这是一个请求包 再来看看响应包,它的Opcode为2 在使用scapy模块构造,arp应答包时,我们采用的是第二层发包(就是根据我们第二层中的封装的帧头来发包) ptk2 = Ether()/ARP()#构造数据包 ptk2[ARP].op = 2#设置为应答包 ptk2[ARP].psrc = '192.168.0.1'#我们想要冒充的ip地址 ptk2[
C#反序列化漏洞
m0_47968686的博客
08-20 1584
CVE-2020-0688反序列化漏洞 漏洞成因 漏洞产生的主要原因就是在Exchange ECP组件中发现,邮件服务在安装的过程中不会随机生成秘钥,也就是说所有默认安装的Exchange服务器中的validationKey和decryptionKey的值都是相同的,攻击者可以利用静态秘钥伪造__VIEWSTATE参数从而触发反序列化漏洞。 环境、工具 WinServer2016、Exchange Server2016、win10、dnspy 分析 default.aspx被解析,继承Page类(Page
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值