md5哈希长度扩展攻击

最新推荐文章于 2024-04-12 19:19:49 发布
最新推荐文章于 2024-04-12 19:19:49 发布
阅读量1k 收藏 4
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38677814/article/details/88806478
版权

MD5的已经被证实十分不可靠,对于MD5最著名的攻击当属这个长度扩展攻击了,这个攻击方式主要从其算法的原理入手。
具体可见 这里不再照抄
https://www.cnblogs.com/p00mj/p/6288337.html
题目的大意是这样的:服务器端有一个长度在8-32之间的随机盐值,你发送一个用户名过去,他会将盐值+用户名拼接起来得到md5(盐值+用户名) 返回给你
获得flag的方法为用户名中包含指定字符串,如果事先发送一个包含指定字符串的用户名且密码为空的话,服务器会识别到然后结束对话
可以简单理解为我们需要一个这样的key
md5(盐值+用户名+指定字符串) 来获得flag
听起来不可能事实现,但是当我们深入到MD5算法中去,就会发现长度扩展攻击的可怕之处。
我们将字符串按照原理补齐,每一块64个字节,不足则填\x80+一堆\x00+字节长度*8(即位长度,按照小端存储方式)
举个例子 如果有57个字节 则将其变成总共128个字节
57 + \x80 + \x00 * (128-57-1-8) + little_endian(bit_len = len*8)
对每一块分成16组做运算 初始向量为A,B,C,D 固定的 第一块做这样一次运算后变成A’ B’ C’ D’ (如果只有一块时 将A’B’C’D’拼接为MD5)
第二块用前一块的A’B’C’D’ 继续运算…
直到最后一块 AnBnCnDn 其结果就是答案(我们要求的MD5) 可以看下面代码中的get_init_vec函数 表示了md5和4个向量的关系
解题思路:用于salt没有很大,最长也就32个字节,所以我们先发一个短的用户名给服务器 服务器会帮我们算出第一块的md5并返回给我们,于是我们得到了第二块的初向量(第一块的结果) 于是乎我们即可利用他,将制定字符串放进用户名,手动构造得到第二块,对其再跑一次MD5算法得到最后我们想要的结果 把构造好的用户名和MD5发给服务器即可收到我们的flag

#coding=utf-8
import urllib
import os,math,re,sys
from pwn import *
import base64
import urllib
import binascii
file_dir = os.path.split(os.path.abspath(sys.argv[0]))[0]

def get_init_vec(data):
	print "0x"+data[0:8].decode('hex')[::-1].encode('hex')
	print "0x"+data[8:16].decode('hex')[::-1].encode('hex')
	print "0x"+data[16:24].decode('hex')[::-1].encode('hex')
	print "0x"+data[24:32].decode('hex')[::-1].encode('hex')

def get_my_mdX(data):
	import execjs
	my_mdx = open(os.path.join(file_dir, 'mdx.js')).read()
	js = execjs.compile(my_mdx)
	return js.call('mdX',data)
def cal(x):
	x*=8
	s = str("%016x"%(x)).decode('hex')[::-1]
	return s
# leak_exp = {"username": "QUFBRFdH", "passcode": ""}
	# 得到第一块加密的结果向量 作为第二块的初向量
get_init_vec("619f93f7629561eb4b349ec7b76b4b29")
"""
0xf7939f61
0xeb619562
0xc79e344b
0x294b6bb7
"""
part = 'xxxxxx'+'\x80'+'\x00'*(64-6-8-1)+cal(70)
part_hex = part.encode('hex')
print part_hex
print get_my_mdX("61616164776780000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000003002000000000000")
for salt_length in range(8,33):
	username = 'AAADWG' +'\x80'+'\x00'*(64-salt_length-1-8-6)+cal(salt_length+6)+'aaadwg'
	passcode = "2d67ce095b15e192c613e40ea69876ea"
	username = base64.b64encode(username)
	passcode = base64.b64encode(passcode)
	exp = '{ "username":"'+username+'","passcode":"'+passcode+'"}'
	print exp
	r = remote("10.214.10.13",11013)
	context.log_level = 'debug'
	r.recvuntil("tication:")
	r.sendline(exp)
	print r.recvall()
	r.close()
god_speed丶
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【区块链技术】md5 扩展长度攻击
jnwlhh的博客
09-21 8333
先做实验,再写原理 实验要求如下: 构造 secret = “secrete” data = " message" Hash = md5 append = “whatever” 的攻击串 登录测试代码如下:(老师给的代码是Python2的,我电脑上安装的是python3.x,所以对于unquote的导入和print的使用进行了一点适当修改) import hashlib import sys from urllib.parse import unquote def login(password,
哈希拓展长度攻击
m0_63321019的博客
05-08 764
分块哈希计算进行加密时,通常是将明文信息以类似块密码的形式进行分组,对各个组块依次加密,每一块一般为512bit,也就是64bytes,每组的明文部分为56bytes,剩下的8bytes表示这块明文消息未填充前的长度填充在明文消息的最后一块一般是不满足56ytes时就对这个最后一块进行padding填充,填充至56bytes的位置,,填充方式为,在16进制下,我们需要在消息后添加一个80,然后加0,直至56bytes时变量计算。
MD5哈希长度延展攻击(选做)
最新发布
xs_1234的博客
04-12 555
20211119陈俊积。
CTF-web 第一部分 MD5
iamsongyu的博客
10-08 8509
一. 哈希解密与攻击 哈希就是把任意长度的输入(又叫做预映射pre-image)通过散列算法变换成固定长度的输出,通常用来进行文件摘要或者信息加密。虽说很难具有相同哈希的文件,但是某些特意构造的 信息还是会满足相同的哈希,而且有些时候可以使用字典的方式进行解密和使用哈希攻击。 0x00 SHA $_GET['name'] == $_GET['password'] sha1($_GET['n...
Hash扩展长度攻击及Hashdump的使用
ZXT02的博客
11-22 562
Hash扩展长度攻击、Hashdump的使用和相关CTF题目
哈希拓展攻击CTF题做法
2301_76690905的博客
12-24 1551
kali下载相关工具hash-ext-attack:hash拓展题目特征:2023楚慧杯upload_shell实验吧之让我进去:前言:具体怎么加密解密补位的原理我不懂,深入理解的部分我在文末挂了链接,以下也只是我做题的结论和通解,可能不准确(但是做题还挺准确),有错误欢迎指出:是在密码加密过程中引入的一个随机值,它与密码结合使用,目的是增加密码的复杂性和安全性。在密码加密中,常见的做法是将用户提供的密码进行哈希处理,然后存储哈希值而不是明文密码
王小云碰撞攻击md5算法的原理和具体过程是什么?
weixin_35750747的博客
01-06 1634
王小云碰撞攻击是一种用于攻击哈希函数的技术,其中哈希函数是一种将任意长度的输入映射为固定长度输出的函数。MD5是一种流行的哈希函数,可以将任意长度的输入数据映射为128位的哈希值。 王小云碰撞攻击的原理是,通过找到两个不同的输入数据,使得它们在经过哈希函数计算后得到的哈希值相同。这种攻击很难进行,因为它需要在巨大的输入空间中搜索两个具有相同哈希值的输入数据。但是,如果成功地执行了碰撞攻击,那么这两...
MD5_哈希算法_md5_
10-04
MD5(Message-Digest Algorithm 5)是一种广泛使用的哈希函数,由计算机科学家Ronald Rivest在1991年设计。它将任意长度的数据转化为一个128位(16字节)的固定长度摘要,通常以32位十六进制数字的形式表示。这个...
hmac.nim:Nim中的HMAC-SHA1和HMAC-MD5哈希
02-03
1. **密钥扩展**:如果原始密钥超过哈希函数的输入限制,会先进行一次哈希运算,将其长度减小到合适的范围。 2. **初始化向量(IV)**:使用密钥和特定的固定前缀(通常是两个运算符的异或)来创建初始化向量。 3. *...
MD5.rar_md5
09-23
MD5的主要目的是为数字信息提供一个简短且唯一的固定长度的摘要,通常是一个32位的十六进制字符串。这个摘要具有不可逆性,即从摘要无法恢复原始数据,这在信息安全领域有着重要的应用。 MD5算法的基本工作原理可以...
md5.rar_md5
09-23
MD5(Message-Digest Algorithm 5)是一种广泛使用的哈希函数,能够将任意长度的数据转化为固定长度的摘要信息,通常用于数据校验和完整性验证。 描述中的"Defines x86 CPU feature bits."提到了x86架构CPU的特性位...
密码Hash函数的碰撞攻击
10-25
这是清华大学王老师报告PPT,介绍了密码HASH函数上研究的最新成果
JS(javascript)-md5加密工具类
06-14
MD5(Message-Digest Algorithm 5)是一种广泛使用的哈希函数,它能将任意长度的输入转化为固定长度的128位(16字节)的哈希值。在JavaScript中实现MD5加密,通常会借助于第三方库,如crypto-js、spark-md5等。 1. ...
Md5扩展攻击的原理和应用
weixin_33736649的博客
06-16 586
*本文原创作者:Guilty and Innocent,本文属FreeBuf原创奖励计划,未经许可禁止转载   做CTF题目的过程中遇到了md5扩展攻击,参考了几篇文章,感觉写的都有些小缺陷,再发一篇文章,理解md5扩展攻击首先需要了解md5的工作原理。 1)md5的工作原理 具体参考这两篇文章 http://blog.csdn.net/adidala/article/details/286773...
哈希长度扩展攻击(hash lengthextensionattacks)转自(freebuf婷儿)
qq_45290991的博客
09-21 2497
*本文原创作者:婷儿小跟班✧,本文属FreeBuf原创奖励计划,未经许可禁止转载前言哈希长度扩展攻击(hash lengthextensionattacks)是指针对某些允许包含额外信息的加密散列函数的攻击手段。次攻击适用于MD5和SHA-1等基于Merkle–Damgård构造的算法。MD5扩展攻击介绍我们需要了解以下几点md5加密过程:MD5加密过程中512比特(64字节)为一组,属于分组加密,而且在运算的过程中,将512比特分为32bit*16块,分块运算关键利用的是MD5的填充,对加密的字符串进行填
为什么MD5不可逆, 彩虹表是怎么攻击
gcs的博客
08-23 3660
为什么MD5是不可逆的? 先说大白话版本的,因为MD5算法里面有很多不可逆的运算。比如移位,假设:10010001 左移两位后是:01000100,你有什么办法把它移回来吗?移出去的已经找不回了哦. MD5是一种散列函数,使用的是hash算法,不可逆的原因是在计算过程中原文的部分信息是丢失了的. 一个MD5理论上的确是可能对应无数多个原文的,因为MD5是有限多个的而原文可以是无数多个。比如主流使用的MD5将任意长度的“字节串映射为一个128bit的大整数。也就是一共有2^128种可能,大概是3.4*..
深入理解hash长度扩展攻击
Grey的博客
05-03 2165
0×01 引言为什么会想到这个呢?上周末做了“强网杯”的童鞋们应该都能知道吧,它其中有个密码学的题目就是考的这一点。0×02 sha1的hash原理说到要解释sha1的原理其实是非常复杂的,反正我这种智商的暂时还无法理解。所以,只能从面上跟大家谈一下我的理解。首先,当hash函数拿到需要被hash的字符串后,先将其字节长度整除64,取得余数。如果该余数正好等于56,那么就在该字符串最后添加上8个字...
长度扩展攻击详解
Aurora的博客
09-28 6164
这几天在看密码学的长度扩展攻击,看了不少文章,感觉都说得不够清楚,自己弄清楚之后想写一篇,做一个记录。 1. 简介        长度扩展攻击(length extension attack),是指针对某些允许包含额外信息的加密散列函数的攻击手段。对于满足以下条件的散列函数,都可以作为攻击对象:        ① 加密前将待加密的明文按一定规则填充到固定长度(例如512或1024比特
哈希(Hash)长度扩展攻击
Yale的博客
03-22 8832
先来看一下md5算法的实现框图 以实现字符串abcde的md5的值的计算为例 切换到win 在winhex中打开并输入如下内容 2.对消息进行补位,使得位长mod512得值为448,即len(message) % 512 == 448(单位为bit)。补位的方式为二进制情况下数据后面加上1,然后多个0,直到满足上述等式,事实上10000000(B)=80(hex),所以体现在winhex中,...
碰撞攻击、原像攻击、第二原像攻击长度扩展攻击,这四种攻击方式中,哪一个是理想的MD结构的杂凑函数不能有效抵抗的
07-09
在理想的MD结构的杂凑函数中,碰撞攻击是一种无法有效抵抗的攻击方式。 理想的MD结构的杂凑函数是指具有碰撞抗性、预图抗性和第二原像抗性的杂凑函数,但它并不具备对碰撞攻击的抵抗能力。 碰撞攻击是指寻找到两个不同的输入,但它们具有相同的散列值。在理想的MD结构中,由于输入空间可能非常大,而散列值空间是固定的,因此存在输入碰撞的可能性。攻击者可以通过暴力搜索、生日攻击等方法,以较低的计算复杂度找到输入碰撞。 虽然理想的MD结构的杂凑函数能够抵抗预图攻击和第二原像攻击,但对于碰撞攻击,由于输入空间的巨大性质,很难完全避免。因此,在实际应用中,为了抵御碰撞攻击,通常需要使用更强大的哈希函数,如SHA-3、SHA-256等。这些哈希函数在设计上采用了额外的安全性措施来增强对碰撞攻击的防御能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值