CBC-Padding攻击

最新推荐文章于 2023-11-24 10:18:41 发布
最新推荐文章于 2023-11-24 10:18:41 发布
阅读量1.4k 收藏 4
点赞数
文章标签: CTF Crypto
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38412357/article/details/83212668
版权

欢迎关注我的新博客:http://mmmmmmlei.cn

对于 CBC 翻转字节攻击以及 Padding Oracle Attack 这块的知识一直不怎么会运用,所以今天复现了一道在Xman 夏令营打排位赛的一道密码题,算是 Padding Oracle 的一个简化版,思想大同小异,只是这个题没有和服务器交互。

这个题也是仿 hack.lu 2016 的一道题,文章末尾有链接地址。

看下题,给了AESCipher.py,lockfile.pyflag.encrypted三个文件。
代码:

AESCipher.py

from Crypto import Random
from Crypto.Cipher import AES


class AESCipher(object):

    def __init__(self, key):
        self.bs = 32
        self.key = key

    @staticmethod
    def str_to_bytes(data):
        u_type = type(b''.decode('utf8'))
        if isinstance(data, u_type):
            return data.encode('utf8')
        return data

    def _pad(self, s):
        return s + (self.bs - len(s) % self.bs
                   ) * AESCipher.str_to_bytes(chr(self.bs - len(s) % self.bs))

    @staticmethod
    def _unpad(s):
        return s[:-ord(s[len(s) - 1:])]

    def encrypt(self, raw):
        raw = self._pad(AESCipher.str_to_bytes(raw))
        iv = Random.new().read(AES.block_size)
        cipher = AES.new(self.key, AES.MODE_CBC, iv)
        return iv + cipher.encrypt(raw)

    def decrypt(self, enc):
        iv = enc[:AES.block_size]
        cipher = AES.new(self.key, AES.MODE_CBC, iv)
        return cipher.decrypt(enc[AES.block_size:])

lockfile.py

#!/usr/bin/env python3
import sys
import hashlib
from AESCipher import *


class FileLocker(object):

    def __init__(self, keys):
        assert len(keys) == 4
        self.keys = keys
        self.ciphers = []
        for i in range(4):
            self.ciphers.append(AESCipher(keys[i]))

    def enc(self, plaintext):
        stage1 = self.ciphers[0].encrypt(plaintext)
        stage2 = self.ciphers[1].encrypt(stage1)
        stage3 = self.ciphers[2].encrypt(stage2)
        ciphertext = self.ciphers[3].encrypt(stage3)
        return ciphertext

    def dec(self, ciphertext):
        stage3 = AESCipher._unpad(self.ciphers[3].decrypt(ciphertext))
        stage2 = AESCipher._unpad(self.ciphers[2].decrypt(stage3))
        stage1 = AESCipher._unpad(self.ciphers[1].decrypt(stage2))
        plaintext = AESCipher._unpad(self.ciphers[0].decrypt(stage1))
        return plaintext


if __name__ == "__main__":
    if len(sys.argv) != 3:
        # PASSWORD SHOULD BE Visible character
        print("Usage: ./lockfile.py plainfile password")
        exit()

    filename = sys.argv[1]
    plaintext = open(filename, "rb").read()

    password = sys.argv[2].encode('utf-8')
    assert len(password) == 8
    i = len(password) / 4
    keys = [
        hashlib.sha256(password[0:i]).digest(),
        hashlib.sha256(password[i:2 * i]).digest(),
        hashlib.sha256(password[2 * i:3 * i]).digest(),
        hashlib.sha256(password[3 * i:4 * i]).digest(),
    ]
    s = FileLocker(keys)

    ciphertext = s.enc(plaintext)

    open(filename + ".encrypted", "w").write(ciphertext)

可以看到加密程序对于 key 的处理很特别,八字符的 key 被分成了四组,每组两个字符哈希后作为 AES 密钥,把明文加密了四次。采用的是下一轮加密上一轮的密文这种形式。

注意到这里的填充方式:

 def _pad(self, s):
        return s + (self.bs - len(s) % self.bs
                   ) * AESCipher.str_to_bytes(chr(self.bs - len(s) % self.bs))

采用的是类似 PKCS5 的填充方式,也就是说无论明文多少位都需要填充。

直接爆破八个字符显然不可能,数量级是len(dict)^8,我们考虑把每步分解,如果四轮加密中,每一轮都能知道当前的两个字符是否正确,那么数量级就变成了4*(len(dict)^2),还是很容易的。

既然使用了这个填充规则,每一轮就可以通过判断解密后的最后填充来判断解密密钥是否正确,这是判断填充正确与否的代码:

def checkPadding(raw):
    s=raw[-1]
    if s==chr(0) or s==chr(1):
        return False
    if raw[len(raw)-ord(s):]==ord(s)*s:
        return True
    else:
        return False

最后一个字节是chr(0)肯定不正确,最后一个字节是chr(1)倒是有可能正确,正好缺了一个字节,但只会发生在填充最原始的明文的时候,因为第二轮开始加密的都是上一轮的密文,都是 AES 分组大小的倍数,不可能差一个字节,而且爆破的过程中如果解密出来最后一个字节正好是 chr(1),就会认为填充正确,判断错误的几率还是很大的,所以代码里直接返回 False 了。

exp 如下:

# -*- coding:utf-8 -*-
import hashlib
import string
import libnum
from AESCipher import *

def checkPadding(raw):
    s=raw[-1]
    if s==chr(0) or s==chr(1):
        return False
    if raw[len(raw)-ord(s):]==ord(s)*s:
        return True
    else:
        return False
flag_enc=open("flag.encrypted").read()

dict=[]
for x in string.printable:
    for y in string.printable:
        dict.append(hashlib.sha256(x+y).digest())

cipher=flag_enc
for i in range(4):
    for key in dict:
        raw=AESCipher(key).decrypt(cipher)
        if checkPadding(raw):
            cipher=AESCipher._unpad(raw)
            break
flag=""
i=0
while i<len(cipher)-1:
    if cipher[i]=='1':
        flag+=chr(int(cipher[i:i+3]))
        i=i+3
    else:
        flag+=chr(int(cipher[i:i+2]))
        i=i+2
print flag

需要注意的是解密出来的明文是一串数字:
12010997110123651081141019710012145761019711411010110045676667458097100100105110103125
用正常 hex解码是乱码,观察发现首部 120,109,97 都像是 ascii 值,数字其实是 flag 字符串每个字符十进制 ascii 值连起来的。

运行结果: xman{Already-Learned-CBC-Padding}

参考:

  1. hack.lu 2016 原题目

  2. https://p-te.fr/2016/10/20/hack-lu-cryptolocker/

  3. https://gophers-in-the-shell.herokuapp.com/hack-lu-2016-cryptolock-crypto-200-pts/

Risker_GML
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CBC Padding Oracle 攻击
jeffreynnn的博客
08-14 3119
0x01 题目来源https://github.com/pbiernat/BlackBox/tree/master/Padz0x02 解题过程1、首先还是需要了解CBC加解密模式的基本流程:CBC加密: CBC解密: 整个做题的目标四计算出中间结果,这需要从最后一个字节开始向前逐个字节计算。整个的理论原理参考了下文中的链接,这里不再赘述。2、查看源码 输出唯一的密文,发现当输入有效的时候只会返回
一段AES/CBC/NoPadding方式加密的文件及密钥和初始向量
11-15
一段AES/CBC/NoPadding方式加密的文件及密钥和初始向量,可作为参考来测试自己AES程序正确与否
Padding Oracle 和 CBC字节翻转攻击学习
weixin_30241919的博客
07-03 374
以前一直没时间来好好研究下这两种攻击方式,虽然都是很老的点了= =! 0x01:Padding oracle CBC加密模式为分组加密,初始时有初始向量,密钥,以及明文,明文与初始向量异或以后得到中间明文,然后其再和密钥进行加密将得到密文,得到的密文将作为下一个分组的初始向量,与下一个分组的明文进行异或得到的二组的中间明文,依次类推。 解密时根据也是分组解密,首先使用密钥解密密文,得到...
CBC字节翻转攻击
Yale的博客
03-22 1599
首先了解下什么是CBCCBC全称Cipher Block Chaining模式(密文分组链接模式),“分组“是指加密和解密过程都是以分组进行的。每一个分组大小为128bits(16字节),如果明文的长度不是16字节的整数倍,需要对最后一个分组进行填充(padding),使得最后一个分组长度为16字节。“链接”是指密文分组分组像链条一样相互连接在一起。 CBC模式的加密: 加密时,第一个明文分组...
Week 4: CBC Padding Oracle Attack作业
popboy126的专栏
07-06 834
文章目录问题解题思路Padding规则过程描述猜解非填充块(非最后一块)猜解填充块(最后一块)样例程序代码结果引用 问题 week 4最后的编程作业是根据解密方解密时返回不同类型的错误的情况来还原明文, 原题如下: In this project you will experiment with a padding oracle attack against a toy web site hosted at crypto-class.appspot.com . Padding oracle vulnera
分组加密算法CBC模式的 Padding Oracle Attack 与 Hash算法的Length Extention Attack 小记...
weixin_30565199的博客
10-16 222
Padding Oracle Attack与哈希扩展长度攻击想做个精炼总结,故作此记录。   首先,这两个漏洞都与padding有关(不完美的技术细节总是容易出漏洞)。   其次,这两个漏洞都是算法或算法模式本身的缺陷,但也都需要开发人员其他的一些疏忽才能被利用,例如Padding Oracle需要解密结果错误回显,Length Extention需要可修改的关键信息放在字符...
2018-2019-2 20165334《网络对抗技术》 期末免考项目:关于CBC Padding Oracle Attack 的研究及渗透测试 最终版...
weixin_30394251的博客
06-26 691
2018-2019-2 20165334《网络对抗技术》 期末免考项目:关于CBC Padding Oracle Attack 的研究及渗透测试 研究背景   ASP.NET的Padding Oracle Attack被Pwnie评为2010年最佳服务端漏洞之一。Oracle不是数据库Oracle,通常是指服务器端,padding oracle针对的是加密算法中的CBC Mode,当加密...
3DES加解密 支持工作模式CBC pkcs5padding(填充方式)
xiao898012983的专栏
10-27 865
很多java服务器对3des的加解密支持的是CBC/pkcs5padding方式,但是iOS这边大部分使用的是kCCOptionPKCS7Padding的填充方式,所以要做个对应处理才可行。注意3des加解密的偏移量一定要和服务端保持一致,如果发现加密数据不一致请检查这个偏移量是否设置正确 需要导入的文件是: #import <CommonCrypto/CommonDigest.h>...
AES CBC模式下的Padding Oracle解密
weixin_30405421的博客
06-18 1035
AES CBC模式下的Padding Oracle解密 pre.src {background-color: #292b2e; color: #b2b2b2;} pre.src {background-color: #292b2e; color: #b2b2b2;} pre.src {background-color: #292b2e; color: #b...
JAVA集成国密SM4
qq_38254635的博客
07-19 4988
JAVA集成国密SM4加解密
PHP7 对应的 AES/CBC/PKCS5Padding 加密解密
fendouweiqian的博客
04-09 9428
前提说明 对接口的业务数据进行AES-128-CBC-PKCS5Padding加密,然后做 Base64编码将得到的最终字符串 特别注意 在废弃的 mcrypt加密库中,128实际上指的是块大小而不是密钥大小 但是在 openssl 中的 aes-128-cbc 的128 指的是密钥大小 也就是说,在使用有效的256位密钥时,它们都是aes-256,而如果要把 mcrypt 转为 openssl 的加密方式, mcrypt 的128 需要写成 openssl 的 256 java的 aes-128-c
aes加密/解密,cbc模式PKCS#5 padding填充方式
最新发布
csdndys的博客
11-24 7812
AES(高级加密标准)是一种广泛使用的对称密钥加密算法。
DES 3DES加密算法,cbc模式,pkcs5Padding字符填充方式
Luka
06-10 1809
npm install crypto-js 配置文件添加如下内容 前端请求封装处理 后端DES(加解密) 更多文献参考:DES 3DES加密算法,cbc模式,pkcs5Padding字符填充方式
填充提示攻击--破解CBC模式的AES加密
Armandhe的博客
07-12 2046
这个操作很66666666
密码学-实验二
TWELVEPEERSS的博客
01-09 2553
密码学第二次实验,主要是块密码和应用实例。
CBC字节翻转攻击介绍 & 例题
Emmaaaaa's blog
07-25 916
CBC字节翻转攻击介绍 & 例题
CBC模式解读
热门推荐
实践求真知
09-01 7万+
一 什么是CBC模式 CBC模式的全称是Cipher Block Chaining模式(密文分组链接模式),之所以叫这个名字,是因为密文分组像链条一样相互连接在一起。 在CBC模式中,首先将明文分组与前一个密文分组进行XOR运算,然后再进行加密。 CBC模式加解密过程如下: 我们来比较一下ECB模式与CBC模式的区别 ECB模式只进行了加密,而CBC模式则在加密之前进行了一次XO...
AES 加解密模式CBC + 填充模式PKCS5Padding + 128位加解密
SmallTenMr的博客
11-12 6260
对称加解密算法AES +加解密模式CBC+ 填充模式PKCS5Padding + 128位加解密 1.对称加密: 加密者和解密者用的是同一串秘钥 2.AES有四种加解密模式:CBC、EBC、CFB、OFB 。CBC模式下,加密时,是对明文进行分组加密的,每组大小一致,到 最后一组时,可能长度不够,这个时候就需要填充到一样长度,就有了下面的填充模式。 ...
AES/CBC/PKCS5Padding解密实现中的ivParameterSpec中的iv初始量哪里来的
07-11
请注意,IV的长度应与加密时使用的块大小相匹配(在AES/CBC模式中,块大小为16字节)。 在实际应用中,IV应该是随机生成的,并且对于每个加密操作都应使用不同的IV。这有助于防止统计分析和其他攻击。 重要提示:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值