哈希长度扩展攻击

最新推荐文章于 2023-12-24 23:54:14 发布
最新推荐文章于 2023-12-24 23:54:14 发布
阅读量509 收藏
点赞数
文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42444939/article/details/100716417
版权

Hash Length Extension Attack (MD5)

  • MD5加密原理

    • MD5算法会对明文进行分组,每组长度64bytes,不足64bytes的组进行padding补齐
      padding规则:将明文先用\x80和若干个\x00补齐至长度与56模64同余,最后8个bytes再用原明文长度信息补齐(注意长度信息单位为bit)

      栗子:md5(admin)

      • ‘admin’ equals '\x61\x64\x6d\x69\x6e’
      • [padding_step1] : adding ‘\x80’+’\x00’*50
      • [padding_step2] : adding ‘\x28’+’\x00’*7
      • [after_padding] : '\x61\x64\x6d\x69\x6e\x80\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x28\x00\x00\x00\x00\x00\x00\x00’
      • 前面有一个大小端的问题要注意,但不在这篇blog里细说

    • MD5算法有固定的初始值A,B,C,D,每组64bytes长的字符串均分为16段,组成M数组,再与A,B,C,D进行一系列数学运算,能得到新的A,B,C,D,再以新的A,B,C,D和下一个M数组进行运算,最后得到的A,B,C,D(记得进行小端转换)拼接而成就是16bytes长的md5串

知道了加密原理,那就来看看长度扩展攻击吧(攻什么???

  • 前提条件:已知secret的长度和对应的md5
  • 攻击目的:在未知secret的情况下,获取secret+poc的md5值
  • 原理浅析:通过手动paadding,即利用poc的前半部分先将secret补成md5(secret)时padding补齐的亚子(长度为64bytes的整数倍),然后再将poc的后半部分构造为自己需要的字符串即可。这样的话已知的md5(小端转换后并四等分)就等价于我们poc后半段要进行md5的初始A,B,C,D,从而得到想要的md5值

直接挂自己写的md5长度扩展攻击脚本(手搓的一个好处是md5每个加密步骤都摸透了…)

import getopt,sys
import binascii

F = lambda x,y,z:((x&y)|((~x)&z))
G = lambda x,y,z:((x&z)|(y&(~z)))
H = lambda x,y,z:(x^y^z)
I = lambda x,y,z:(y^(x|(~z)))
RL = lambda x,n:(((x<<n)|(x>>(32-n)))&(0xffffffff))

def FF(a, b, c, d, x, s, ac):  
	a = (a+F ((b), (c), (d)) + (x) + (ac)&0xffffffff)&0xffffffff
	a = RL ((a), (s))&0xffffffff
	a = (a+b)&0xffffffff
	return a

def GG(a, b, c, d, x, s, ac):  
	a = (a+G ((b), (c), (d)) + (x) + (ac)&0xffffffff)&0xffffffff
	a = RL ((a), (s))&0xffffffff
	a = (a+b)&0xffffffff
	return a
def HH(a, b, c, d, x, s, ac):
	a = (a+H ((b), (c), (d)) + (x) + (ac)&0xffffffff)&0xffffffff
	a = RL ((a), (s))&0xffffffff
	a = (a+b)&0xffffffff
	return a
def II(a, b, c, d, x, s, ac):  
	a = (a+I ((b), (c), (d)) + (x) + (ac)&0xffffffff)&0xffffffff
	a = RL ((a), (s))&0xffffffff  
	a = (a+b)&0xffffffff
	return a
def init_plain(plain, pre_len):
	lens = ((len(plain)+pre_len)*8) & 0xffffffffffffffff
	if(len(plain)%64 != 56):
		adds_idx = (120 - len(plain)%64)%64 - 1
		plain += '\x80' + '\x00' * adds_idx
	lens = ((lens & 0xff00000000000000) >> 56) | ((lens & 0x00ff000000000000) >> 40) | ((lens & 0x0000ff0000000000) >> 24) | ((lens & 0x000000ff00000000) >> 8) | ((lens & 0x00000000ff000000) << 8) | ((lens & 0x0000000000ff0000) << 24) | ((lens & 0x000000000000ff00) << 40) | ((lens & 0x00000000000000ff) << 56)
	tail_str = "%016x"%lens
	for i in range(8):
		plain += chr(int(tail_str[i*2 : (i+1)*2], 16))
	return plain
def get_M(sub_plain, M):# 每次将64字节的sub_plain16等分
	for i in range(16):
		M[i] = ord(sub_plain[i*4]) + ord(sub_plain[i*4+1])*16**2 + ord(sub_plain[i*4+2])*16**4 + ord(sub_plain[i*4+3])*16**6
		M[i] = M[i] & 0xffffffff
		# print("%08x"%M[i])
def format_trans(a):#小端规则转换输出
	a = ((a & 0xff000000) >> 24) | ((a & 0x00ff0000) >> 8) | ((a & 0x0000ff00) << 8) | ((a & 0x000000ff) << 24)
	return a
def my_md5(plain, pre_len = 0, A = 0x67452301, B = 0xefcdab89, C = 0x98badcfe, D = 0x10325476):
	a = A
	b = B
	c = C
	d = D
	plain = init_plain(plain, pre_len)
	for i in range(0, len(plain) // 64):
		sub_plain = plain[i*64 : (i+1)*64]
		M = [0] * 16
		get_M(sub_plain, M)
		a = FF(a, b, c, d, M[0], 7 , -680876936);
		d = FF(d, a, b, c, M[1], 12, -389564586);
		c = FF(c, d, a, b, M[2], 17,  606105819);
		b = FF(b, c, d, a, M[3], 22, -1044525330);
		a = FF(a, b, c, d, M[4], 7 , -176418897);
		d = FF(d, a, b, c, M[5], 12,  1200080426);
		c = FF(c, d, a, b, M[6], 17, -1473231341);
		b = FF(b, c, d, a, M[7], 22, -45705983);
		a = FF(a, b, c, d, M[8], 7 ,  1770035416);
		d = FF(d, a, b, c, M[9], 12, -1958414417);
		c = FF(c, d, a, b, M[10], 17, -42063);
		b = FF(b, c, d, a, M[11], 22, -1990404162);
		a = FF(a, b, c, d, M[12], 7 ,  1804603682);
		d = FF(d, a, b, c, M[13], 12, -40341101);
		c = FF(c, d, a, b, M[14], 17, -1502002290);
		b = FF(b, c, d, a, M[15], 22,  1236535329);

		a = GG(a, b, c, d, M[1], 5 , -165796510);
		d = GG(d, a, b, c, M[6], 9 , -1069501632);
		c = GG(c, d, a, b, M[11], 14,  643717713);
		b = GG(b, c, d, a, M[0], 20, -373897302);
		a = GG(a, b, c, d, M[5], 5 , -701558691);
		d = GG(d, a, b, c, M[10], 9 ,  38016083);
		c = GG(c, d, a, b, M[15], 14, -660478335);
		b = GG(b, c, d, a, M[4], 20, -405537848);
		a = GG(a, b, c, d, M[9], 5 ,  568446438);
		d = GG(d, a, b, c, M[14], 9 , -1019803690);
		c = GG(c, d, a, b, M[3], 14, -187363961);
		b = GG(b, c, d, a, M[8], 20,  1163531501);
		a = GG(a, b, c, d, M[13], 5 , -1444681467);
		d = GG(d, a, b, c, M[2], 9 , -51403784);
		c = GG(c, d, a, b, M[7], 14,  1735328473);
		b = GG(b, c, d, a, M[12], 20, -1926607734);

		a = HH(a, b, c, d, M[5], 4 , -378558);
		d = HH(d, a, b, c, M[8], 11, -2022574463);
		c = HH(c, d, a, b, M[11], 16,  1839030562);
		b = HH(b, c, d, a, M[14], 23, -35309556);
		a = HH(a, b, c, d, M[1], 4 , -1530992060);
		d = HH(d, a, b, c, M[4], 11,  1272893353);
		c = HH(c, d, a, b, M[7], 16, -155497632);
		b = HH(b, c, d, a, M[10], 23, -1094730640);
		a = HH(a, b, c, d, M[13], 4 ,  681279174);
		d = HH(d, a, b, c, M[0], 11, -358537222);
		c = HH(c, d, a, b, M[3], 16, -722521979);
		b = HH(b, c, d, a, M[6], 23,  76029189);
		a = HH(a, b, c, d, M[9], 4 , -640364487);
		d = HH(d, a, b, c, M[12], 11, -421815835);
		c = HH(c, d, a, b, M[15], 16,  530742520);
		b = HH(b, c, d, a, M[2], 23, -995338651);

		a = II(a, b, c, d, M[0], 6 , -198630844);
		d = II(d, a, b, c, M[7], 10,  1126891415);
		c = II(c, d, a, b, M[14], 15, -1416354905);
		b = II(b, c, d, a, M[5], 21, -57434055);
		a = II(a, b, c, d, M[12], 6 ,  1700485571);
		d = II(d, a, b, c, M[3], 10, -1894986606);
		c = II(c, d, a, b, M[10], 15, -1051523);
		b = II(b, c, d, a, M[1], 21, -2054922799);
		a = II(a, b, c, d, M[8], 6 ,  1873313359);
		d = II(d, a, b, c, M[15], 10, -30611744);
		c = II(c, d, a, b, M[6], 15, -1560198380);
		b = II(b, c, d, a, M[13], 21,  1309151649);
		a = II(a, b, c, d, M[4], 6 , -145523070);
		d = II(d, a, b, c, M[11], 10, -1120210379);
		c = II(c, d, a, b, M[2], 15,  718787259);
		b = II(b, c, d, a, M[9], 21, -343485551);
		A += a
		B += b
		C += c
		D += d
		A = A & 0xffffffff
		B = B & 0xffffffff
		C = C & 0xffffffff
		D = D & 0xffffffff
		a = A
		b = B
		c = C
		d = D
	return ("%08x%08x%08x%08x"%(format_trans(a),format_trans(b),format_trans(c),format_trans(d)))

try:
	options,args = getopt.getopt(sys.argv[1:],"o:l:a:",["atk"])# o - orginal_md5 ; l - secret length ; a - addmsg
except getopt.GetoptError:
	print('Required format : [-o "your original md5" -l "length of unknown secret" -a "your additional message" --atk]')
	sys.exit()
o_md5 = ''
secret_len = 0
a_msg = ''
hasSoul = False #有没有灵魂(不是
for key,value in options:
	if key == "-o":
		o_md5 = value
	elif key == "-a":
		a_msg = value
	elif key == "-l":
		secret_len = int(value)
	elif key == "--atk":
		hasSoul = True
if o_md5 == '' or a_msg == '' or secret_len == 0 or hasSoul == False:
	print('Required format : [-o "your original md5" -l "length of unknown secret" -a "your additional message" --atk]')
	sys.exit()
payload = ''
lens = (secret_len*8) & 0xffffffffffffffff
if((secret_len%64) != 56):
	adds_idx = (120 - secret_len%64)%64 - 1
	payload += '\x80' + '\x00' * adds_idx
lens = ((lens & 0xff00000000000000) >> 56) | ((lens & 0x00ff000000000000) >> 40) | ((lens & 0x0000ff0000000000) >> 24) | ((lens & 0x000000ff00000000) >> 8) | ((lens & 0x00000000ff000000) << 8) | ((lens & 0x0000000000ff0000) << 24) | ((lens & 0x000000000000ff00) << 40) | ((lens & 0x00000000000000ff) << 56)
tail_str = "%016x"%lens
for i in range(8):
	payload += chr(int(tail_str[i*2 : (i+1)*2], 16))
pre_len = secret_len + len(payload) #secret padding以后的长度pre_len
payload += a_msg
payload = ''.join([('%' + "%02x"%ord(c)) for c in payload])
print('[payload]: "' + '*'*secret_len + '"' + payload + ' ("' + '*'*secret_len + '" means the secret)')
MAGIC_NUM = [0] * 4 #从md5中获取自定义幻数
for i in range(4):
	MAGIC_NUM[i] = format_trans(int(o_md5[i*8 : (i+1)*8], 16))
print('[new_md5]: ' + my_md5(a_msg, pre_len, MAGIC_NUM[0], MAGIC_NUM[1], MAGIC_NUM[2], MAGIC_NUM[3]))

  • 代码实验:
    format : [-o “your original md5” -l “length of unknown secret” -a “your additional message” --atk]
    这里取secret = ‘imp0ssib1e’
    但secret未知,我们假设仅知道secret对应的
    [Length] : 10
    [MD5] : 989c382ee68677c13e94b4c6e7ee5331

    运行结果如下:
    在这里插入图片描述

  • 实战利用
    • CTF(略)
    • 伪造合法签名(如AWS签名)

这里摘录一下白帽子讲web安全那本书

签名一般要加盐,所以相当于明文未知,在没有使用间隔符的签名校验算法里,我们就可以利用长度扩展攻击来生成合法签名,栗子如下
原来的参数:
?a=1&b=2&c=3
在签名算法中:
a1b2c3
伪造参数:
?a=1b2c3[…padding…]&b=4&c=5
在签名算法中:
a1b2c3[…padding…]b4c5
于是新的合法签名伪造成功!

写脚本给自己用系列(卑微

|) |(7|3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
长度扩展攻击
osier12345的博客
04-06 1486
长度扩展攻击(length extension attack),是指针对某些允许包含额外信息的加密散列函数的攻击手段。对于满足以下条件的散列函数,都可以作为攻击对象: ① 加密前将待加密的明文按一定规则填充到固定长度(例如512或1024比特)的倍数; ② 按照该固定长度,将明文分块加密,并用前一个块的加密结果,作为下一块加密的初始向量(Initial Vector)。 满足上述要求的散列函数称为...
HASH长度扩展攻击
Noobi的博客
09-29 1414
HASH长度扩展攻击 场景: 当用户向服务端取文件时,服务端会进行验证,给出salt值(用于验证,客户端无从得知,并且需要salt值才能够拿到文件),并进行hsh=sha1(salt+filename)的运算。现通过工具拿到hash即hsh值,并得知filename。 求salt值。 原理: 当服务器进行sha1运算前,会判断字符串(slat+filename)的长度,并将整段字符串分割成64bytes一组。之后进行hash生成。 首先,当hash函数拿到需要被hash的字符串后,先将其字节长度整除64,取
哈希长度拓展攻击
KKABqN
05-14 1832
哈希长度拓展攻击 五一假期在干嘛?相信有很多小伙伴(其实是大表哥)开始了ISCC之旅,不知道为了在这个“动态分数”机制环境下得到更多的分数,大家的肝还好不好呢? 信息安全与对抗技术竞赛(ISCC:Information Security and Countermeasures Contest),于2004年首次举办,是教育部、工业和信息化部主办的第一个国家级信息安全技术竞赛,初入茅......
哈希拓展长度攻击
m0_63321019的博客
05-08 773
分块哈希计算进行加密时,通常是将明文信息以类似块密码的形式进行分组,对各个组块依次加密,每一块一般为512bit,也就是64bytes,每组的明文部分为56bytes,剩下的8bytes表示这块明文消息未填充前的长度填充在明文消息的最后一块一般是不满足56ytes时就对这个最后一块进行padding填充,填充至56bytes的位置,,填充方式为,在16进制下,我们需要在消息后添加一个80,然后加0,直至56bytes时变量计算。
哈希拓展攻击CTF题做法
2301_76690905的博客
12-24 1569
kali下载相关工具hash-ext-attack:hash拓展题目特征:2023楚慧杯upload_shell实验吧之让我进去:前言:具体怎么加密解密补位的原理我不懂,深入理解的部分我在文末挂了链接,以下也只是我做题的结论和通解,可能不准确(但是做题还挺准确),有错误欢迎指出:是在密码加密过程中引入的一个随机值,它与密码结合使用,目的是增加密码的复杂性和安全性。在密码加密中,常见的做法是将用户提供的密码进行哈希处理,然后存储哈希值而不是明文密码
md5哈希长度扩展攻击
CODER的博客
03-25 1062
MD5的已经被证实十分不可靠,对于MD5最著名的攻击当属这个长度扩展攻击了,这个攻击方式主要从其算法的原理入手。 具体可见 这里不再照抄 https://www.cnblogs.com/p00mj/p/6288337.html 题目的大意是这样的:服务器端有一个长度在8-32之间的随机盐值,你发送一个用户名过去,他会将盐值+用户名拼接起来得到md5(盐值+用户名) 返回给你 获得flag的方法为用...
CTF-web 第一部分 MD5
iamsongyu的博客
10-08 8520
一. 哈希解密与攻击 哈希就是把任意长度的输入(又叫做预映射pre-image)通过散列算法变换成固定长度的输出,通常用来进行文件摘要或者信息加密。虽说很难具有相同哈希的文件,但是某些特意构造的 信息还是会满足相同的哈希,而且有些时候可以使用字典的方式进行解密和使用哈希攻击。 0x00 SHA $_GET['name'] == $_GET['password'] sha1($_GET['n...
Hash扩展长度攻击及Hashdump的使用
ZXT02的博客
11-22 581
Hash扩展长度攻击、Hashdump的使用和相关CTF题目
length-extension:在SHA-256上尝试进行长度扩展攻击
05-24
长度延长攻击 在进行身份验证时,我注意到会话存储正在使用HMAC(基于哈希的消息身份验证代码)对会话进行身份验证。 HMAC通过使用秘密S和哈希函数H来验证消息M,以生成MAC。 消息和MAC(M,MAC)一起发送到客户端。...
HashPump, 在各种散列算法中,利用散列长度扩展攻击的工具.zip
09-18
HashPump, 在各种散列算法中,利用散列长度扩展攻击的工具 HashPump一种利用哈希长度扩展攻击的各种哈希算法的工具。当前支持的算法:MD5,SHA1,SHA256,SHA512.帮助菜单$ hashpump -hHashPump [-h help] [-t test]...
哈希算法Hash
10-01
哈希算法 Hash 是一种常用的数据加密技术,用于将任意长度的数据转换为固定长度哈希值。哈希算法 Hash 的设计目的是为了实现数据的加密和身份验证。下面我们将对哈希算法 Hash 进行详细的介绍和分析。 哈希算法 ...
哈希计算工具 java-hash
05-14
`src`目录下包含了源代码,开发者可以通过阅读源码了解其实现细节,这对于学习和扩展哈希算法的使用非常有帮助。`lib`目录可能包含了项目所依赖的外部库,用于支持特定的哈希算法或提高性能。 总结,`java-hash`是...
scala哈希:Scala的快速非加密哈希函数
02-05
哈希函数是将任意大小的数据映射为固定长度的输出,这个输出通常称为哈希值。这种映射过程应尽可能保持均匀分布,避免碰撞(即不同的输入产生相同的哈希值)。在Scala中,我们可以通过内置的`hashCode()`方法获取...
实验吧-让我进去【salt加密 哈希长度拓展攻击
Sp4rkW的博客
07-28 8699
原题内容: 相信你一定能拿到想要的 Hint:你可能希望知道服务器端发生了什么。。 格式:CTF{} 解题链接:点这里 首先拿到题目,查看源代码,bp准备。源代码没问题,直接开始bp尝试key,两行直接admin,admin测试,通过bp可以看到以下内容: 自习看了一下bp得到的东西,set-cookies无疑是最容易注意到的东西,一般bp很少看到这个东西,这题有...
浅析哈希长度拓展攻击
JBlock的博客
11-04 2015
Hash一般译作散列,也有直接音译做哈希,本文就直接音译吧,哈哈!所谓散列算法就是,把任意长度的输入,经过复杂的运算,转化为固定长度的输出。简单来说,就是把任意长度的字节压缩为固定长度的函数。 攻击条件: 1.知道密文(SECRET)的哈希。 2.知道密文的长度。原理:当知道MD5(secret)时,在不知道secret的情况下,可以轻松推算出MD5(secret||padding||m’
hash长度扩展攻击
csjjjd的博客
12-24 1251
如果已知的MD5哈希值是"437a413ace6757019e0a0c5ead62c9f9",除非通过暴力破解法——即尝试大量可能的输入值并对每个值进行散列,直到找到与已知散列值匹配的输入,否则无法得知。接下来就可以直接得出flag,因为MD5是不可逆的,除非你已经知道了flag形式的MD5,还知道了flag的很多内容,只有几个字符不知道的那种(想想也知道不可能!第一个绕过就搞定了,这里由于就只要求中间的三个字母,因为已经知道了开头结尾,所以可以使用我的脚本进行爆破。-d --data来自已知消息的数据。
CTF-Web13(涉及哈希长度扩展攻击,难度偏大)
→_→
08-31 1401
13.让我进去 首先拿到题目,查看源代码,源代码没问题,直接开始burpsuite尝试key,两行直接admin,admin测试,通过burpsuite可以看到以下内容: 在Response中看到set-cookies无疑是最容易注意到的东西,一般burpsuite很少看到这个东西,这题有这个,可能与题目有关,对burpsuite...
Hashpump实现哈希长度扩展攻击 | [极客大挑战]RCEME
crispr的博客
02-17 1906
Hashpump实现哈希长度扩展攻击 | RCEME 0x01 HASH长度拓展攻击 哈希长度拓展攻击的原理有点过于复杂了,这里直接copy其他大佬的描述了。 长度扩展攻击(length extension attack),是指针对某些允许包含额外信息的加密散列函数的攻击手段。对于满足以下条件的散列函数,都可以作为攻击对象: ① 加密前将待加密的明文按一定规则填充到固定长度(例如512或1024...
GEE数据集-高分辨率全球树冠高度地图(1 米)Meta 公司.pdf
最新发布
07-17
绘制植被结构图对于了解全球碳循环以及监测基于自然的气候适应和减缓方法至关重要。通过对这些数据的重复测量,可以观察现有森林的砍伐或退化情况、森林的自然再生以及农林业等可持续农业实践的实施情况。高空间分辨率的树冠高度和树冠投影面积评估对于监测碳通量和评估基于树木的土地利用也很重要,因为森林结构在空间上可能高度异质,特别是在农林系统中。极高分辨率的卫星图像(地面采样距离小于一米)使提取树木层面的信息成为可能,同时还能进行大尺度监测。本文介绍了第一份同时为多个次国家辖区制作的高分辨率树冠高度图。具体来说,我们为加利福尼亚州和圣保罗州制作了非常高分辨率的树冠高度地图,与之前基于哨兵/GEDI 的全球树冠高度地图的十米(10 米)分辨率相比,分辨率有了显著提高。这些地图是通过在 2017 年至 2020 年的 Maxar 图像上训练的自监督模型中提取特征,并根据航空激光雷达地图训练密集预测解码器生成的。我们还引入了一个后处理步骤,使用在 GEDI 观测数据上训练的卷积网络。我们利用预留验证激光雷达数据以及与其他遥感地图和实地收集的数据进行比较,对所提出的地图进行了评估,发现我们的模型产生的平均绝对
SHA3杂凑密码算法标准
08-14
SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值