Padding Oracle Attack学习笔记

最新推荐文章于 2021-06-16 18:11:49 发布
最新推荐文章于 2021-06-16 18:11:49 发布
阅读量846 收藏 3
点赞数
分类专栏: 安全 文章标签: Padding Oracle Attack DES破解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011317663/article/details/83447634
版权

Padding Oracle Attack学习笔记

前言

最近看到Padding Oracle Attack,是对加密算法的CBC模式的破解,很是好奇,找了些资料,动手实现了破解算法。 但是过程有点点曲折,记录下心得体会。

原理

以DES的CBC模式为例,分组加密算法在加解密时,都需要把消息分组,一般为8或16字节。以解密为例:
分组解密

理解破解算法的几个关键点:

关键点1:padding bytes

padding bytes,即明文不足分组长度时,进行填充的字节。以8字节分组,PKCS5模式为例,当明文为HELLO时,不满8个字节,剩余3个字节的填充字节为0x03,即:

padding byte = padding length = block size - block input length
//填充字节 等于 填充长度 等于 分组长度 - 分组输入长度

因此,填充字节只能是0x01, 0x02…0x08。 0x08表示输入长度为8的倍数字节时,后面也会有8个字节的填充数组。 也就是说,填充字节肯定存在,且范围是1~8。
(其他分组长度类似原理)

关键点2:padding error

当构造的输入错误时,会产生padding error,如java中是BadPaddingException,其他语言可自行尝试。 这点很关键,因为Padding Oracle Attack的核心就是这个,利用padding error来不断进行输入尝试。 编写破解工具时,可能看不到异常,但是一定要能根据返回信息判断是不是产生了padding error,如果不能确定,破解是进行不下去的。

关键点3:算法

与解密示意图对应,我们将分组密文进行 block ciper decryption后得到的字节数组称为Intermdiate bytes,将与Intermediate bytes进行XOR的字节数组称为IV,分组密文用block表示,block[i]表示第i个分组密文, plain block[i]表示第i个分组明文,intermediate[i]表示第i个分组密文的Intermdiate bytes。

ok,让我们捋一捋流程:

  1. block[i] decrypt得到 Intermediate bytes, 这个操作跟key(密钥)有关,每个密文分组得到的Intermediate bytes是固定的

  2. Intetermedaite bytes 异或 IV 得到明文。注意图中的解密过程,前面分组的密文会与后面一个分组的解密密文异或,最终得到后面一个分组的明文。即对应的block[i]的IV为block[i-1]。因此,解密一定从最后一个分组开始。

  3. 从最后一个分组开始,用全0数组pseudo block[i-1]代替真实的block[i-1], 通过不断的调整psdudo block[i-][7](最后一个字节),通过判断是否返回padding error来确定填充字节是否正确,即0x01,如果正确,则意味着可以得到明文:

     if intermediate[i][7] XOR pseudo block[i-1][7] == 0x01:
 	//得到intermedaite bytes
 	intermediate[i][7] = pseudo block[i-1][7] XOR 0x01
 	//从而得到分组明文
 	plain block[i][7] = intermediate[i][7] XOR block[i-1][7]

    因为一个字节的范围是从0~255,所以对于一个字节的尝试最多是256次,

  4. 如果构造数组得到正确的填充字节0x01,则意味着intermediate[i]的最后一个字节确定了,从而可以继续调整,当填充字节为0x02时:

     pseudo block[i-1][7] = intermediate[i][7] XOR 0x02

    调整pseudo block[i-1][6]的字节值,可以得到block[i][6]的明文字节;以此类推,block[i]就可以全部解密。

  5. 重复步骤3、4,即可以得到全部分组的明文。

遇到的坑

看完上面的原理,像我这种弱鸡会觉得,“靠,这么简单,我要试一试”。 事实会再次证明你too young。。。

坑1

算法的第3点,为毛要用全0数组充当伪造的数组,而且要从最后一个字节开始尝试,且得到的填充字节就一定是0x01?

抱歉,我也没有确定的答案,我找到的源码和资料都是直接这么搞的,更狠的是原作者的PPT上说的是random bytes(希望是我英语不好,读的不仔细吧)。 但是我有个推测:block[i]密文decrypt操作得到的intermediate[i],字节重复且在0~8之前的概率非常之小。

因此,当从全0数组的最后一个字节开始尝试时,遇到非padding error的情况,就极大概率对应填充字节为0x01。 因为,假设此时正确填充字节为0x03,则意味着block[i]的5、6、7这3个字节对应的intermediate都是0x03。

当然,我觉得就算出现此类极端情况,也是有补救措施的。 比如对于填充字节0x01得出一个错误的pseudo block[i][7],那很可能对于0x02,得不出正确的pseudo block[i][6],这个时候退回去,跳过当前的pseudo block[i][7]值往后尝试;以此类推,也可以推导出正确的结果。

当然这个是推测,需要翻算法和源码验证。

坑2

算法第5点,看似正确,转念一想,对于第一个密文分组,咱是不知道原始IV的啊,怎么破?

抱歉,这个真的无解。。。翻的资料都说“初始IV不重要,一般放在第一个分组,明文传输”。。。

刚开始看算法的时候,纠结了很久,因为推不出第一个分组的明文,才一直觉得自己是没有透彻理解原理,就是因为没有注意到这句话。。。

总结

看安全的材料,感觉搞安全的同学们还是挺NB的,佩服。。。不过,惯例,槽还是要吐的,上面那两个坑,尤其第一个,搜到的材料都没有解释,看来大家都比较忙。。。

附录:

  1. 《白帽子讲WEB安全》
  2. 破解算法PPT
  3. PadBauster源码地址
delta_hell
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Web需要懂的Crypto|Padding Oracle
echosec的博客
08-21 1250
CBC字节翻转和Padding Oracle这两个考点在2017-2018年的CTF题目中比较常见,没想到最近的巅峰极客2022的 babyweb 中再出现,总感觉知识点比较零散,这里尝试稍微系统的梳理下,水平有限,有误望师傅们指正。
AES加密解密(ECB模式),kotlin静态编译
m0_66144910的博客
01-30 1594
decode = (Button) findViewById(R.id.btn_decode); tvDecode = (TextView) findViewById(R.id.tv_decode); initListener(); } private void initListener() { encryption.setOnClickListener(this); decode.setOnClickListener(this); } @Override public void onClick(View
padding-oracle-attack_Padding Oracle Attack&CBC字节翻转攻击
weixin_39835991的博客
11-24 559
先来讲一讲CBC模式加密原理:加密过程:1.首先将明文(Plaintext)分组(常见的以16或8字节为一组),位数不足的使用特殊字符填充。2.生成一个随机的初始化向量(IV)和一个密钥。3.将IV和第一组明文异或(xor运算)。4.用密钥对3中xor后产生的密文加密。5.用4中产生的密文对第二组明文进行xor操作。6.用密钥对5中产生的密文加密。7.重复4-7,到最后一组明文。8.将I...
Week 4: CBC Padding Oracle Attack作业
popboy126的专栏
07-06 834
文章目录问题解题思路Padding规则过程描述猜解非填充块(非最后一块)猜解填充块(最后一块)样例程序代码结果引用 问题 week 4最后的编程作业是根据解密方解密时返回不同类型的错误的情况来还原明文, 原题如下: In this project you will experiment with a padding oracle attack against a toy web site hosted at crypto-class.appspot.com . Padding oracle vulnera
CBC Padding Oracle 攻击
jeffreynnn的博客
08-14 3119
0x01 题目来源https://github.com/pbiernat/BlackBox/tree/master/Padz0x02 解题过程1、首先还是需要了解CBC加解密模式的基本流程:CBC加密: CBC解密: 整个做题的目标四计算出中间结果,这需要从最后一个字节开始向前逐个字节计算。整个的理论原理参考了下文中的链接,这里不再赘述。2、查看源码 输出唯一的密文,发现当输入有效的时候只会返回
实验 5、Padding Oracle 攻击
05-07
实验 5、Padding Oracle 攻击 实验目的: 理解 padding oracle 攻击的过程,验证攻击的可行性。 实验准备: 网站 crypto-class.appspot.com 部署了一个填充预言机的模拟示例,请搭建 可以访问上述地址的实验环境...
CSS学习笔记Padding 属性中参数的定义与使用
10-30
在CSS(层叠样式表)中,`padding`属性是一个非常重要的概念,它用于设置元素内部的空白区域,也就是元素内容与其边框之间的距离。这个属性可以帮助我们在布局时创建间距,提升页面的视觉效果和可读性。在CSS中,`...
基于Padding Oracle填充规则的服务器攻击算法(Python实现)
08-22
代码说明 CBC模式的全称是Cipher Block Chaining模式,即密文分组链接模式,之所以叫这个名字,是因为...将源码clone到本地运行Padding_Oracle_Attack.py程序即可。 软件环境:Visual Studio 2019 硬件环境:PC机
Padding-Oracle-Attack详解[归纳].pdf
10-11
Padding Oracle Attack 详解 Padding Oracle Attack 是一种加密攻击方式,主要针对使用CBC模式的分组密码加密算法。这种攻击方式利用应用程序对异常的处理,来猜解出密文对应的明文。 背景知识 在加密过程中,...
CSS 学习笔记
01-19
id和class到底要用哪一个? 首先要明白id和class的各自的优缺点。这样才能根据他们的各自的特点进行使用。 id的优点(class的缺点):id写在css用#选择器,class写在css中用.选择器。#选择器的优先级高于....
Padding Oracle Attack--代码实现及深入理解
Yale的博客
05-26 5086
Padding Oracle Attack 分组密码 在密码学中,分组加密(英语:Block cipher),又称分块加密或块密码,是一种对称密钥算法。它将明文分成多个等长的模块(block),使用确定的算法和 对称密钥对每组分别加密解密。 什么是PKCS#5? PKCS#5,就是一种由RSA信息安全公司设计的填充标准。 对于PKCS#5标准来说,一般缺少几位,就填充几位那个数字。 比方说,在上...
padding oracle attack相关之CBC模式
小小鱼的博客
10-12 1693
前段时间遇到一个挺有意思是的题目,用到了padding oracle attack的相关知识,于是恶补了一下padding oracle attack相关内容,本着取之于民用之于民同时也可以方便自己以后复习的心态,我决定整理一下这几天的所学所得,也算是留下点什么hhh。 先码一下原题吧: In thisassignment, you must decrypt a challenge ciphe
Padding Oracle攻击(POODLE)技术分析
翟海飞
08-04 9427
SSLv3降级加密协议Padding Oracle攻击(POODLE)技术分析漏洞概述:   SSL 3.0的历史非常久远,已经有将近15年了,现今几乎所有的浏览器都支持该协议。今天该协议爆出了一个漏洞,该漏洞由谷歌公司率先发现,下面是此漏洞的大致描述。    攻击者可利用该漏洞获取安全连接当中某些是SSLv3加密后的明文内容。因为兼容性问题,当浏览器进行HTTPS连接失败的时候,将会尝试使用
oracle实现aes解密_AES CBC模式下的Padding Oracle解密
weixin_40005542的博客
12-20 643
当服务器处理CBC解密时,对于失败和成功返回不同的结果,就能进行Padding Oracle Attack。类似于布尔型SQL注入,针对每个分组的每个字节,输入正确的padding值(相当于明文),修改这个分组的iv,测试并找到返回成功的结果,与padding值XOR就能获得中间状态值(即图中的I2)。padding oracle实现代码:#coding=utf-8#python 3#paddin...
2018-2019-2 20165334《网络对抗技术》 期末免考项目:关于CBC Padding Oracle Attack 的研究及渗透测试 最终版...
weixin_30394251的博客
06-26 691
2018-2019-2 20165334《网络对抗技术》 期末免考项目:关于CBC Padding Oracle Attack 的研究及渗透测试 研究背景   ASP.NET的Padding Oracle Attack被Pwnie评为2010年最佳服务端漏洞之一。Oracle不是数据库Oracle,通常是指服务器端,padding oracle针对的是加密算法中的CBC Mode,当加密...
Padding oracle attack!
Assassin
11-09 1665
终于补题补到了这个题目!这个也是非常经典的问题了,但是一直没有搞明白,之前鸡哥的讲解已经非常清楚了,忍不住还是想佩服一下4ction。下面还是大概讲一下这个Padding oracle attack到底是个啥,这里采用白帽子上的讲解方式就很好了!1.基础知识(1)padding由于CBC是块密码工作模式, 所以要求明文长度必须是块长度的整数倍. 对于不满足的数据, 会进行数据填充到满足整数倍.
一文搞明白 Padding Oracle Attack
闵行小鱼塘
06-16 4762
讲讲Padding Oracle Attack,之前在ctf中遇到过一次,但直接拿了网上找的exp就没仔细学,现在回头看看学学
Padding Oracle Attack 分析
4ct10n
05-12 8692
Padding Oracle Attack是一个经典的攻击,在《白帽子讲web安全》有一章提到Padding Oracle Attack的攻击方式,本篇文章结合着NJCTF的Be admin 进行详细的讲解,扫除知识上的盲点。 本篇文章讲解的顺序是攻击原理、攻击条件、本地测试、结果分析与总结四个方面进行详细的讲解。
Padding Oracle Attack实例分析
buptisc_txy的专栏
11-24 1603
转自:http://blog.zhaojie.me/2010/10/padding-oracle-attack-in-detail.html,谢谢老赵! cookie在保证一段时间的有效登录时,估计会涉及padding oracle的漏洞。 老赵没有提到怎么防范这种类型的漏洞,我看1 不用cbc的加密方式。2 随机加密密钥。3  格式错误,比如padding错误,并不明显提示出来。
padding Oracle attack
最新发布
05-22
Padding Oracle attack is a type of cryptographic attack that exploits the behavior of cryptographic systems using block ciphers with padding. The attack allows an attacker to decrypt the contents of encrypted data by sending specially crafted ciphertexts to a server that uses the encryption algorithm. The attack works by exploiting the server's ability to detect whether a ciphertext is properly padded or not. Padding is commonly used in block ciphers to ensure that the input block is a fixed length. If the padding is incorrect, the server will reject the ciphertext and return an error message. However, by analyzing the error messages, an attacker can infer information about the plaintext and eventually decrypt it. To carry out the attack, the attacker sends many modified ciphertexts to the server, each with a different block of the ciphertext modified. By analyzing the responses from the server, the attacker can determine whether the modified block of ciphertext was properly padded or not. This information can be used to gradually determine the value of each byte of the plaintext. Padding Oracle attack is a serious threat to many cryptographic systems that use block ciphers with padding. To prevent this attack, it is important to use authenticated encryption modes, such as AES-GCM or ChaCha20-Poly1305, that provide both encryption and authentication of the ciphertext. Additionally, servers should be configured to return a generic error message, rather than specific error messages that reveal information about the encryption process.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值