长度扩展攻击详解

最新推荐文章于 2025-04-02 09:22:54 发布
最新推荐文章于 2025-04-02 09:22:54 发布
阅读量6.5k 收藏 28
点赞数 6
分类专栏: 技术文章 文章标签: CTF 信息安全 web 密码学 长度扩展攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/szuaurora/article/details/78125585
版权
本文深入探讨了长度扩展攻击,一种针对Merkle-Damgård散列函数的安全威胁。通过MD5算法为例,解释了攻击过程,并以CTF题目实战展示攻击步骤,帮助读者理解这种攻击手段。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这几天在看密码学的长度扩展攻击,看了不少文章,感觉都说得不够清楚,自己弄清楚之后想写一篇,做一个记录。


1. 简介

       长度扩展攻击(length extension attack),是指针对某些允许包含额外信息的加密散列函数的攻击手段。对于满足以下条件的散列函数,都可以作为攻击对象:

       ① 加密前将待加密的明文按一定规则填充到固定长度(例如512或1024比特)的倍数;

       ② 按照该固定长度,将明文分块加密,并用前一个块的加密结果,作为下一块加密的初始向量(Initial Vector)。

       满足上述要求的散列函数称为Merkle–Damgård散列函数(Merkle–Damgård hash function),下列散列函数都属于Merkle–Damgård散列函数:

  • MD4
  • MD5
  • RIPEMD-160
  • SHA-0
  • SHA-1
  • SHA-256
  • SHA-512
  • WHIRLPOOL
       对于H(salt+data)形式的加密,在以下条件满足的情况下,攻击者可以通过该方法获取H(salt+一定规则构造的data):

       ① 知道密文的加密算法且该算法满足Merkle–Damgård散列函数特征;

       ② 不知道salt,但知道salt的长度,并可控制data的值;

       ③ 可以得到一个H(salt+data)的值。


2. 攻击方法详解

         下面以MD5算法为例,讲述该攻击方式如何进行攻击。

         百度百科中详细阐述了MD5算法的实现过程https://baike.baidu.com/item/MD5/212708?fr=aladdin,我们并不需要知道MD5具体的算法是怎么回事,只需要知道它的实现是满足上面所说的Merkle–Damgård散列函数的两个条件的,具体过程是这样的:

        ① 填充

        拿到明文后,MD5现将明文转为二进制文件,然后将二进制文件的长度除以512比特(即64字节),如果余数等于448比特(即64-8字节),那么直接在后面加上八个字节的长度标识,使之成为512比特的倍数。否则则在明文后填一个1,再填充0直至其长度除以512

最低0.47元/天 解锁文章
IPv6 扩展详解
悦分享
06-17 603
新的IPv6扩展头,它作为简化的IPv6头,由工作在无选项方式的大多数网络业务流所采用,同时它提高了网络对确实需要选项的包的处理能力,这种新的IPv6扩展头包括:除了理解上述扩展头的功能之外,还有必要了解这些扩展头的使用方法、工作情况以及将来如何用于扩展IPv6。将IPv4选项合并到标准IPv4头比较复杂。IPv4头最短为20字节,最长为60字节,附加数据包含IPv4选项,必须由路由器翻译以对IP包进行处理。这种方法有两个影响:其一,路由器实现时往往对附加选项的包进行分流处理,因此导致处理效率降低:其二,由
4th-长度扩展攻击学习&Plaid CTF 2014 Crypto 250 Parlor
weixin_44222346的博客
05-27 312
在学习三周理论后开始做题了。 base64、摩斯密码、凯撒位移密码。 把之前学过的东西运用了起来,感觉真不一样。 任务学习:
浅谈哈希长度扩展攻击
m0_68483928的博客
08-18 1986
我们首先需要了解一下Message Authentication codes (MACs) ,称为**消息验证码**,一般用于服务器验证消息的真实性。服务器把密钥和消息连接起来,用摘要算法获取摘要,对于*H*(*secret* + *data*)此类构造的散列函数,在密钥**长度****和数据已知**的情况下,通常可以使用哈希长度扩展攻击。 MD4、MD5、RIPEMD-160、SHA-0、SHA-1、SHA-256、SHA-512、WHIRLPOOL等基于Merkle–Damgård结构的摘要算法均
长度扩展攻击
osier12345的博客
04-06 1662
长度扩展攻击(length extension attack),是指针对某些允许包含额外信息的加密散列函数的攻击手段。对于满足以下条件的散列函数,都可以作为攻击对象: ① 加密前将待加密的明文按一定规则填充到固定长度(例如512或1024比特)的倍数; ② 按照该固定长度,将明文分块加密,并用前一个块的加密结果,作为下一块加密的初始向量(Initial Vector)。 满足上述要求的散列函数称为...
Hash Extender 项目使用教程
最新发布
gitblog_00343的博客
04-02 371
Hash Extender 项目使用教程 hash_extender 项目地址: https://gitcode.com/gh_mirrors/ha/hash_extender ...
长度拓展攻击 (理解)
weixin_43749051的博客
02-09 1142
长度扩展攻击是当一个攻击者通过添加一个后缀来修 改一个消息,但仍然能够指出消息的Hash值,这里有两种类型 的长度扩展攻击。符号||表示链接。 类型一:如果Digest(Msg1)=Digest(Msg2),并且Len(Msg1)= Len(Msg2),消 息 Msg1 ¹ Msg2,则 Digest(Msg1 ‖ Sufx)= Digest(Msg2‖Sufx)。 类型二:假设一个原始消息...
Hash Length Extension Attacks
weixin_34185320的博客
05-20 148
catalogue 1. Hash函数的内部原理 2. 漏洞原理   1. Hash函数的内部原理 0x1: 分组、Padding 哈希函数以区块为单位操作数据。比如说,MD5, SHA1, SHA256的区块长度是512 bits 。大多数message的长度不会刚好可以被哈希函数的区块长度整除。这样一来,message就必须被填充(padding)至区块长度的整数倍 ...
哈希长度拓展攻击 (hash length extension attacks) 示例与原理
Tz_AndHac的博客
03-23 2931
哈希长度拓展攻击 hash length extension attacks示例与原理 哈希长度拓展攻击: 指针对某些允许包含额外信息的加密散列函数的攻击手段。次攻击适用于MD5和SHA-1等基于Merkle–Damgård构造的算法 介绍目录: 哈希与加密的区别 常用哈希算法的介绍 Md5加密过程 Md5拓展攻击示例及原理 哈希与加...
Hash扩展长度攻击过程详解
ryanzzzzz的博客
09-18 887
其中'7365637265744b657970737764417573657241'对应的就是'secretKeypswdAuserA',注意其中'secretKey'是服务器和用户之间的共享密钥,由服务器程序自动附加到用户的输入信息开头。'9800000000000000'共8个字节,对应的是填充前内容的bit长度,例如这里长度是152bits,对应的小端16进制8字节就是'9800000000000000'。攻击方的目标是在不知道userB的口令和hash签名的情况下,成功身份鉴别。
hash长度扩展攻击
csjjjd的博客
12-24 1623
如果已知的MD5哈希值是"437a413ace6757019e0a0c5ead62c9f9",除非通过暴力破解法——即尝试大量可能的输入值并对每个值进行散列,直到找到与已知散列值匹配的输入,否则无法得知。接下来就可以直接得出flag,因为MD5是不可逆的,除非你已经知道了flag形式的MD5,还知道了flag的很多内容,只有几个字符不知道的那种(想想也知道不可能!第一个绕过就搞定了,这里由于就只要求中间的三个字母,因为已经知道了开头结尾,所以可以使用我的脚本进行爆破。-d --data来自已知消息的数据。
length-extension:在SHA-256上尝试进行长度扩展攻击
05-24
长度延长攻击 在进行身份验证时,我注意到会话存储正在使用HMAC(基于哈希的消息身份验证代码)对会话进行身份验证。 HMAC通过使用秘密S和哈希函数H来验证消息M,以生成MAC。 消息和MAC(M,MAC)一起发送到客户端。 这样,当客户端发回会话及其MAC(M',MAC')进行身份验证时,服务器可以验证会话内容未被恶意用户修改。 服务器通过产生带有机密S和接收到的消息M'的新MAC来做到这一点。 如果新生成的MAC与接收到的MAC相匹配,则我们知道M = M',因此消息未修改。 注意,由于客户端不知道秘密S,因此即使他修改了消息,他也无法产生与服务器生成的MAC相匹配的MAC'。 吸引我注意HMAC的唯一事实是它依赖哈希函数。 我在问自己,如果我们已经有了哈希函数,为什么不能简单地用H(S || M)来生成MAC? 如果执行此操作,我们将受到哪种媒介攻击?HMAC如何涵盖该攻击
hash哈希长度扩展攻击解析(记录一下,保证不忘)
热门推荐
syh_486_007的专栏
04-23 2万+
起因 这是 ISCC 上的一道题目,抄 PCTF 的,并且给予了简化。在利用简化过的方式通过后,突然想起利用哈希长度扩展攻击来进行通关。哈希长度扩展攻击是一个很有意思的东西,利用了 md5、sha1 等加密算法的缺陷,可以在不知道原始密钥的情况下来进行计算出一个对应的 hash 值。  这里是 ISCC 中题目中的 admin.php 的算法: $auth = false; if (is
哈希长度扩展攻击(hash lengthextensionattacks)转自(freebuf婷儿)
qq_45290991的博客
09-21 2689
*本文原创作者:婷儿小跟班✧,本文属FreeBuf原创奖励计划,未经许可禁止转载前言哈希长度扩展攻击(hash lengthextensionattacks)是指针对某些允许包含额外信息的加密散列函数的攻击手段。次攻击适用于MD5和SHA-1等基于Merkle–Damgård构造的算法。MD5扩展攻击介绍我们需要了解以下几点md5加密过程:MD5加密过程中512比特(64字节)为一组,属于分组加密,而且在运算的过程中,将512比特分为32bit*16块,分块运算关键利用的是MD5的填充,对加密的字符串进行填
Hash扩展长度攻击及Hashdump的使用
ZXT02的博客
11-22 998
Hash扩展长度攻击、Hashdump的使用和相关CTF题目
HASH长度扩展攻击
Noobi的博客
09-29 1570
HASH长度扩展攻击 场景: 当用户向服务端取文件时,服务端会进行验证,给出salt值(用于验证,客户端无从得知,并且需要salt值才能够拿到文件),并进行hsh=sha1(salt+filename)的运算。现通过工具拿到hash即hsh值,并得知filename。 求salt值。 原理: 当服务器进行sha1运算前,会判断字符串(slat+filename)的长度,并将整段字符串分割成64bytes一组。之后进行hash生成。 首先,当hash函数拿到需要被hash的字符串后,先将其字节长度整除64,取
哈希长度拓展攻击
KKABqN
05-14 1919
哈希长度拓展攻击 五一假期在干嘛?相信有很多小伙伴(其实是大表哥)开始了ISCC之旅,不知道为了在这个“动态分数”机制环境下得到更多的分数,大家的肝还好不好呢? 信息安全与对抗技术竞赛(ISCC:Information Security and Countermeasures Contest),于2004年首次举办,是教育部、工业和信息化部主办的第一个国家级信息安全技术竞赛,初入茅......
Length Extension Attack
u011500307的专栏
04-19 2928
在做plaidctf时遇到了这个,记录下吧。
md5 Length Extension Attack
lianzhouxiaowu的专栏
11-22 830
描述设msg为原始消息(对于攻击者来说是未知的),padding为msg的补齐部分,append为附加的数据。 根据msg的长度可以推算出padding(如果长度未知则可以从1开始暴力枚举),根据md5(msg)可以计算出md5(msg + padding + append)。原理分析md5算法对消息进行分组,每组64个字节,不足64个字节的部分用padding补齐。padding补齐的规则是,在
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值