Padding oracle attack!

最新推荐文章于 2023-05-07 14:09:58 发布
最新推荐文章于 2023-05-07 14:09:58 发布
阅读量1.5k 收藏 3
点赞数
分类专栏: Web 密码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35078631/article/details/78484980
版权
Web 同时被 2 个专栏收录
41 篇文章 1 订阅
订阅专栏
密码
1 篇文章 0 订阅
订阅专栏

终于补题补到了这个题目!这个也是非常经典的问题了,但是一直没有搞明白,之前鸡哥的讲解已经非常清楚了,忍不住还是想佩服一下4ction。下面还是大概讲一下这个Padding oracle attack到底是个啥,这里采用白帽子上的讲解方式就很好了!

1.基础知识

(1)padding

由于CBC是块密码工作模式, 所以要求明文长度必须是块长度的整数倍.
对于不满足的数据, 会进行数据填充到满足整数倍. 即 padding,格式如下

** ** ** ** ** ** ** 01
** ** ** ** ** ** 02 02
** ** ** ** ** 03 03 03
** ** ** ** 04 04 04 04
** ** ** 05 05 05 05 05
** ** 06 06 06 06 06 06
** 07 07 07 07 07 07 07
08 08 08 08 08 08 08 08

当然这里是64位为一块的情况,其他的情况自行分析

(2)CBC分组密码的链接模式

这里写图片描述

CBC模式加密流程图

这里写图片描述

CBC模式解密流程图

理解以上两张图以后还需要知道以下这张图中的IV的意思,中间值,也是我们解密过程中最后的需要抑或的地方

这里写图片描述

这个的认识非常关键!下买你讲一下攻击的原理 

    在Padding Oracle Attack攻击中,攻击者输入的参数是IV+Cipher,我们要通过对IV的”穷举”来请求服务器端对我们指定的Cipher进行解密,并对返回的结果进行判断。

    和SQL注入中的Blind Inject思想类似。我觉得Padding Oracle Attack也是利用了这个二值逻辑的推理原理,或者说这是一种”边信道攻击(Side channel attack)”

2.攻击条件

二者缺一不可

1.可以控制密文 或者 IV
2.如果解密后不满足 padding 服务端会报错.

然后这里需要搞清楚到底是怎样猜解,具体比较复杂,不多讲了。总之就是控制IV在解密的过程中寻找成功解密的IV值,并且根据填充的内容确定中间值。至于我们需要的明文只要中间值和原有的IV抑或一下就有了(本人就坑在这几个变量的关系上)

3.一个例子

题目来自于第三届上海大学生网络安全大赛中的is_aes_secure密码题目,题目中明显就是了利用此漏洞,给定一个rb,贴一下代码如下

#!/usr/bin/ruby -w
require 'openssl'
require 'base64'

def banner()
    puts ' ____________________________________________'
    puts '|                                            |'
    puts '| Welcome to our secure communication system |'
    puts '| Our system is secured by AES               |'    
    puts '| So...No key! No Message!                   |'
    puts '|____________________________________________|'
    puts ''
end

def option()
    puts '1. Get the secret message.'
    puts '2. Encrypt the message'
    puts '3. Decrypt the message.'
    puts 'Give your option:'
    STDOUT.flush
    op=gets
    return op.to_i
end

def init()
    file_key=File.new("./aeskey","r")
    $key=file_key.gets
    file_key.close()
end
def aes_encrypt(iv,data)
    cipher = OpenSSL::Cipher::AES.new(256, :CBC)
    cipher.encrypt
    cipher.key = $key
    cipher.iv  =  iv
    cipher.update(data) << cipher.final
end

def aes_decrypt(iv,data)
    cipher = OpenSSL::Cipher::AES.new(256, :CBC)
    cipher.decrypt
    cipher.key = $key
    cipher.iv  = iv
    data = cipher.update(data) << cipher.final
end

def output_secret()
    file_secret=File.new("./flag","r")
    secret=file_secret.gets
    puts secret
    file_secret.close
    secret_enc=aes_encrypt("A"*16,secret)
    secret_enc_b64=Base64.encode64(secret_enc)
    puts secret_enc_b64 
    STDOUT.flush
end

init
banner
while true do
    begin
        op=option
        if op==1
            output_secret
        elsif op==2
            puts "IV:"
            STDOUT.flush
            iv=Base64.decode64(gets)
            puts "Data:"
            STDOUT.flush
            data=Base64.decode64(gets)
            data_enc=aes_encrypt iv,data
            puts Base64.encode64(data_enc)
            puts "Encrytion Done"    
            STDOUT.flush
        elsif op==3
            puts "IV:"
            STDOUT.flush
            iv=Base64.decode64(gets)
            puts "Data:"
            STDOUT.flush
            data=Base64.decode64(gets)
            data_dec=aes_decrypt iv,data
            puts "233"
            puts data_dec
            puts "Decrpytion Done"
            STDOUT.flush
        else
            puts 'Wrong Option'
            STDOUT.flush
        end
    rescue Exception => e  
        puts e.message
        STDOUT.flush
        retry
    end
end

代码的逻辑非常清楚,然后我们需要进行一些设置将服务挂起来

安装socat,这个可以看我前面的介绍
socat安装使用指南
还需要配置几个文件

1.创建flag文件输入flag
flag{flag_is_here_but_you_cannont_see}
2.创建aeskey输入密码
因为这个我们在做题中不可得,填入任意的32字节长的字符串

然后我们挂载起来服务即可

之后就是做题了,首先我们输入1得到经过加密的flag内容,然后大概分析一下b64解密后长度为48,需要将之分为3组,然后就比较简单了,直接上程序,我写的程序可能比较乱,但是思路尽可能写清楚
ps:这里注意owntools的使用,这里在接收东西的时候用recvuntil远远比recv要稳定的多!!!之前做不出来就是因为这个!!!长见识了!!!

# coding:utf-8
from pwn import *

using_words=''  #从0-255的字符
flag = ''   #最终的flag
temp_flag=''    #获取的每一块的flag值
def make_using_words():
    global using_words
    for i in range(0,255):
        using_words+=chr(i)

def make_new(ans,sigal,pos):    #这个函数生成爆破的IV向量,我们尤其需要注意ans值,和下面的的return值理清关系
    ret=''
    for i in range(pos):    #添加前导零
        ret+="0"
    ret+=sigal
    for i in range(len(ans)):
        ret+=chr(ord(ans[i])^(16-pos))  #加入要填充nbyte,保证后n-1byte是0xn
    return ret

def decode_sigal_word(conn,iv,block,ans,pos):   #爆破一个byte
    global using_words
    for sigal in using_words:
        padding = make_new(ans,sigal,pos)  #NO.16-pos word
        conn.send('3\n')
        conn.recvuntil('IV:\n')     #注意用recvuntil比较稳定
        conn.send(base64.b64encode(padding)+"\n")   #注意用\n才会进入下一步
        conn.recvuntil('Data:\n')
        conn.send(base64.b64encode(block)+"\n")
        content =  conn.recv()
        #print content
        if "Decrpytion Done"  in content:   #我们在文章中描述的二叉值的来源,Decrpytion Done说明解密成功了
            global temp_flag 
            temp_flag+= chr(ord(sigal)^(16-pos)^ord(iv[pos]))   #抑或原来的IV,得到直接是flag的值
            return chr(ord(sigal)^(16-pos))     #注意这里不需要抑或原来的IV,后面只要num^(16-pos)^(15-pos),自己想清楚!!!

def decode_words(conn,iv,block):    #爆破一整串
    global temp_flag
    temp_flag = ''
    ans=''
    for i in range(15,-1,-1):   #从尾向头爆破
        ans+=decode_sigal_word(conn,iv,block,ans[::-1],i)
        #print ans
    #return ans



if __name__=='__main__':
    decode_total = 'zCGS96d+kbkerCze6RFPRz+0+0Lg6NzXbdhmLgXtliGJyJuoW4aAQT18u6AGkmFR' #我们按下1得到的密文
    IV = "QUFBQUFBQUFBQUFBQUFBQQ==" #"A"×16的base64加密值
    make_using_words()
    decode = base64.b64decode(IV)+base64.b64decode(decode_total)    #链接起来
    conn = remote('127.0.0.1',3333)
    print conn.recvuntil('option:\n')
    global flag
    global temp_flag
    for i in range(1,4):    #按照位置分片,前一个为IV值后一个为密文
        iv = decode[i*16-16:i*16]
        decode_block = decode[i*16:i*16+16]
        decode_words(conn,iv,decode_block)
        flag+=temp_flag[::-1]
    print flag

这里写图片描述

学习到了,开心啊,再膜4ction师傅














Assassin__is__me
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透--35--Padding Oracle攻击
武天旭的博客
09-21 2558
1、漏洞描述: Padding Oracle攻击指应用在解密客户端提交的加密数据时,泄露了解密数据的分段填充是否合法的信息。攻击者利用Padding Oracle可以在不知道加密程序所使用的密钥的情况下,解密数据或者加密任意数据。即使应用程序确认加密数据的完整性,仍会导致该程序仍有敏感数据泄露和越权漏洞的风险。 密文在被解密时,会被分成若干个数据块,每个数据块有固定的长度,常见的加密算法大多为8字...
实验 5、Padding Oracle 攻击
05-07
实验 5、Padding Oracle 攻击 实验目的: 理解 padding oracle 攻击的过程,验证攻击的可行性。 实验准备: 网站 crypto-class.appspot.com 部署了一个填充预言机的模拟示例,请搭建 可以访问上述地址的实验环境...
Padding Oracle Attack--代码实现及深入理解
Yale的博客
05-26 4852
Padding Oracle Attack 分组密码 在密码学中,分组加密(英语:Block cipher),又称分块加密或块密码,是一种对称密钥算法。它将明文分成多个等长的模块(block),使用确定的算法和 对称密钥对每组分别加密解密。 什么是PKCS#5? PKCS#5,就是一种由RSA信息安全公司设计的填充标准。 对于PKCS#5标准来说,一般缺少几位,就填充几位那个数字。 比方说,在上...
如何攻击oracle,Padding Oracle攻击
weixin_39952502的博客
04-12 334
最近在复现LCTF2017的一道题目,里面有一个padding oracle攻击,也算是CBC翻转攻击,这个攻击主要针对CBC加密模式的网上有关这个攻击的博客文章很多,但是其中有一些细节可能是个人的理解不同,或者作者省略了,我这里将我在学习这个攻击中遇到的问题,记录一下之前有写过关于CBC翻转攻击的文章,但是之前的文章是知道了密文和iv的,而且只要翻转一位就可以了(翻转多位也是可以的)现在这个pa...
padding oracle攻击
m0_47968686的博客
10-22 2639
密码侧信道分析 0x01 前言 紧接着上一篇文章exchange获取cookie ,通过SSRF与XSS的配合得到了用户的cookie。 cookie中的cadata值就是用户名跟密码经过加密后得到的一串字符串。所以本次任务我们就是通过侧信道分析解密用户名跟密码。 0x11 CBC加密模式 首先我们要了解什么是CBC模式,CBC模式又称为密码分组链接模式(Cipher Block Chaining)。首先将明文分块,分成等长的明文模块。另外还有一个初始化向量IV,IV一般是随机生成。首先将第一块明文与初始化
Padding Oracle Attack(Java代码实现攻击)
hldfight
03-12 1011
之前看到过一个关于Apache Shiro的一个漏洞,它的Cookie使用AES-128-CBC模式进行加密,导致攻击者可以通过Padding Oracle攻击方式构造序列化数据进行反序列化攻击,这里可以复现该漏洞。但今天的主题不是Apache Shiro,这个以后会讲到。 今天主要讲下Padding Oracle攻击的原理,元旦放假一天,没事干,就自己用Java代码复现了下这...
Padding Oracle Attack 分析
4ct10n
05-12 8651
Padding Oracle Attack是一个经典的攻击,在《白帽子讲web安全》有一章提到Padding Oracle Attack的攻击方式,本篇文章结合着NJCTF的Be admin 进行详细的讲解,扫除知识上的盲点。 本篇文章讲解的顺序是攻击原理、攻击条件、本地测试、结果分析与总结四个方面进行详细的讲解。
padding-oracle-attack_Padding Oracle Attack&CBC字节翻转攻击
weixin_39835991的博客
11-24 433
先来讲一讲CBC模式加密原理:加密过程:1.首先将明文(Plaintext)分组(常见的以16或8字节为一组),位数不足的使用特殊字符填充。2.生成一个随机的初始化向量(IV)和一个密钥。3.将IV和第一组明文异或(xor运算)。4.用密钥对3中xor后产生的密文加密。5.用4中产生的密文对第二组明文进行xor操作。6.用密钥对5中产生的密文加密。7.重复4-7,到最后一组明文。8.将I...
padding oracle attack相关之padding oracle attack
小小鱼的博客
10-14 833
前段时间遇到一个挺有意思的题目,用到了padding oracle attack的相关知识,于是恶补了一下padding oracle attack相关内容,本着取之于民用之于民同时也可以方便自己以后复习的心态,我决定整理一下这几天的所学所得,也算是留下点什么hhh。 前面两篇文章简单介绍了padding oracle attack需要事先了解的一些知识,以便于理解,现在终于进入正题了hhh。下
实验五:Padding Oracle 攻击
dxxmsl的博客
05-07 873
Padding Oracle 的实现方式是,当系统收到一个密文后,首先会解密该密文,然后对解密后的明文进行 padding 验证,如果验证失败,则返回 404。在猜测一个字节的值时,需要依次枚举该字节可能的取值,并将该值与前面已经猜测出来的字节的值进行异或,以得到中间结果。对于每个待解密的块,枚举该块中每一个字节的可能取值,然后构造一个新的IV和密文,并向Padding Oracle发送请求,查询是否存在解密失败的情况。对于每次发送的请求,如果返回404,则说明猜测的IV是正确的,我们继续猜测下一个字节;
oracle实现aes解密_AES CBC模式下的Padding Oracle解密
weixin_40005542的博客
12-20 581
当服务器处理CBC解密时,对于失败和成功返回不同的结果,就能进行Padding Oracle Attack。类似于布尔型SQL注入,针对每个分组的每个字节,输入正确的padding值(相当于明文),修改这个分组的iv,测试并找到返回成功的结果,与padding值XOR就能获得中间状态值(即图中的I2)。padding oracle实现代码:#coding=utf-8#python 3#paddin...
利用方法ms10-070(ASP.NET Padding Oracle Vulnerability)1
08-08
利用方法ms10-070(ASP.NET Padding Oracle Vulnerability)1
padding oracle攻击浅谈
11-26
padding oracle攻击详解。
Padding-Oracle-Attack详解[归纳].pdf
10-11
Padding-Oracle-Attack详解[归纳].pdf
Apache Shiro Padding Oracle漏洞可导致远程命令执行漏洞解决
01-09
背景:Apach Shiro官方披露其cookie持久化参数rememberMe加密算法存在漏洞,可被Padding Oracle攻击,攻击者利用Padding Oracle攻击手段可构造恶意的rememberMe值,绕过加密算法验证,执行java反序列化操作,最终可...
CTF-练习平台 Web writeup By Assassin [暂时完结]
热门推荐
Assassin
04-06 6万+
签到题 web2 文件上传测试经典的题目,用burp抓包得到如下 然后我们更改一下上传路径然后用%00截断一下即可Content-Disposition: form-data; name="file"; filename="3.png%001.php"计算题改一下浏览器中的text的长度Web3进去一直弹框,没完没了…直接禁用了F12看源码,发现有一个<!--KEY&#
i春秋 百度杯”CTF比赛(二月场) Misc&&web题解 By Assassin
Assassin
03-16 2万+
学习web,搞起来! 百度杯”CTF比赛(二月场)训练赛传送门爆破-1打开题目我们直接就看到源码,加上注释如下<?php include "flag.php"; //包含flag.php这个文件 $a = @$_REQUEST['hello']; //$a这个变量请求变量hello的值 if(!preg_match('/^\w*$/',$a )){ //正则
Wechall writeup By Assassin
Assassin
08-25 1万+
不得不说wechall的题目还是挺有趣的,外国的题目感觉和国内的题目不太一样,真是学习学习了,wp持续跟新Prime Factory #_*_ coding:utf-8 _*_ import math def is_prime(num): for i in range(2,int(math.sqrt(num))+1): if num%i==0: ret
prompt(1) to win -----XSS学习笔记
Assassin
08-13 1万+
一直不是很懂XSS,所以这里专门来学习一下下!记录做题的过程嗯。规则是当想办法嵌入prompt(1) 就算胜利了第0关什么过滤都没有,payload如下"><script>prompt(1)</script><"第1关—<> 过滤function escape(input) { // tags stripping mechanism from ExtJS library // Ext
padding Oracle attack
最新发布
05-22
Padding Oracle attack is a type of cryptographic attack that exploits the behavior of cryptographic systems using block ciphers with padding. The attack allows an attacker to decrypt the contents of ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值