padding-oracle-attack_Padding Oracle Attack&CBC字节翻转攻击

最新推荐文章于 2023-05-07 14:09:58 发布
最新推荐文章于 2023-05-07 14:09:58 发布
阅读量565 收藏
点赞数 1
文章标签: padding-oracle-attack

先来讲一讲CBC模式加密原理:

加密过程:

b73f0e94545ff2199c6c459697672965.png

1.首先将明文(Plaintext)分组(常见的以16或8字节为一组),位数不足的使用特殊字符填充。

2.生成一个随机的初始化向量(IV)和一个密钥。

3.将IV和第一组明文异或(xor运算)。

4.用密钥对3中xor后产生的密文加密。

5.用4中产生的密文对第二组明文进行xor操作。

6.用密钥对5中产生的密文加密。

7.重复4-7,到最后一组明文。

8.将IV和加密后的密文拼接在一起,得到最终的密文

解密过程:

31f010ee3d8660aa51c2b3f1dc5c574b.png

1.先从密文中取出IV,然后对剩下的密文分组(16或8字节为一组)

2.使用秘钥解密第一组密文,将解密结果与IV做异或运算,得到明文1

3.然后使用秘钥解第二组密文,将解密的结果与上一组密文进行异或运算,得出明文2

4.重复2-3,直至所有密文解密完毕

以上就是CBC模式的加密解密过程,接下来讲两种手段:

1.Padding Oracle Attack

直译为 “填充Oracle攻击” ,这里主要关注一下解密过程:

f452da4da425617597d25ea422e2b831.png

密文cipher首先进行一系列处理,如图中的Block Cipher Decryption

我们将处理后的值称为 middle 中间值

然后 middle 与我们输入的iv进行异或操作

得到的即为明文

但这里有一个规则叫做Padding填充:

26ec36665d9c2aa26baf52db866a59a5.png

因为加密是按照16位一组分组进行的

而如果不足16位,就需要进行填充

有几个空,就要填充几个“几”

比如明文为admin,那么需要填充的就是

admin\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b (11个\x0b)

如果我们输入一个错误的IV(初始向量),依旧是可以解密的,但是 middle 和我们输入的IV经过异或后得到的填充值可能出现错误

比如本来应该是 admin\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b

而我们错误的得到 admin\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x3b\x2c

这样解密程序往往会抛出异常(Padding Error)

当这个CBC解密模式应用在web程序里的时候,往往是302或是500报错

而正常解密的时候是200。

所以这时,我们可以根据服务器的反应来判断我们输入的IV

一个例子

我们假设middle中间值为:

0x39 0x73 0x23 0x22 0x07 0x6a 0x26 0x3d

正确的解密IV应该为:

0x6d 0x36 0x70 0x76 0x03 0x6e 0x22 0x39

解密后正确的明文为:

T E S T 0x04 0x04 0x04 0x04

但是关键点在于,我们可以知道iv的值,却不能得到中间值和解密后明文的值

而我们的目标是只根据我们输入的iv值和服务器的状态去判断出解密后明文的值

这里的攻击即叫做 Padding Oracle Attack 攻击

是一种根据页面回显来爆破密文的攻击

如果我们构造一个IV为:

0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00

那么 middle 的值和这个iv异或将会得到原封不动的 middle 的值

0x39 0x73 0x23 0x22 0x07 0x6a 0x26 0x3d

现在这个解密结果是不对的,web程序抛出错误。

eca5508d9b455822c840422afe351ed8.png

正确的 padding 值只可能是:

1个字节的padding为0x01

2个字节的padding为0x02,0x02

3个字节的padding为0x03,0x03,0x03

4个字节的padding为0x04,0x04,0x04,0x04

……

因此我们希望慢慢调整IV的值,并且希望解密后最后一个值为正确的 padding 比如一个0x01,我们于是遍历最后一位IV:

5d01041e54005d8369fb0e3be89e5f3d.png

那么最后一位中间密文就是: 0x01^0x3C=0x3D (这个一定成立,看图),原来的明文就是 0x3D^0x0F=0x32(中间密文^原来的iv)

知道了最后一位的中间密文,就可以遍历倒数第二位iv了,这个时候应该为 0x02 而非 0x01 了。看图就懂:

58790a6066dd4e58a3ab27edc079f39b.png

以此类推,我们可以就能推算所有中间密文,再用 中间密文^原来的iv 就能算出明文了

CBC字节翻转攻击

有了上面的CBC加密解密过程的基础,这个手段其实很容易理解;

由解密算法可知:

A=B^C

由 ^ 运算的性质我们可以知道:

A=B^C、B=A^C、C=A^B

这是最关键的一点,我们可以推导出三者做异或运算的结果是0

C=A^B

C^C=A^B^C=0

也就是说,我们修改了B的值,就一定会影响到A

B^X^C=A^X

换句话说,我们只要给B异或了X,A的值也会改变为他之前的值异或X的结果

 道CTF的例子

NPUCTF2020_web�

源码:

======分割线======

我摊牌了,就是懒得写前端

error_reporting(0);

include('config.php');   # $key,********$file1*********

define("METHOD", "aes-128-cbc");  //定义加密方式

define("SECRET_KEY", $key);    //定义密钥

define("IV","6666666666666666");    //定义初始向量 16个6

define("BR",'
');

if(!isset($_GET['source']))header('location:./index.php?source=1');

#var_dump($GLOBALS);   //听说你想看这个?

function aes_encrypt($iv,$data)

{

    echo "--------encrypt---------".BR;

    echo 'IV:'.$iv.BR;

    return base64_encode(openssl_encrypt($data, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $iv)).BR;

}

function aes_decrypt($iv,$data)

{

    return openssl_decrypt(base64_decode($data),METHOD,SECRET_KEY,OPENSSL_RAW_DATA,$iv) or die('False');  #不返回密文,解密成功返回1,解密失败返回False

}

if($_GET['method']=='encrypt')

{

    $iv = IV;

    $data = $file1;    

    echo aes_encrypt($iv,$data);

} else if($_GET['method']=="decrypt")

{

    $iv = @$_POST['iv'];

    $data = @$_POST['data'];

    echo aes_decrypt($iv,$data);

}

echo "我摊牌了,就是懒得写前端".BR;

if($_GET['source']==1)highlight_file(__FILE__);

?>

======分割线======

exp:

======分割线======

# coding:utf-8

import requests

import base64

# b'\x97.\xda\xb8\xa5P\t\x95\xae\x9b\xf5\xbf\xe2\x8b.

CYPHERTEXT = base64.b64decode("ly7auKVQCZWum/W/4osuPA==")

# initialization vector

IV = "6666666666666666"

# PKCS7 16个字节为1组

N = 16

# intermediaryValue ^ IV = plainText

inermediaryValue = ""

plainText = ""

# 爆破时不断需要更改的iv

iv = ""

URL = "http://webdog.popscat.top/index.php?method=decrypt&source=1"

def xor(a, b):

    """

    用于输出两个字符串对位异或的结果

    """

    return "".join([chr(ord(a[i]) ^ ord(b[i])) for i in range(len(a))])

for step in range(1, N + 1):

    padding = chr(step) * (step - 1)

    print(step,end=",")

    for i in range(0, 256):

        print(i)

        """

        iv由三部分组成:

            待爆破位置 chr(0)*(N-step)

            正在爆破位置 chr(i)

            使 iv[N-step+1:] ^ inermediaryValue = padding 的 xor(padding,inermediaryValue)

        """

        iv = chr(0)*(N-step)+chr(i)+xor(padding,inermediaryValue)

        data = {

            "data": "ly7auKVQCZWum/W/4osuPA==",

            "iv": iv

        }

        r = requests.post(URL,data = data)

        if r.text !="False":

            inermediaryValue = xor(chr(i),chr(step)) + inermediaryValue

            print(inermediaryValue)

            break

plainText = xor(inermediaryValue,IV)

print(plainText)

======分割线======

得到 FlagIsHere.php,访问之:

F7LMTk/3nKSVUoSQuOS/dA==

#error_reporting(0);

include('config.php');    //**************$file2********last step!!

define("METHOD", "aes-128-cbc");

define("SECRET_KEY", "6666666");

session_start();

function get_iv(){    //生成随机初始向量IV

    $random_iv='';

    for($i=0;$i<16;$i++){

        $random_iv.=chr(rand(1,255));

    }

    return $random_iv;

}

$lalala = 'piapiapiapia';

if(!isset($_SESSION['Identity'])){

    $_SESSION['iv'] = get_iv();

    $_SESSION['Identity'] = base64_encode(openssl_encrypt($lalala, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $_SESSION['iv']));

}

echo base64_encode($_SESSION['iv'])."
";

if(isset($_POST['iv'])){

    $tmp_id = openssl_decrypt(base64_decode($_SESSION['Identity']), METHOD, SECRET_KEY, OPENSSL_RAW_DATA, base64_decode($_POST['iv']));

    echo $tmp_id."
";

    if($tmp_id ==='weber')die($file2);

}

highlight_file(__FILE__);

?>

整理一下已知信息:

======分割线======

iv=

F7LMTk/3nKSVUoSQuOS/dA==

\x17 \xb2 \xcc \x4e \x4f \xf7 \x9c \xa4 \x95 \x52 \x84 \x90 \xb8 \xe4 \xbf \x74

加密后:

$Identity='MLvuYeH07rhiAa5NJ1p75A=='

$Identity='\x30 \xbb \xee \x61 \xe1 \xf4 \xee \xb8 \x62 \x01 \xae \x4d \x27 \x5a \x7b \xe4 '

======分割线======

目的就是传入新的iv对identity进行解密,如果解密结果为'weber'那么就爽歪歪,这里考察的就是CBC字节翻转攻击

和Padding Oracle Attack不一样,这里不需要推测中间密文,根据我上面说的

B^X^C=A^X

本来是 piapiapiapia\x04\x04\x04\x04 现在我们需要改为 weber\x0B\x0B\x0B\x0B\x0B\x0B\x0B\x0B\x0B\x0B\x0B ,就拿第一位来说:

我们想要把 p 改为 w ,那么我就要找出 X 的值, 'p'^X='w' 很容易算出 X='p'^'w' 那么我们只需要在将B异或一个 ('p'^'w') ,就可以达到目的。

exp:

======分割线======

import base64

def bxor(b1, b2): # use xor for bytes

    parts = []

    for b1, b2 in zip(b1, b2):

        parts.append(bytes([b1 ^ b2]))

    return b''.join(parts)

iv = base64.b64decode("h34HL5RbMPw8oTaQ+P58nw==")

text = b"piapiapiapia\x04\x04\x04\x04"

result = b"weber\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b"

middle = bxor(iv,text)

iv = bxor(middle,result)

print(base64.b64encode(iv))

======分割线======

跑出来POST一个iv过去得到一个网址:https://c-t.work/s/034d3b3bf3fb48||verification code:2q2hwm

有个附件,下载来是一个xxx.class文件考的Java反编译,用工具 jd-gui-1.4.0 一下就跑出来。

得到数组,就是flag的ASCII码

q = [102, 108, 97, 103, 123, 119, 101, 54, 95, 52, 111, 103,

     95, 49, 115, 95, 101, 52, 115, 121, 103, 48, 105, 110, 103, 125]

for i in q:

    print(chr(i), end='')

flag{we6_4og_1s_e4syg0ing}

以上就是一次对于Padding Oracle Attack和CBC字节翻转攻击的一次初步学习,欢迎大佬指正,也欢迎加入暗盾安全交流群:344438558

weixin_39835991
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web渗透--35--Padding Oracle攻击
武天旭的博客
09-21 2732
1、漏洞描述: Padding Oracle攻击指应用在解密客户端提交的加密数据时,泄露了解密数据的分段填充是否合法的信息。攻击者利用Padding Oracle可以在不知道加密程序所使用的密钥的情况下,解密数据或者加密任意数据。即使应用程序确认加密数据的完整性,仍会导致该程序仍有敏感数据泄露和越权漏洞的风险。 密文在被解密时,会被分成若干个数据块,每个数据块有固定的长度,常见的加密算法大多为8字...
oracle攻击的几种方式,padding oracle攻击思路总结
weixin_39842955的博客
04-07 2107
之前一直没有机会好好总结下padding oracle, 在LCTF 上水了两天,Simple Blog 这题就看了一天,最后还是没有弄出来, 参考了各位大师傅的wp, 赛后好好总结下这个漏洞, 还是很有意思的Padding Orlace攻击这是CBC模式下存在的攻击,与具体的加密算法无关(当然,必须是分组加密)。不过,实际上Padding Oracle不能算CBC模式的问题,它的根源在于应用程序...
Padding Oracle Attack--代码实现及深入理解
Yale的博客
05-26 5106
Padding Oracle Attack 分组密码 在密码学中,分组加密(英语:Block cipher),又称分块加密或块密码,是一种对称密钥算法。它将明文分成多个等长的模块(block),使用确定的算法和 对称密钥对每组分别加密解密。 什么是PKCS#5? PKCS#5,就是一种由RSA信息安全公司设计的填充标准。 对于PKCS#5标准来说,一般缺少几位,就填充几位那个数字。 比方说,在上...
实验五:Padding Oracle 攻击
dxxmsl的博客
05-07 1231
Padding Oracle 的实现方式是,当系统收到一个密文后,首先会解密该密文,然后对解密后的明文进行 padding 验证,如果验证失败,则返回 404。在猜测一个字节的值时,需要依次枚举该字节可能的取值,并将该值与前面已经猜测出来的字节的值进行异或,以得到中间结果。对于每个待解密的块,枚举该块中每一个字节的可能取值,然后构造一个新的IV和密文,并向Padding Oracle发送请求,查询是否存在解密失败的情况。对于每次发送的请求,如果返回404,则说明猜测的IV是正确的,我们继续猜测下一个字节
Padding Oracle Attack实例分析
buptisc_txy的专栏
11-24 1608
转自:http://blog.zhaojie.me/2010/10/padding-oracle-attack-in-detail.html,谢谢老赵! cookie在保证一段时间的有效登录时,估计会涉及padding oracle的漏洞。 老赵没有提到怎么防范这种类型的漏洞,我看1 不用cbc的加密方式。2 随机加密密钥。3  格式错误,比如padding错误,并不明显提示出来。
Padding Oracle Attack填充提示攻击-渗透测试
qq_44005305的博客
01-12 438
最近学习了一个shiro的 Critica级漏洞的验证,利用Padding Oracle Vulnerability破解rememberMe Cookie,达到反序列化漏洞的利用,攻击者无需知道rememberMe的加密密钥。明文分组和填充就是Padding Oracle Attack的根源所在,但是这些需要一个前提,那就是应用程序对异常的处理。当提交的加密后的数据中出现错误的填充信息时,不够安全的应用程序解密时报错,直接抛出“填充错误”异常信息。
一文搞明白 Padding Oracle Attack
闵行小鱼塘
06-16 4823
讲讲Padding Oracle Attack,之前在ctf中遇到过一次,但直接拿了网上找的exp就没仔细学,现在回头看看学学
CBC字节翻转攻击与padding oracle攻击
最新发布
06-06
CBC字节翻转攻击与padding oracle攻击 CBC 字节翻转攻击是指在使用 CBC 加密模式时,如果攻击者可以控制明文最后的一部分,并且可以观察到密文的变化,那么攻击者可以通过修改明文的最后一部分来观察密文的变化,...
Padding-Oracle-Attack详解[归纳].pdf
10-11
Padding Oracle Attack 详解 Padding Oracle Attack 是一种加密攻击方式,主要针对使用CBC模式的分组密码...Padding Oracle Attack是一种危险的攻击方式,需要应用程序和开发者采取相应的防御措施来保护数据的安全。
padding-oracle-attacker::unlocked:CLI工具和库可轻松执行填充oracle攻击,并支持并发网络请求和优雅的UI
05-02
padding-oracle-attacker CLI工具和库可轻松执行,并支持并发网络请求和精美的UI。 安装 确保已安装 ,然后运行 $ npm install --global padding-oracle-attacker 或者 $ yarn global add padding-oracle-attacker...
实验 5、Padding Oracle 攻击
05-07
实验 5、Padding Oracle 攻击 实验目的: 理解 padding oracle 攻击的过程,验证攻击的可行性。 实验准备: 网站 crypto-class.appspot.com 部署了一个填充预言机的模拟示例,请搭建 可以访问上述地址的实验环境...
基于Padding Oracle填充规则的服务器攻击算法(Python实现)
08-22
代码说明 CBC模式的全称是Cipher Block Chaining模式,即密文分组链接模式,之所以叫这个名字,是因为...将源码clone到本地运行Padding_Oracle_Attack.py程序即可。 软件环境:Visual Studio 2019 硬件环境:PC机
shiro 721 反序列化漏洞复现与原理以及Padding Oracle Attack攻击加解密原理
热门推荐
Shanfenglan's blog
11-14 1万+
文章目录利用条件shiro550shiro721环境搭建漏洞复现 利用条件 shiro550 知道key且目标服务器含有可利用的攻击链 影响版本:1.2.4以下 shiro721 知道已经登陆用户的合法cookie,利用padding orcale 加密生成恶意rememberme的值进行利用 影响版本: 1.2.5, 1.2.6, 1.3.0, 1.3.1, 1.3.2, 1.4.0-RC2, 1.4.0, 1.4.1 环境搭建 git clone https://github.com/inspiri
Web需要懂的Crypto|Padding Oracle
echosec的博客
08-21 1256
CBC字节翻转和Padding Oracle这两个考点在2017-2018年的CTF题目中比较常见,没想到最近的巅峰极客2022的 babyweb 中再出现,总感觉知识点比较零散,这里尝试稍微系统的梳理下,水平有限,有误望师傅们指正。
Padding oracle attack!
Assassin
11-09 1666
终于补题补到了这个题目!这个也是非常经典的问题了,但是一直没有搞明白,之前鸡哥的讲解已经非常清楚了,忍不住还是想佩服一下4ction。下面还是大概讲一下这个Padding oracle attack到底是个啥,这里采用白帽子上的讲解方式就很好了!1.基础知识(1)padding由于CBC是块密码工作模式, 所以要求明文长度必须是块长度的整数倍. 对于不满足的数据, 会进行数据填充到满足整数倍.
如何攻击oracle,Padding Oracle攻击
weixin_39952502的博客
04-12 345
最近在复现LCTF2017的一道题目,里面有一个padding oracle攻击,也算是CBC翻转攻击,这个攻击主要针对CBC加密模式的网上有关这个攻击的博客文章很多,但是其中有一些细节可能是个人的理解不同,或者作者省略了,我这里将我在学习这个攻击中遇到的问题,记录一下之前有写过关于CBC翻转攻击的文章,但是之前的文章是知道了密文和iv的,而且只要翻转一位就可以了(翻转多位也是可以的)现在这个pa...
Padding Oracle Attack 笔记
pangpro的博客
12-23 334
转自:http://www.secpulse.com/archives/3537.html 0x01 Padding Oracle Attack 经常在 WVS 扫描的时候出现,但是作为渣渣的 rr 不会去利用这个漏洞。然而实际上,这个漏洞非常普遍,按照分类来说任意文件读取,但是利用成本略高,导致并不像网上常见的任意文件下载、本地文件包含或者是本地文件读取之类的漏洞一样流行。
Padding OracleCBC字节翻转攻击学习
weixin_30241919的博客
07-03 374
以前一直没时间来好好研究下这两种攻击方式,虽然都是很老的点了= =! 0x01:Padding oracle CBC加密模式为分组加密,初始时有初始向量,密钥,以及明文,明文与初始向量异或以后得到中间明文,然后其再和密钥进行加密将得到密文,得到的密文将作为下一个分组的初始向量,与下一个分组的明文进行异或得到的二组的中间明文,依次类推。 解密时根据也是分组解密,首先使用密钥解密密文,得到...
Padding Oracle Attack学习笔记
凉水的博客
10-27 847
Padding Oracle Attack学习笔记 前言 最近看到Padding Oracle Attack,是对加密算法的CBC模式的破解,很是好奇,找了些资料,动手实现了破解算法。 但是过程有点点曲折,记录下心得体会。 原理 以DES的CBC模式为例,分组加密算法在加解密时,都需要把消息分组,一般为8或16字节。以解密为例: 理解破解算法的几个关键点: 关键点1:padding bytes ...
分组密码为了避免Padding Oracle attack,可以采用ISO-Padding
05-05
对的,ISO-Padding是一种常用的分组密码填充方式,可以避免Padding Oracle攻击。在ISO-Padding中,每个填充字节都设置为...这种方式可以有效地防止Padding Oracle攻击,因为攻击者不能通过修改填充字节来影响解密结果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值