Padding Oracle
最后更新于
最后更新于
在CBC模式中,前一个加密块被用作IV与下一个块进行XOR运算:
要解密CBC,需要执行相反的操作:
请注意需要使用加密密钥和IV。
由于加密是以固定大小的块进行的,通常需要在最后一个块中进行填充以完成其长度。
通常使用PKCS7,它生成一个填充,重复所需的字节数以完成该块。例如,如果最后一个块缺少3个字节,填充将是\x03\x03\x03。
让我们看看一个长度为8字节的2个块的更多示例:
P
A
S
S
W
O
R
D
1
2
3
4
5
6
0x02
0x02
P
A
S
S
W
O
R
D
1
2
3
4
5
0x03
0x03
0x03
P
A
S
S
W
O
R
D
1
2
3
0x05
0x05
0x05
0x05
0x05
P
A
S
S
W
O
R
D
0x08
0x08
0x08
0x08
0x08
0x08
0x08
0x08
请注意,在最后一个示例中,最后一个块已满,因此另一个仅包含填充的块被生成。
当应用程序解密加密数据时,它将首先解密数据;然后将删除填充。在清除填充时,如果无效的填充触发可检测的行为,则存在填充Oracle漏洞。可检测的行为可以是错误、缺少结果或响应速度变慢。
如果检测到这种行为,您可以解密加密数据甚至加密任何明文。
您可以使用https://github.com/AonCyberLabs/PadBuster来利用这种漏洞,或者只需执行
为了测试网站的 cookie 是否存在漏洞,您可以尝试:
编码 0 意味着使用 base64(但其他选项也可用,请查看帮助菜单)。
您还可以滥用此漏洞来加密新数据。例如,假设 cookie 的内容是 "user=MyUsername**",然后您可以将其更改为 "_user=administrator_" 并在应用程序内提升权限。您也可以使用 paduster 指定 -plaintext** 参数来执行此操作:
如果网站存在漏洞,padbuster将自动尝试在出现填充错误时找到漏洞,但您也可以使用**-error**参数指定错误消息。
总结:您可以通过猜测可以用来创建所有不同填充的正确值来开始解密加密数据。然后,填充预言攻击将从末尾向开头开始解密字节,猜测哪个值将是创建填充为1、2、3等的正确值。
假设您有一些加密文本,占据了由E0到E15字节组成的2个块。 为了解密最后一个块(E8到E15),整个块通过“块密码解密”生成中间字节I0到I15。 最后,每个中间字节都与先前的加密字节(E0到E7)进行XOR运算。因此:
C15 = D(E15) ^ E7 = I15 ^ E7
C14 = I14 ^ E6
C13 = I13 ^ E5
C12 = I12 ^ E4
...
现在,可以修改E7直到C15为0x01,这也将是一个正确的填充。因此,在这种情况下:\x01 = I15 ^ E'7
因此,找到E'7,就可以计算I15:I15 = 0x01 ^ E'7
这使我们能够计算C15:C15 = E7 ^ I15 = E7 ^ \x01 ^ E'7
知道C15,现在可以计算C14,但这次要用 \x02\x02来暴力破解填充。
这个BF与前一个一样复杂,因为可以计算出值为0x02的E''15:E''7 = \x02 ^ I15,所以只需要找到生成**C14等于0x02的E'14。
然后,执行相同的步骤来解密C14:C14 = E6 ^ I14 = E6 ^ \x02 ^ E''6**
按照这个链条继续,直到解密整个加密文本。
注册一个帐户并使用该帐户登录。 如果您多次登录并始终获得相同的cookie,则应用程序可能存在问题。每次登录时发送回的cookie应该是唯一的。如果cookie始终是相同的,它可能始终有效,无法使其失效。
现在,如果您尝试修改cookie,您会看到应用程序返回一个错误。 但是,如果您使用填充预言(例如使用padbuster)进行BF,您可以获得另一个适用于不同用户的有效cookie。这种情况很可能容易受到padbuster的攻击。
