Hash length extension attacks 分析

最新推荐文章于 2023-11-22 22:40:23 发布
最新推荐文章于 2023-11-22 22:40:23 发布
阅读量3k 收藏 2
点赞数 2
分类专栏: WEB漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31481187/article/details/74275786
版权
本文深入探讨了Hash长度扩展攻击,从MD5加密原理开始,详细解释了字节填充、分组加密的过程,并通过实例演示了攻击原理。文章提供了Python实现的攻击脚本,以及在 JarvisOJ 平台上的具体应用,分析了解题步骤,包括如何利用hash_extender工具和手动解密方法。
摘要由CSDN通过智能技术生成

最近突然想把以前做的哈希拓展长度攻击的原理给梳理一下,前一段时间梳理了 padding oracle attack的相关知识,打算从原理到题目都详细的讲一讲,使用条件比较苛刻需要攻击者明密文都可控,所以在平时这种漏洞很少见,后面主要介绍一下工具的使用方法以及,jarvis平台上的一道题目,以及2017年陕西省信息安全竞赛的最后一道题目admin

哈希拓展可以伪造任意一对明密文,前提是有一对明密文,且伪造的明文前512比特是固定的···

0x00 MD5加密原理

一些dalao的博客这一点已经说得很清楚了,例如 Assassin师傅的博文

0x1 字节填充

MD5在进行运算时,需要将bit位数填充到指定位数,使其长度在对 512bit 取模后的值为 448bit,留下的64bit用来填写未填充的明文长度

0x2 分组加密

把填充过的(注意如果明文大于512bit,将分成多个组进行加密)明文按512bit一组进行下述加密

这里写图片描述

我们可以看到初始向量IV为128bit,每组加密过之后当做下一组的向量进行运算。最后输出的128bit就是md5值

0x3 实例演示

前面MD5的加密逻辑说得很清楚,这里利用一个实例模拟一下加密过程

加密数据 Value
十六进制 0x61646d696e
填充之后 0x61646d696e+0x80+50*0x00+0x28+0x00*7

首先字节填充,比特第一位补位1,其余位为0所以为0x80
后面全是0字节填充一直到448bit截止,剩下的8byte按照小端方式存储。admin占位5字节所以40bit=0x28bit。
这就是基本的MD5加密算法的流程,有没有看懂??如果看懂了有没有发现攻击者的可乘之机??

0x01 攻击原理

上篇稍微讲了一下,MD5加密的原理,这里主要讲解攻击方法
假设我们已经知道md5($secret+”admin”+”admin”)的值hash1
其实就是iv 与 $secret+”admin”+”admin”的填充值(这里填充了512bit)的hash值
现在假设我们有自己的hash算法可以构造任意的初始iv可以填充任意参与计算的明文
现在有以下结论
如果我要md5($secret+”admin”+”admin”+第一组MD5填充+padding)这里的第一组md5分组就是md5($secret+”admin”+”admin”)时的填充之后的512bit块
那么此值应该在逻辑上等于我利用hash1当做初始向量加密我构造的padding+填充字节(注意这里的填充是算上第一块的长度的即512bit)的第二块生成的md5值

简单的将就是

md5($secret+”admin”+”admin”+第一组MD5填充+padding)=(hash1)md5(padding+填充字节)

0x02 攻击脚本

这里引用别人写的脚本

0x1 md5 python 实现

可以自定义iv值

#!/usr/bin/env python
# -*- coding: utf-8 -*-
# @Author:DshtAnger
# theory reference:
#   blog:
#       http://blog.csdn.net/adidala/article/details/28677393
#       http://blog.csdn.net/forgotaboutgirl/article/details/7258109
#       http://blog.sina.com.cn/s/blog_6fe0eb1901014cpl.html
#   RFC1321:
#       https://www.rfc-editor.org/rfc/pdfrfc/rfc1321.txt.pdf
##############################################################################
import sys
def genMsgLengthDescriptor(msg_bitsLenth):
    '''
    ---args:
            msg_bitsLenth : the bits length of raw message
    --return:
            16 hex-encoded string , i.e.64bits,8bytes which used to describe the bits length of raw message added after padding
    '''
    return __import__("struct").pack(">Q",msg_bitsLenth).encode("hex")

def reverse_hex_8bytes(hex_str):
    '''
    --args:
            hex_str: a hex-encoded string with length 16 , i.e.8bytes
    --return:
            transform raw message descriptor to little-endian 
    '''
    hex_str = "%016x"%int(hex_str,16)
    assert len(hex_str)==16    
    return __import__("struct").pack("<Q",int(hex_str,16)).encode("hex")

def reverse_hex_4bytes(hex_str):
    '''
    --args:
            hex_str: a hex-encoded string with length 8 , i.e.4bytes
    --return:
            transform 4 bytes message block to little-endian
    '''    
    hex_str = "%08x"%int(hex_str,16)
    assert len(hex_str)==8    
    return __import__("struct").pack("<L",int(hex_str,16)).encode("hex")

def deal_rawInputMsg(input_msg):
    '''
    --args:
            input_msg : inputed a ascii-encoded string
    --return:
            a hex-encoded string which can be inputed to mathematical transformation function.
    '''
    ascii_list = [x.encode("hex") for x in input_msg]
    length_msg_bytes = len(ascii_list)
    length_msg_bits = len(ascii_list)*8
    #padding
    ascii_list.append('80')  
    while (len(ascii_list)*8+64)%512 != 0:  
        ascii_list.append('00')
    #add Descriptor
    ascii_list.append(reverse_hex_8bytes(genMsgLengthDescriptor(length_msg_bits)))
    return "".join(ascii_list)



def getM16(hex_str,operatingBlockNum):
    '''
    --args:
            hex_str : a hex-encoded string with length in integral multiple of 512bits
            operatingBlockNum : message block number which is being operated , greater than 1
    --return:
            M : result of splited 64bytes into 4*16 message blocks with little-endian

    '''
    M = [int(reverse_hex_4bytes(hex_str[i:(i+8)]),16) for i in xrange(128*(operatingBlockNum-1),128*operatingBlockNum,8)]
    return M

#定义函数,用来产生常数T[i],常数有可能超过32位,同样需要&0xffffffff操作。注意返回的是十进制的数
def T(i):
    result = (int(4294967296*abs(__import__("math").sin(i))))&0xffffffff
    return result   

#定义每轮中用到的函数
#RL为循环左移,注意左移之后可能会超过32位,所以要和0xffffffff做与运算,确保结果为32位
F = lambda x,y,z:((x&y)|((~x)&z))
G = lambda x,y,z:((x&z)|(y&(~z)))
H = lambda x,y,z:(x^y^z)
I = lambda x,y,z:(y^(x|(~z)))
RL = L = lambda x,n:(((x<<n)|(x>>(32-n)))&(0xffffffff))

def FF(a, b, c, d, x, s, ac):  
    a = (a+F ((b), (c), (d)) + (x) + (ac)&0xffffffff)&0xffffffff;  
    a = RL ((a), (s))&0xffffffff;  
    a = (a+b)&0xffffffff  
    return a  
def GG(a, b,
最低0.47元/天 解锁文章
4ct10n
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
linux渗透测试常用命令
学-> 思->用
08-07 67
【代码】linux渗透测试常用命令。
TLS协议分析------
热门推荐
zhangliang_571的专栏
06-07 1万+
TLS协议分析 2015-09-06 本文目标: 学习鉴赏TLS协议的设计,透彻理解原理和重点细节 跟进一下密码学应用领域的历史和进展 整理现代加密通信协议设计的一般思路 本文有门槛,读者需要对现代密码学有清晰而系统的理解,建议花精力补足背景知识再读。本文最后的参考文献里有一些很不错的学习资料。 目录 : 1 2 3 4 5 6 7
HASH长度扩展攻击
Noobi的博客
09-29 1456
HASH长度扩展攻击 场景: 当用户向服务端取文件时,服务端会进行验证,给出salt值(用于验证,客户端无从得知,并且需要salt值才能够拿到文件),并进行hsh=sha1(salt+filename)的运算。现通过工具拿到hash即hsh值,并得知filename。 求salt值。 原理: 当服务器进行sha1运算前,会判断字符串(slat+filename)的长度,并将整段字符串分割成64bytes一组。之后进行hash生成。 首先,当hash函数拿到需要被hash的字符串后,先将其字节长度整除64,取
Hash扩展长度攻击及Hashdump的使用
最新发布
ZXT02的博客
11-22 766
Hash扩展长度攻击、Hashdump的使用和相关CTF题目
浅析哈希长度拓展攻击
JBlock的博客
11-04 2048
Hash一般译作散列,也有直接音译做哈希,本文就直接音译吧,哈哈!所谓散列算法就是,把任意长度的输入,经过复杂的运算,转化为固定长度的输出。简单来说,就是把任意长度的字节压缩为固定长度的函数。 攻击条件: 1.知道密文(SECRET)的哈希。 2.知道密文的长度。原理:当知道MD5(secret)时,在不知道secret的情况下,可以轻松推算出MD5(secret||padding||m’
SEEDLAB2.0-Hash Length Extension Attack Lab
Yale的博客
04-14 1826
注:这一篇会写得比较详细,之后就略写了 很多实验是需要配合docker的,这里以seed lab2.0的“Hash Length Extension Attack Lab”为例介绍如何搭建环境 首先由于众所周知的原因,我们需要设置docker国内镜像源 新建如下文件 写入源 保存后退出 执行以下命令执行镜像 并查看是否设置成功 回显的最后如果有下图红框内容则说明设置成功 接下来切到实验的yml文件所在路径执行下列命令build容器镜像 然后启动 可以使用docker ps查看目前正在运行的容器
md5 Length Extension Attack
lianzhouxiaowu的专栏
11-22 774
描述设msg为原始消息(对于攻击者来说是未知的),padding为msg的补齐部分,append为附加的数据。 根据msg的长度可以推算出padding(如果长度未知则可以从1开始暴力枚举),根据md5(msg)可以计算出md5(msg + padding + append)。原理分析md5算法对消息进行分组,每组64个字节,不足64个字节的部分用padding补齐。padding补齐的规则是,在
加盐hash保存密码的正确方式
lxf0613050210的博客
01-31 547
0x00 背景 大多数的web开发者都会遇到设计用户账号系统的需求。账号系统最重要的一个方面就是如何保护用户的密码。一些大公司的用户数据库泄露事件也时有发 生,所以我们必须采取一些措施来保护用户的密码,即使网站被攻破的情况下也不会造成较大的危害。保护密码最好的的方式就是使用带盐的密码 hash(salted password hashing).对密码进行hash操作是一件很简单的事情,但是很多
hostapd wpa_supplicant madwifi详细分析(八)——wpa_supplicant的配置文件
奔跑的路
05-29 8838
距离上一篇文章的更新已经将近半年了,这半年忙项目忙得几乎没有什么时间给自己积累一些东西,也没什么心思转到这边来写点东西,当一个项目放到自己身上的时候,发现并不像开发一个模块或一个功能那么简单,涉及方方面面,各种琐碎的的事情会占据大量的时间,各个功能之间的交互等等。    前面写的关于hostapd的文章都太浅显了,一般都没怎么涉及到具体的功能,只是简单的分析了一下代码的流程,然而对于实际的功能开
Length Extension Attack
u011500307的专栏
04-19 2875
在做plaidctf时遇到了这个,记录下吧。
hash长度扩展攻击
qq_43677324的博客
04-11 685
hash长度扩展攻击探索 这几天在jarvis-oj平台看见了一个有关于hash长度扩展攻击的题,第一次见,来研究下。题目名:flag在管理员中 一、 首先打开网页,习惯性的查看源代码,啥都没有,猜测可能有源代码泄露 所以我们用脚本来扫一下 我们打开第一个 有: 下载得到文件 index.php~ 这个其实是php的备份恢复文件,拿到lunix下,重命名为index.php.swp ,使用命令v...
哈希长度扩展攻击解析
chengfangang的专栏
05-26 2245
原文链接 https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks You can grab the hash_extender tool on Github!(Administrative note: I’m no longer at Tenable! I
哈希长度拓展攻击 (hash length extension attacks) 示例与原理
Tz_AndHac的博客
03-23 2619
哈希长度拓展攻击 hash length extension attacks示例与原理 哈希长度拓展攻击: 指针对某些允许包含额外信息的加密散列函数的攻击手段。次攻击适用于MD5和SHA-1等基于Merkle–Damgård构造的算法 介绍目录: 哈希与加密的区别 常用哈希算法的介绍 Md5加密过程 Md5拓展攻击示例及原理 哈希与加...
Hackinglab(鹰眼)——解密关
计算机硕士的博客
06-18 664
Hackinglab(鹰眼)——解密关(详细版),包括了做题思路和详细步骤。 以管理员身份登录系统、邂逅对门的妹纸、万恶的Cisco、万恶的加密、异常数据、md5真的能碰撞嘛、小明爱上了一个搞硬件的小姑凉、有签名限制的读取任意文件、美丽的邂逅与密码器的开门密码
哈希长度扩展攻击(hash lengthextensionattacks)转自(freebuf婷儿)
qq_45290991的博客
09-21 2564
*本文原创作者:婷儿小跟班✧,本文属FreeBuf原创奖励计划,未经许可禁止转载前言哈希长度扩展攻击(hash lengthextensionattacks)是指针对某些允许包含额外信息的加密散列函数的攻击手段。次攻击适用于MD5和SHA-1等基于Merkle–Damgård构造的算法。MD5扩展攻击介绍我们需要了解以下几点md5加密过程:MD5加密过程中512比特(64字节)为一组,属于分组加密,而且在运算的过程中,将512比特分为32bit*16块,分块运算关键利用的是MD5的填充,对加密的字符串进行填
深入理解hash长度扩展攻击
Grey的博客
05-03 2189
0×01 引言为什么会想到这个呢?上周末做了“强网杯”的童鞋们应该都能知道吧,它其中有个密码学的题目就是考的这一点。0×02 sha1的hash原理说到要解释sha1的原理其实是非常复杂的,反正我这种智商的暂时还无法理解。所以,只能从面上跟大家谈一下我的理解。首先,当hash函数拿到需要被hash的字符串后,先将其字节长度整除64,取得余数。如果该余数正好等于56,那么就在该字符串最后添加上8个字...
哈希(Hash)长度扩展攻击
Yale的博客
03-22 8949
先来看一下md5算法的实现框图 以实现字符串abcde的md5的值的计算为例 切换到win 在winhex中打开并输入如下内容 2.对消息进行补位,使得位长mod512得值为448,即len(message) % 512 == 448(单位为bit)。补位的方式为二进制情况下数据后面加上1,然后多个0,直到满足上述等式,事实上10000000(B)=80(hex),所以体现在winhex中,...
哈希拓展长度攻击
m0_63321019的博客
05-08 819
分块哈希计算进行加密时,通常是将明文信息以类似块密码的形式进行分组,对各个组块依次加密,每一块一般为512bit,也就是64bytes,每组的明文部分为56bytes,剩下的8bytes表示这块明文消息未填充前的长度填充在明文消息的最后一块一般是不满足56ytes时就对这个最后一块进行padding填充,填充至56bytes的位置,,填充方式为,在16进制下,我们需要在消息后添加一个80,然后加0,直至56bytes时变量计算。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值