Padding Oracle

学习与实践 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 分享黑客技巧。

CBC - 密码块链接

在 CBC 模式下，前一个加密块用作 IV，与下一个块进行异或操作：

要解密 CBC，需进行相反的 操作：

注意需要使用加密密钥和IV。

消息填充

由于加密是在固定大小块中进行的，通常需要在最后块中进行填充以完成其长度。通常使用PKCS7，它生成的填充重复所需的字节数以完成块。例如，如果最后一个块缺少 3 个字节，填充将是 \x03\x03\x03。

让我们看一些长度为 8 字节的 2 个块的更多示例：

byte #0	byte #1	byte #2	byte #3	byte #4	byte #5	byte #6	byte #7	byte #0	byte #1	byte #2	byte #3	byte #4	byte #5	byte #6	byte #7
P	A	S	S	W	O	R	D	1	2	3	4	5	6	0x02	0x02
P	A	S	S	W	O	R	D	1	2	3	4	5	0x03	0x03	0x03
P	A	S	S	W	O	R	D	1	2	3	0x05	0x05	0x05	0x05	0x05
P	A	S	S	W	O	R	D	0x08	0x08	0x08	0x08	0x08	0x08	0x08	0x08

byte #0

byte #1

byte #2

byte #3

byte #4

byte #5

byte #6

byte #7

byte #0

byte #1

byte #2

byte #3

byte #4

byte #5

byte #6

byte #7

0x02

0x03

0x05

0x08

注意在最后一个示例中，最后一个块是满的，因此只生成了一个填充块。

Padding Oracle

当应用程序解密加密数据时，它会首先解密数据；然后会移除填充。在清理填充的过程中，如果无效填充触发可检测的行为，则存在填充 oracle 漏洞。可检测的行为可以是错误、缺少结果或响应变慢。

如果你检测到这种行为，你可以解密加密数据，甚至加密任何明文。

如何利用

你可以使用 https://github.com/AonCyberLabs/PadBuster 来利用这种漏洞，或者直接进行

sudo apt-get install padbuster

为了测试一个网站的cookie是否存在漏洞，你可以尝试：

perl ./padBuster.pl http://10.10.10.10/index.php "RVJDQrwUdTRWJUVUeBKkEA==" 8 -encoding 0 -cookies "login=RVJDQrwUdTRWJUVUeBKkEA=="

编码 0 意味着使用 base64（但还有其他可用的，查看帮助菜单）。

您还可以 利用此漏洞加密新数据。例如，想象一下 cookie 的内容是 "user=MyUsername"，然后您可以将其更改为 "_user=administrator_"，并在应用程序中提升权限。您还可以使用 paduster 指定 -plaintext 参数来实现这一点：

perl ./padBuster.pl http://10.10.10.10/index.php "RVJDQrwUdTRWJUVUeBKkEA==" 8 -encoding 0 -cookies "login=RVJDQrwUdTRWJUVUeBKkEA==" -plaintext "user=administrator"

如果网站存在漏洞，padbuster将自动尝试找出何时发生填充错误，但您也可以使用**-error**参数指示错误消息。

perl ./padBuster.pl http://10.10.10.10/index.php "" 8 -encoding 0 -cookies "hcon=RVJDQrwUdTRWJUVUeBKkEA==" -error "Invalid padding"

理论

总结，你可以通过猜测可以用来创建所有不同填充的正确值来开始解密加密数据。然后，填充oracle攻击将开始从末尾到开头解密字节，猜测哪个将是创建1、2、3等填充的正确值。

想象一下你有一些加密文本，占据2个块，由E0到E15的字节组成。为了解密最后一个块（E8到E15），整个块通过“块密码解密”，生成中间字节I0到I15。最后，每个中间字节与之前的加密字节（E0到E7）进行异或运算。所以：

C15 = D(E15) ^ E7 = I15 ^ E7
C14 = I14 ^ E6
C13 = I13 ^ E5
C12 = I12 ^ E4
...

现在，可以修改E7直到C15为0x01，这也将是一个正确的填充。因此，在这种情况下：\x01 = I15 ^ E'7

因此，找到E'7后，可以计算I15：I15 = 0x01 ^ E'7

这使我们能够计算C15：C15 = E7 ^ I15 = E7 ^ \x01 ^ E'7

知道C15后，现在可以计算C14，但这次是暴力破解填充\x02\x02。

这个暴力破解与之前的复杂，因为可以计算出E''15的值为0x02：E''7 = \x02 ^ I15，所以只需要找到生成**C14等于0x02的**E'14。然后，重复相同的步骤解密C14：C14 = E6 ^ I14 = E6 ^ \x02 ^ E''6

沿着这条链，直到你解密整个加密文本。

漏洞检测

注册一个账户并使用该账户登录。如果你多次登录并且总是获得相同的cookie，那么应用程序可能存在问题。每次登录时返回的cookie应该是唯一的。如果cookie总是相同的，它可能总是有效，并且没有办法使其失效。

现在，如果你尝试修改该cookie，你会看到应用程序返回一个错误。但是如果你暴力破解填充（例如使用padbuster），你可以获得另一个有效的cookie，适用于不同的用户。这个场景很可能对padbuster存在漏洞。

参考文献

https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation

学习与实践AWS黑客技术：HackTricks Training AWS Red Team Expert (ARTE) 学习与实践GCP黑客技术：HackTricks Training GCP Red Team Expert (GRTE)

支持HackTricks

查看订阅计划!
加入 💬 Discord群组或Telegram群组或关注我们在Twitter 🐦 @hacktricks_live.
通过向 HackTricks和HackTricks Cloud GitHub库提交PR来分享黑客技巧。

PreviousHash Length Extension Attack NextRC4 - Encrypt&Decrypt

Last updated 1 month ago