基于md5加密的hash长度扩展攻击介绍

最新推荐文章于 2024-04-12 19:19:49 发布
最新推荐文章于 2024-04-12 19:19:49 发布
阅读量751 收藏 2
点赞数 1
分类专栏: php 文章标签: 哈希算法 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45766062/article/details/121985713
版权

md5算法介绍

       ~~~~~~       md5将整个文件当做一个大文本信息,通过不可逆的字符串变换算法,产生一个唯一的MD5信息摘要。文件的md5类似于人的指纹,在世界上是独立无二的,如果任何人对文件做了任何改动,其md5的值也就是对应的“数字指纹”都会发生变化。
       ~~~~~~       对MD5算法简要的叙述可以为:MD5以512位分组来处理输入的信息,且每一分组又被划分为16个32位子分组,经过了一系列的处理后,算法的输出由四个32位分组组成,将这四个32位分组级联后将生成一个128位散列值。

填充

在MD5算法中,首先需要对信息进行填充,使其位长对512求余的结果等于448,并且填充必须进行,即使其位长对512求余的结果等于448。因此,信息的位长(Bits Length)将被扩展至N*512+448,N为一个非负整数,N可以是零。
填充的方法如下:

  1. 在信息的后面填充一个1和无数个0,直到满足上面的条件时才停止用0对信息的填充。
  2. 在这个结果后面附加一个以64位二进制表示的填充前信息长度(单位为Bit),如果二
    进制表示的填充前信息长度超过64位,则取低64位。
    经过这两步的处理,信息的位长=N*512+448+64=(N+1)*512,即长度恰好是512的整数倍。这样做的原因是为满足后面处理中对信息长度的要求。

初始化变量

初始的128位值为初试链接变量,这些参数用于第一轮的运算,以大端字节序来表示,他们分别为: A=0x01234567,B=0x89ABCDEF,C=0xFEDCBA98,D=0x76543210。
(每一个变量给出的数值是高字节存于内存低地址,低字节存于内存高地址,即大端字节序。在程序中变量A、B、C、D的值分别为0x67452301,0xEFCDAB89,0x98BADCFE,0x10325476)

处理分组数据

每一分组的算法流程如下:
第一分组需要将上面四个链接变量复制到另外四个变量中:A到a,B到b,C到c,D到d。从第二分组开始的变量为上一分组的运算结果,即A = a, B = b, C = c, D = d。
主循环有四轮(MD4只有三轮),每轮循环都很相似。第一轮进行16次操作。每次操作对a、b、c和d中的其中三个作一次非线性函数运算,然后将所得结果加上第四个变量,文本的一个子分组和一个常数。再将所得结果向左环移一个不定的数,并加上a、b、c或d中之一。最后用该结果取代a、b、c或d中之一。
以下是每次操作中用到的四个非线性函数(每轮一个)。
F( X ,Y ,Z ) = ( X & Y ) | ( (~X) & Z )
G( X ,Y ,Z ) = ( X & Z ) | ( Y & (~Z) )
H( X ,Y ,Z ) =X ^ Y ^ Z
I( X ,Y ,Z ) =Y ^ ( X | (~Z) )
(&是与(And),|是或(Or),~是非(Not),^是异或(Xor))
这四个函数的说明:如果X、Y和Z的对应位是独立和均匀的,那么结果的每一位也应是独立和均匀的。
F是一个逐位运算的函数。即,如果X,那么Y,否则Z。函数H是逐位奇偶操作符。

输出

最后的输出是a、b、c和d的级联。

hash长度扩展攻击

通过以上的md5介绍,我们发现md5每次处理的都是512bit并且最后的hash值也是由A,B,C,D的值来决定,并且根据hash值我们还能逆推出最后一轮的ABCD的值。

那现在我们假设一种情况

我们先加密“admin“看看结果:

21232f297a57a5a743894a0e4a801fc3

同时加密的ABCD值为:

A:0x292f2321
B:0xa7a5577a
C:0xe4a8943
D:0xc31f804a

还有对admin进行填充的后的结果:(这里一个数代表4个字节)

[1768776801, 32878, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 40, 0]

那么现在我们思考一个问题,如果我对admin连续加密两次注意不是加密adminadmin
先对admin加密,不满512位的位置用1和0填充,然后再最后再加上admin,相当于生成一个如下的填充序列:

[1768776801, 32878, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 40, 0, 1768776801, 32878, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 40, 0]

对这个填充序列的加密结果如下:

58a6ff510dbbeb3d3ce8d971a9f77ff3

这个时候我们思考一下对于这个填充序列的加密方式,应该是将这个序列分为了两段,先对这一段**[1768776801, 32878, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 40, 0]**加密,再用新生成的ABCD值对剩下的加密。

那么,我们是不是可以理解成如下形式:

//有一个字符串str,由a和b组成
//变量a无法控制,但是我知道其长度还有str的md5加密值,变量b我能够控制
//这样的情况下我依然可以找到str的hash值
$str=$a+$b;

例如根据上面的md5加密的结果,我们可以逆推出ABCD的值为:

A = 0x292f2321
B = 0xa7a5577a
C = 0xe4a8943
D = 0xc31f804a

然后我们修改md5算法的初始ABCD值为上述值:再次计算admin的值:

58a6ff510dbbeb3d3ce8d971a9f77ff3

我们发现得到的结果是一样的,产生了hash长度扩展攻击。

CTF题目

这是一道CTF的关于hash长度扩展攻击的题目:

<?php

error_reporting(0);
$flag = file_get_contents('./flag.php');

if (isset($_GET["md5"]) && isset($_GET["i"]) && isset($_GET["s"])) {
    $fl4g = substr_replace($flag, $_GET["s"], $_GET["i"], 1);
    echo $_GET["md5"] === md5($fl4g);
} else {
    highlight_file(__FILE__);
    echo md5($flag . "yusa");

分析代码发现,其实需要解决的的就是这里:

 $fl4g = substr_replace($flag, $_GET["s"], $_GET["i"], 1);
    echo $_GET["md5"] === md5($fl4g);

根据我们之前讲的原理,先构造一个512bit的填充字符然后将flag+yusa的加密结果逆推出ABCD的值,最后根据计算出的超过512bit填充序列以外的加密结果与直接加密的结果比较,爆破出flag,这里结果就给大家了,把我自己的调试脚本放给大家。

exp


import binascii

A = 0x67452301
B = 0xefcdab89
C = 0x98badcfe
D = 0x10325476
K = [  0xd76aa478 , 0xe8c7b756 , 0x242070db , 0xc1bdceee ,
       0xf57c0faf , 0x4787c62a , 0xa8304613 , 0xfd469501 ,
       0x698098d8 , 0x8b44f7af , 0xffff5bb1 , 0x895cd7be ,
       0x6b901122 , 0xfd987193 , 0xa679438e , 0x49b40821 ,
       0xf61e2562 , 0xc040b340 , 0x265e5a51 , 0xe9b6c7aa ,
       0xd62f105d , 0x02441453 , 0xd8a1e681 , 0xe7d3fbc8 ,
       0x21e1cde6 , 0xc33707d6 , 0xf4d50d87 , 0x455a14ed ,
       0xa9e3e905 , 0xfcefa3f8 , 0x676f02d9 , 0x8d2a4c8a ,
       0xfffa3942 , 0x8771f681 , 0x6d9d6122 , 0xfde5380c ,
       0xa4beea44 , 0x4bdecfa9 , 0xf6bb4b60 , 0xbebfbc70 ,
       0x289b7ec6 , 0xeaa127fa , 0xd4ef3085 , 0x04881d05 ,
       0xd9d4d039 , 0xe6db99e5 , 0x1fa27cf8 , 0xc4ac5665 ,
       0xf4292244 , 0x432aff97 , 0xab9423a7 , 0xfc93a039 ,
       0x655b59c3 , 0x8f0ccc92 , 0xffeff47d , 0x85845dd1 ,
       0x6fa87e4f , 0xfe2ce6e0 , 0xa3014314 , 0x4e0811a1 ,
       0xf7537e82 , 0xbd3af235 , 0x2ad7d2bb , 0xeb86d391 ,]
maxInt=0x100000000
S = [ 7 , 12 , 17 , 22 , 7 , 12 , 17 , 22 ,
      7 , 12 , 17 , 22 , 7 , 12 , 17 , 22 ,
      5 ,  9 , 14 , 20 , 5 ,  9 , 14 , 20 ,
      5 ,  9 , 14 , 20 , 5 ,  9 , 14 , 20 ,
      4 , 11 , 16 , 23 , 4 , 11 , 16 , 23 ,
      4 , 11 , 16 , 23 , 4 , 11 , 16 , 23 ,
      6 , 10 , 15 , 21 , 6 , 10 , 15 , 21 ,
      6 , 10 , 15 , 21 , 6 , 10 , 15 , 21 ,]

def fill(sequence):
    '将字节序列按小端序填充成512位【16整数*4字节】的倍数'
    count=len(sequence)
    #print('输入序列长:{}'.format(count))
    multi_16s=((count+8)//64+1)*16              # 共需要整数的个数,每个整数存储4个字节的数据
    # print('需要整数个数,每个存储4个字节数据:{}'.format(multi_16s))
    sequence+=[0]*(multi_16s*4-count)           # 用 0 填充
    sequence[count] |= 128                      # 用一个 1 补在后面


    print('填充序列:{}'.format(sequence))
    multi_4bytes=[]
    print(f'sequence的长度{len(sequence)}')
    for i in range(len(sequence)//4):
        sequence[i*4+3],sequence[i*4+2],sequence[i*4+1],sequence[i*4]=tuple(sequence[i*4:(i+1)*4])              # 大端序存储
        multi_4bytes.append(int("".join(["{:08b}".format(ii) for ii in sequence[i*4:(i+1)*4]]),2))              # 每四个Ascii合并成一个4字节整数
    multi_4bytes[-2],multi_4bytes[-1]=int("{:064b}".format(count*8)[32:],2),int("{:064b}".format(count*8)[:32],2)
    print(multi_4bytes)
    print(len(multi_4bytes))
    return multi_4bytes

def shift(x,n):
    '循环左移'
    return (( x << n ) | (x >> (32-n)))

def F(X,Y,Z):return (X&Y)|((~X)&Z)
def G(X,Y,Z):return (X&Z)|(Y&(~Z))
def H(X,Y,Z):return X^Y^Z
def I(X,Y,Z):return Y^(X|(~Z))
def Go(a,b,c,d,fun,m,s,K):
    thesum=(a + fun(b, c, d) + int(m) + K)%maxInt
    return (b+shift(thesum,s))%maxInt

def int32ToHex(a):
    '32位整型集合转16进制'
    md5=''
    for i in a:
        x="{:08x}".format(i)          # 整型【32位2】->8位16
        md5+=x[6:]+x[4:6]+x[2:4]+x[:2]          # 每两位切割, 切割4刀->逆序【大端变小端】
    return md5

if __name__ == "__main__":
    text=input("请输入要摘要的字符串:")

    sequence=list(bytes(text,'utf-8'))      # 将unicode转换为字节序列
    #print(sequence)

    strm = "".join('{:08b}'.format(w) for w in sequence)
    print('输入的待测序列:{}'.format(strm))

    text_int4=fill(sequence)                # 将字节序列按小端序填充成4字节整数
    str=[1768776801, 32878, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 40, 0]
    text_int4=text_int4+str
    #print(text_int4)
    for i in range(len(text_int4)//16):             # 主循环
        a,b,c,d=A,B,C,D
        M = [text_int4[i*16+ii] for ii in range(16)]        # 取出16个整数
        # print(M)
        for ii in range(64):
            if ii<16:   A,B,C,D=D,Go(A,B,C,D,F,M[ii],S[ii],K[ii]),B,C
            elif ii<32: A,B,C,D=D,Go(A,B,C,D,G,M[(ii*5+1)%16],S[ii],K[ii]),B,C
            elif ii<48: A,B,C,D=D,Go(A,B,C,D,H,M[((ii*3)+5)%16],S[ii],K[ii]),B,C
            else:       A,B,C,D=D,Go(A,B,C,D,I,M[ii*7%16],S[ii],K[ii]),B,C
        A,B,C,D=(A+a)%maxInt,(B+b)%maxInt,(C+c)%maxInt,(D+d)%maxInt                             # 此处还是大端字节
        print(f'第{i+1}轮的ABCD: \n A:{hex(A)} \n B:{hex(B)} \n C:{hex(C)} \n D:{hex(D)}')
    md5 = int32ToHex([A,B,C,D])
    # print([hex(A),hex(B),hex(C),hex(D)])
    print('链接变量A的32位二进制结果:{:032b}'.format(A))
    print("整个待测序列的MD5值:",md5)
KKKKKento
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【区块链技术】md5 扩展长度攻击
jnwlhh的博客
09-21 8329
先做实验,再写原理 实验要求如下: 构造 secret = “secrete” data = " message" Hash = md5 append = “whatever” 的攻击串 登录测试代码如下:(老师给的代码是Python2的,我电脑上安装的是python3.x,所以对于unquote的导入和print的使用进行了一点适当修改) import hashlib import sys from urllib.parse import unquote def login(password,
md5 长度_扩展长度攻击
weixin_39894473的博客
11-20 805
【课后有同学提出了很好的问题,就是文中给出的两个例子的应用场景不够合理;譬如如果已经知道了root密码,就可以直接Login;下载文件的时候怎么能保证一定能找到/etc/passwd。这里使用这个两个例子主要是用于演示扩展长度攻击的过程和原理,可以说是为了攻击攻击。如果对实际的场景感兴趣,可以阅读Flickr真实场景的长度攻击。】在密码学之哈希一文中介绍了SHA256。希望大家对这种哈希算法在流...
一天一道ctf 第27天(MD5扩展攻击
scrawman的博客
04-20 367
打开题目就能看到源码,这里整理源码的时候觉得好长好难,但其实静下心来看了以后会发现还好,有耐心地跟下去就可以了。 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencodin.
MD5哈希长度延展攻击(选做)
最新发布
xs_1234的博客
04-12 545
20211119陈俊积。
md5 长度_浅谈HASH长度拓展攻击
weixin_39811150的博客
11-20 368
前言最近在做CTF题的时候遇到这个考点,想起来自己之前在做实验吧的入门CTF题的时候遇到过这个点,当时觉得难如看天书一般,现在回头望去,仔细琢磨一番感觉也不是那么难,这里就写篇文章记录一下自己的学习的过程。正文何为HASH长度拓展攻击?简单的说,由于HASH的生成机制原因,使得我们可以人为的在原先明文数据的基础上添加新的拓展字符,使得原本的加密链变长,进而控制加密链的最后一节,使得我们得以控制最终...
MD5扩展长度攻击(实验吧 —— 让我进去)
hhh
09-04 2150
今天在实验吧遇见的一道题(题目链接),考察了关于MD5扩展长度攻击的有关原理。本文会首先对原理进行说明,后面会放上实验吧题目的wp。 MD5扩展长度攻击原理 为了更好地理解改攻击,首先了解以下MD5加密算法加密过程的示意图如下: 通俗来讲,就是MD5把每512位当作一组进行加密计算,首先有一个初始序列的值(该值是固定的),这个初始序列与信息的第一组512位进行运算,得到一个结果...
在C#中生成与PHP一样的MD5 Hash Code的方法
10-25
MD5(Message-Digest Algorithm 5)是一种广泛使用的哈希函数,它可以将任意长度的数据转换为固定长度的摘要,通常为128位,以16进制表示为32个字符的字符串。在C#和PHP中,都可以通过内置的库来实现MD5哈希的计算。...
MD5加密算法(Java语言描述)
07-21
 Console.WriteLine("进行MD5加密的字符串为:" + source + " 加密的结果是:" + hash + ".")  Console.WriteLine("验证哈希...")  If verifyMd5Hash(source, hash) Then  Console.WriteLine("哈希值是相同的。...
pbfunc外部函数扩展(1.2.2.8) 2015-10-18
10-19
pbfunc外部函数扩展是专给PowerBuilder各个版本可以使用的外部扩展库,部分功能其它开发工具也可以使用,主要功能如下: 1.以非图片方式在Datawindow中显示QR二维码 2.GBK和UTF-8编码相互转换 3.加密解密,RSA加密...
.NET使用RSA加密解密的方法
10-17
此外,代码中还包含了MD5、SHA系列(SHA1、SHA256、SHA512)以及HMAC(HmacSha1)等哈希算法扩展方法。这些哈希算法通常用于生成数据的固定长度摘要,以验证数据的完整性和原始性,但它们不是加密算法,不能用于...
c# 加密和解密相关代码
09-06
byte[] md5data = md5.ComputeHash(data); //计算data字节数组的哈希值 md5.Clear(); //清空MD5 对象 string str = ""; //定义一个变量,用来记录加密后的密码 for (int i = 0; i < md5data.Length - 1; i++) //遍历...
MD5加密+截取字符
05-09
MD5工具类以及截取字符后加密,可用于账号截取字符加密
Hash长度扩展攻击--MD5
qq_24966613的博客
11-26 658
MD5算法 MD5算法比较简单,大概加密过程来看就是类似下图!首先是数据填充:首先要知道的是,md5后面运算过程都是需要512比特为一组来进行运算,先说一下简单的数据比较少 不存在分组的时候的填充,首先512比特的末尾64比特是存放原明文消息的长度,512比特开始是明文数据紧接着明文后填一位1(2进制),其余全是0,假设我明文就一个字符串‘test’那么填充就是0x7465737480000000
MD5实现hash长度扩展攻击 By Assassin
热门推荐
Assassin
04-28 1万+
今天心血来潮,看到了扩展攻击,猛然想到了之前看的扩展攻击的原理还没有弄懂,这里补充一下,hash长度扩展攻击到底是怎么实现的。题目首先从实验吧上面见到的经典的题目,下面给出源码<?php $flag = "flag{flag is here}"; $secret = "aaaaabbbbbccccc"; // This secret is 15 characters long for securit
记录一下Hash长度扩展攻击的几个题目
0verWatch的博客
03-09 3182
最近做了几个题目,又学到新的知识点,是有关Hash长度扩展攻击 参考了一波P牛的博客还有我们学校的博客: http://www.cnblogs.com/pcat/p/5478509.html http://www.bxsteam.xyz/2017/05/23/hash%e9%95%bf%e5%ba%a6%e6%89%a9%e5%b1%95%e6%94%bb%e5%87%bb/ 正文 ...
CTF .swp文件泄露 MD5扩展攻击 [What is hash!]
baynk的博客
03-22 1898
之前在实验吧做过两个单一的题目,把那两个题目合一下,就形成了这个题。 首先界面是空白的,什么信息都没有, 通过常见的信息收集没有太多的,目录扫描也没有什么有用的东西。卡了很一会,才想到.swp文件泄露,直接访问。 下载下来后,用vim -r恢复后,查看源码。 <?php $flag = "XXXXXXXXXXXXXXXXXXXXXXX"; $secret = "XXXXXXXXXXXXX...
长度扩展攻击
卦星的专栏
04-14 1604
长度扩展攻击 转载:https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks 前几天对长度扩展攻击进行了学习,并且对其原理有了点了解,其中这篇文章相当精彩,为了以后查看方便,特记录在此, 首先就原理来讲就是,消息认证码使用的时候使用的h
MD5加密Hash长度拓展攻击【通俗易懂】
weixin_30648963的博客
01-24 720
先放一个简单点的利用了Hash长度拓展攻击的题目 if($COOKIE["getmein"] === md5($secret . urldecode($username . $password))) { echo "Congratulations! You are a registered user.\n"; die ("The flag is ". $flag)...
MD5
user2025的博客
04-15 863
1. Hash算法 Hash算法,又名散列算法,主要作用是:将任意长度的消息压缩成某一固定长度的消息摘要的函数 文件是无限的,而映射后的字符串能表示的位数是有限的,因此存在不同的key对应相同的Hash值,也就是hash碰撞的可能。 Hash算法是不可逆的,不能通过Hash值逆向推算出输入值,但算法复杂不够,容易被暴力破解的。可以通过猜的方式,一个一个的试,只有hash值比对后相同就表示猜对了。 ...
MD5加密
05-24
MD5(Message-Digest Algorithm 5)是一种常用的哈希函数,将输入数据(如字符串)压缩成固定长度的输出(通常为128位),常用于密码存储、数字签名等安全领域。以下是一个使用Python语言实现MD5加密的例子: ```python import hashlib # 要加密的字符串 string = "Hello, World!" # 创建MD5对象 hash_object = hashlib.md5() # 更新哈希对象的输入字符串 hash_object.update(string.encode('utf-8')) # 获取哈希值 md5_str = hash_object.hexdigest() print("原始字符串:", string) print("MD5加密后:", md5_str) ``` 输出结果为: ``` 原始字符串: Hello, World! MD5加密后: ed076287532e86365e841e92bfc50d8c ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值