填充提示攻击--破解CBC模式的AES加密

最新推荐文章于 2024-04-22 16:37:04 发布
最新推荐文章于 2024-04-22 16:37:04 发布
阅读量2k 收藏 4
点赞数
分类专栏: 骚操作 漏洞原理 文章标签: 渗透测试 网络安全 shiro java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32731075/article/details/118685622
版权

填充提示攻击--破解CBC模式的AES加密

本文参考
Padding Oracle Attack(填充提示攻击)详解及验证

今天看shiro的历史漏洞的时候看到了这样的内容
shiro 550 主要利用的就是shiro cookie中的rememberme字段在服务端解析的时候会经过base64解码-AES解密-反序列化的过程,既然存在反序列化的函数,那么就可能存在发序列化的漏洞,那么要实现反序列化的利用条件,上述的 三个过程中比较难控制的就是我们不知道AES加密方式的秘钥是多少。而该漏洞发生的位置正好就在这儿,在shiro 1.2.24版本以下,AES的解密秘钥是硬编码在代码中的,而shiro是一个开源程序,那么我们就可以收集各个版本的秘钥咯,然后挨个秘钥尝试,如果成功解密的话服务端会返回200,解密失败的话会返回500,通过观察返回的状态码就可以判断当前的秘钥,然后构造序列化字符串进行getshell 或者执行命令。
shiro 721 这个漏洞可谓是通杀了!!原理和shiro550是一样的,不过不需要知道AES的秘钥,只需要暴力猜解明文与密文就好了,通过观察服务端返回状态码,来判断解密是否成功,从而构造payload进行攻击,这个shiro 721就是填充提示攻击padding oracle attacking
我们来看看这种方式为啥能够成功
shiro使用的AES加密模式是CBC,这种加密模式的加密过程是这样的。
需要两个关键数据,一个是秘钥,一个是IV invoke vector—初始向量,初始向量的存在保证了即便是同一个秘钥加密同一份数据也会得到不同的加密结果。具体是这样的,AES加密前会先对原始明文数据进行分组,比如按照8个字节分为一组,那么明文数据最后一组可能就凑不够8个字节,那么不足的部分就要使用数据进行填充,填充的规则是,如果有N字节不足,那么就填充N个0x0N。然后通过我们的IV对每个分组进行异或操作,得到一个中间值,然后使用秘钥对该中间值进行加密变换得到第一组明文的加密结果,然后将该加密结果作为第二组明文的IV,依次循环直到最后一组明文被加密完毕,可以想象如果要解密,我们得知道IV,所以该IV被连同所有的密文一起传输,保存在了最终结果的第一组,就是说最终的计算结果的第二组开始才是正经的密文。
解密的过程就是加密的逆向。
那么我们又是怎样猜解密文还原明文的呢?
我用我的参考文章中的例子
现在我们有这样一个url

http://www.example.com/decrypt.jsp?data=7B216A634951170FF851D6CC68FC9537858795A28ED4AAC6

后面那一串就是密文,现在进行分组

初始化向量: 7B 21 6A 63 49 51 17 0F
第一组密文: F8 51 D6 CC 68 FC 95 37
第二组密文: 85 87 95 A2 8E D4 AA C6

我们应该怎样破解第一组密文的明文呢?
首先我们构造这样的url

http://www.example.com/decrypt.jsp?data=00000000000000000F851D6CC68FC9537

将第一组密文的初始化向量全部设置为0,然后访问,很明显服务端会响应500,因为我的IV错了,在进行解密的时候,服务端首先用自己保存的AES秘钥对密文进行解密得到中间值,然后将中间值与IV进行异或运算得到明文,然后在检查明文的填充字节的时候发现最后一个字节的值与填充的位数不匹配,所以解密失败!!要解密成功则需要最终的解密结果满足填充的规则。那么这时候应该怎么办呢?假设正确的填充字节只有一个,我们可以这样,依次遍历我们IV的最后一个字节从0x01-0xFF,直到最终的解密结果的明文的最后一个字节为0x01,此时就算解密成功了,服务器会返回200或者302的响应码,因为虽然解密成功了,但结果不满足服务端的处理逻辑,所以会出现203的结果,此时我们就知道了IV的最后一个字节和填充字符,这时候将二者进行异或操作就可以得到中间值的最后一个字节,然后我们可以通过同样的方式猜解出来前面的中间值,直到获得完整的中间值。也就是假设填充值有2个字节,那么填充值就是0x02 0x02 ,这个时候我们已经知道了中间值的最后一个字节,将其与0x02进行异或将得到IV的最后一个字节,这时候只需要将IV的倒数第二个字节从0x01-0xFF进行遍历再与解密后的密文进行异或得到值为0X02,此时的IV值即是正确的,再将IV与填充字符进行异或就得到了中间值的第二个字节。依次计算直到计算出所有。在猜出了所有的中间值之后,再将其与IV进行异或操作即可得到第一组密文的明文结果。解密也就完成了,然后将第一组的密文作为第二组密文的IV对第二组密文进行解密。
这是解密的过程,至于加密的过程,文章中没有详细讲。就让我在睡梦中想一想怎么整吧!!!!!

Iwanturoot
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Padding Oracle Attack填充提示攻击-渗透测试
HBohan的博客
07-06 685
漏洞简介 最近学习了一个shiro的 Critica级漏洞的验证,利用Padding Oracle Vulnerability破解rememberMe Cookie,达到反序列化漏洞的利用,攻击者无需知道rememberMe的加密密钥。 明文分组和填充就是Padding Oracle Attack的根源所在,但是这些需要一个前提,那就是应用程序对异常的处理。当提交的加密后的数据中出现错误的填充信息时,不够安全的应用程序解密时报错,直接抛出“填充错误”异常信息。 Padding Oracle Attack是.
AES加密CBC模式DLL
12-01
delphi调用原型: Function AESCBC(kb:integer;resStr:PChar;inKey:PChar;initVector:PChar;error:Pchar):PChar; cdecl; external 'AES.dll'; kb:128,192,256, resStr:源字符串 inKey:密匙 initVector:初始向量 返回值为base64编码串
密码学《图解密码技术》记录学习 第四章
最新发布
weixin_67944207的博客
04-22 743
本章中我们将探讨一下分组密码的模式①。我们在第 3 章中介绍的 DES和 AES 都属于分组密码,它们只能加密固定长度的明文。如果需要加密任意长度的明文,就需要对分组密码进行迭代,而分组密码的迭代方法就称为分组密码的“模式”。分组密码有很多种模式,如果模式的选择不恰当,就无法充分保证机密性。例如,如果使用上面骡子的故事中所提到的 ECB 模式,明文中的一些规律就可以通过密文被识别出来。本章中,我们将首先讲解分组密码与流密码,然后按顺序讲解分组密码的主要模式(ECB、CBC、 CFB、OFB、CTR),最后再
密码学-实验二
TWELVEPEERSS的博客
01-09 2554
密码学第二次实验,主要是块密码和应用实例。
【对称加密算法】AES算法的CBC和ECB模式
m0_63216218的博客
07-18 6764
密钥的加密和解密!
Crypto日记之AES-ECB padding attack
zgzhzywzd的博客
03-15 6324
0x01 前言 继续Crypto刷题之旅,用2020 Volga CTF的一道题看一下AES-ECB模式的加密模式及安全性问题。 0x02 Volga CTF 2020 - noname 题目给了两个文件,一个encryptor.py的代码,和encrypted密文文件。题目描述为:i have noname,but i am two days old。 先看代码: from Crypto.Cipher import AES from secret import flag import time from
AES_CBC已知一部分+爆破
247533的博客
07-19 2822
AES
在Qt下实现的AES-128 CBC模式的加密解密
04-07
在Qt中,我们可以使用QCA(Qt Cryptography Architecture)库,它提供了更方便的AES加密接口,但如果你不希望引入额外的库,上述方法可以手动实现AES-128 CBC的加密解密过程。 最后,我们可以编写一个主函数来测试...
C#实现微信AES-128-CBC加密数据的解密
03-29
小程序登录时,获得用户的信息,只是昵称,无法用作...对称解密使用的算法为 AES-128-CBC,数据采用PKCS#7填充。  对称解密的目标密文为 Base64_Decode(encryptedData),  对称解密秘钥 aeskey = Base64_Decode(sessio
CBC-AES的加密算法的实现
09-16
总之,CBC-AES加密算法在VS2010中的实现涉及到理解AES加密原理、CBC模式的工作方式,以及如何在C++环境中调用加密函数。通过这个过程,我们可以构建出一个安全且高效的加密系统,确保数据在传输和存储中的安全性。
java实现aes-cbc模式加密
01-16
java实现aes加密,采用cbc模式,PKCS5Padding填充,key ALLINPAYRISKERR0,偏移量IV 0000000000000000,hex输出 。
基于Padding Oracle填充规则的服务器攻击算法(Python实现)
08-22
代码说明 CBC模式的全称是Cipher Block Chaining模式,即密文分组链接模式,之所以叫这个名字,是因为密文分组像链条一样相互连接在一起。在CBC模式中,首先将明文分组与前一个密文分组进行异或运算,然后再进行加密。 填充提示攻击是一种利用分组密码中填充部分来进行攻击的方法。在分组密码中,当明文长度不为分组长度的整数倍时,需要在最后一个分组中填充一些数据使其凑满一个分组长度。在填充提示攻击中,攻击者会反复发送一段密文,每次发送时都对填充数据进行少许改变。由于接收者(或者说服务器)在无法正确解密时会返回一个错误信息,攻击者通过这一错误消息就可以获得与明文相关的信息。(这一攻击并不仅限于CBC模式,还适用于所有需要进行分组填充模式)。 填充提示攻击成立有两个重要前提: 1.攻击者能够获得密文,以及附带在密文前面的iv(初始化向量); 2.攻击者能够出发密文的解密过程,且能够知道密文的解密结果。 运行指导 将源码clone到本地运行Padding_Oracle_Attack.py程序即可。 软件环境:Visual Studio 2019 硬件环境:PC机
react-native-aes-kit:AES-CBC-PKCS5填充
05-11
react-native-aes-kit AES-CBC-PKCS5填充安装npm i --S react-native-aes-kitreact-native link react-native-aes-kit方法加密名称类型笔记sourceText 细绳明文密钥细绳密钥,最大16个字节iv 细绳初始化向量,最大16...
CBC字节翻转攻击介绍 & 例题
Emmaaaaa's blog
07-25 923
CBC字节翻转攻击介绍 & 例题
Padding Oracle Attack(Java代码实现攻击)
hldfight
03-12 1070
之前看到过一个关于Apache Shiro的一个漏洞,它的Cookie使用AES-128-CBC模式进行加密,导致攻击者可以通过Padding Oracle攻击方式构造序列化数据进行反序列化攻击,这里可以复现该漏洞。但今天的主题不是Apache Shiro,这个以后会讲到。 今天主要讲下Padding Oracle攻击的原理,元旦放假一天,没事干,就自己用Java代码复现了下这...
网络安全】Oracle Attack填充提示攻击-渗透测试
baidu_41678158的博客
01-02 246
最近学习了一个shiro的 Critica级漏洞的验证,利用Padding Oracle Vulnerability破解rememberMe Cookie,达到反序列化漏洞的利用,攻击者无需知道rememberMe的加密密钥。明文分组和填充就是Padding Oracle Attack的根源所在,但是这些需要一个前提,那就是应用程序对异常的处理。当提交的加密后的数据中出现错误的填充信息时,不够安全的应用程序解密时报错,直接抛出“填充错误”异常信息。
有关AES的CBC模式加解密安全漏洞的实践
qq_44838906的博客
09-21 4479
(1)CBC模式的原理 这种模式是先将明文切分成若干小段,然后每一小段与初始块(IV向量)或者上一段的密文段进行异或运算后,再与密钥进行加密,第一个数据块进行加密之前需要用初始化向量IV进行异或操作。 (此图和以上原理参考于网络) (2)漏洞复现 鄙人在实际开发API服务中用到了cbc模式的加密算法,但测试过程中却发现了此算法有安全漏洞,而且比较容易复现!下面是用于复现的测试代码: cbc.go(填充模式PKCS5和PKCS7都适用) package cbc i...
AES安全漏洞nondeterministic CBC padding(非确定性 CBC 填充)安全漏洞修复解决方案
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
07-20 389
OpenSSL 中使用的 SSL 协议 0.1 使用非确定性 CBC 填充,这使得中间人攻击者更容易通过填充预言机攻击(也称为“POODLE”问题)获取明文数据。
java 实现AES加密 填充模式 AES/CBC/ZeroBytePadding 加密
05-13
以下是Java实现AES加密填充模式为AES/CBC/ZeroBytePadding的示例代码: ```java import javax.crypto.Cipher; import javax.crypto.spec.IvParameterSpec; import javax.crypto.spec.SecretKeySpec; import java.util.Base64; public class AesUtil { private static final String CIPHER_ALGORITHM = "AES/CBC/ZeroBytePadding"; public static String encrypt(String data, String key, String iv) throws Exception { byte[] byteKey = key.getBytes("UTF-8"); byte[] byteIv = iv.getBytes("UTF-8"); SecretKeySpec keySpec = new SecretKeySpec(byteKey, "AES"); IvParameterSpec ivSpec = new IvParameterSpec(byteIv); Cipher cipher = Cipher.getInstance(CIPHER_ALGORITHM); cipher.init(Cipher.ENCRYPT_MODE, keySpec, ivSpec); byte[] encrypted = cipher.doFinal(data.getBytes("UTF-8")); return Base64.getEncoder().encodeToString(encrypted); } public static String decrypt(String data, String key, String iv) throws Exception { byte[] byteKey = key.getBytes("UTF-8"); byte[] byteIv = iv.getBytes("UTF-8"); SecretKeySpec keySpec = new SecretKeySpec(byteKey, "AES"); IvParameterSpec ivSpec = new IvParameterSpec(byteIv); Cipher cipher = Cipher.getInstance(CIPHER_ALGORITHM); cipher.init(Cipher.DECRYPT_MODE, keySpec, ivSpec); byte[] decrypted = cipher.doFinal(Base64.getDecoder().decode(data)); return new String(decrypted, "UTF-8"); } } ``` 使用方法如下: ```java public static void main(String[] args) throws Exception { String data = "Hello, World!"; String key = "0123456789012345"; String iv = "0123456789012345"; String encrypted = AesUtil.encrypt(data, key, iv); String decrypted = AesUtil.decrypt(encrypted, key, iv); System.out.println("Encrypted: " + encrypted); System.out.println("Decrypted: " + decrypted); } ``` 注意事项: - key和iv的长度必须为16字节; - 使用ZeroBytePadding填充模式时,原始数据长度必须为16字节的倍数,否则会抛出异常。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值