Padding Oracle
CBC - Cipher Block Chaining
En mode CBC, le bloc chiffré précédent est utilisé comme IV pour XOR avec le bloc suivant :
Pour décrypter le CBC, les opérations opposées sont effectuées :
Remarquez qu'il est nécessaire d'utiliser une clé de chiffrement et un IV.
Remplissage du message
Comme le chiffrement est effectué en blocs de taille fixe, un remplissage est généralement nécessaire dans le dernier bloc pour compléter sa longueur.
Généralement, PKCS7 est utilisé, ce qui génère un remplissage répétant le nombre de bytes nécessaires pour compléter le bloc. Par exemple, s'il manque 3 bytes dans le dernier bloc, le remplissage sera \x03\x03\x03.
Examinons d'autres exemples avec 2 blocs de 8 octets :
| byte #0 | byte #1 | byte #2 | byte #3 | byte #4 | byte #5 | byte #6 | byte #7 | byte #0 | byte #1 | byte #2 | byte #3 | byte #4 | byte #5 | byte #6 | byte #7 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
P | A | S | S | W | O | R | D | 1 | 2 | 3 | 4 | 5 | 6 | 0x02 | 0x02 |
P | A | S | S | W | O | R | D | 1 | 2 | 3 | 4 | 5 | 0x03 | 0x03 | 0x03 |
P | A | S | S | W | O | R | D | 1 | 2 | 3 | 0x05 | 0x05 | 0x05 | 0x05 | 0x05 |
P | A | S | S | W | O | R | D | 0x08 | 0x08 | 0x08 | 0x08 | 0x08 | 0x08 | 0x08 | 0x08 |
Remarquez comment dans le dernier exemple, le dernier bloc était plein, donc un autre a été généré uniquement avec du padding.
Oracle de Remplissage
Lorsqu'une application décrypte des données chiffrées, elle décryptera d'abord les données ; puis elle supprimera le remplissage. Pendant la suppression du remplissage, si un remplissage invalide déclenche un comportement détectable, vous avez une vulnérabilité de l'oracle de remplissage. Le comportement détectable peut être une erreur, un manque de résultats, ou une réponse plus lente.
Si vous détectez ce comportement, vous pouvez décrypter les données chiffrées et même chiffrer n'importe quel texte en clair.
Comment exploiter
Vous pourriez utiliser https://github.com/AonCyberLabs/PadBuster pour exploiter ce type de vulnérabilité ou simplement faire
Pour tester si le cookie d'un site est vulnérable, vous pourriez essayer :
Encodage 0 signifie que base64 est utilisé (mais d'autres sont disponibles, consultez le menu d'aide).
Vous pourriez également abuser de cette vulnérabilité pour chiffrer de nouvelles données. Par exemple, imaginez que le contenu du cookie est "user=MyUsername", vous pourriez alors le modifier en "_user=administrateur_" et augmenter les privilèges à l'intérieur de l'application. Vous pourriez également le faire en utilisant paduster en spécifiant le paramètre -plaintext :
Si le site est vulnérable, padbusteressaiera automatiquement de trouver quand l'erreur de rembourrage se produit, mais vous pouvez également indiquer le message d'erreur en utilisant le paramètre -error.
La théorie
En résumé, vous pouvez commencer à décrypter les données chiffrées en devinant les valeurs correctes qui peuvent être utilisées pour créer tous les différents paddings. Ensuite, l'attaque de l'oracle de padding commencera à décrypter les octets de la fin vers le début en devinant quelle sera la valeur correcte qui crée un padding de 1, 2, 3, etc.
Imaginez que vous ayez un texte chiffré qui occupe 2 blocs formés par les octets de E0 à E15. Pour décrypter le dernier bloc (E8 à E15), le bloc entier passe par le "décryptage du chiffrement par bloc" générant les octets intermédiaires I0 à I15. Enfin, chaque octet intermédiaire est XORé avec les octets chiffrés précédents (E0 à E7). Donc :
C15 = D(E15) ^ E7 = I15 ^ E7C14 = I14 ^ E6C13 = I13 ^ E5C12 = I12 ^ E4...
Maintenant, il est possible de modifier E7 jusqu'à ce que C15 soit 0x01, ce qui sera également un padding correct. Ainsi, dans ce cas : \x01 = I15 ^ E'7
En trouvant E'7, il est possible de calculer I15 : I15 = 0x01 ^ E'7
Ce qui nous permet de calculer C15 : C15 = E7 ^ I15 = E7 ^ \x01 ^ E'7
En connaissant C15, il est maintenant possible de calculer C14, mais cette fois en forçant le padding \x02\x02.
Ce BF est aussi complexe que le précédent car il est possible de calculer le E''15 dont la valeur est 0x02 : E''7 = \x02 ^ I15 donc il suffit de trouver le E'14 qui génère un C14 égal à 0x02.
Ensuite, suivez les mêmes étapes pour décrypter C14 : C14 = E6 ^ I14 = E6 ^ \x02 ^ E''6
Suivez cette chaîne jusqu'à ce que vous ayez décrypté tout le texte chiffré.
Détection de la vulnérabilité
Enregistrez un compte et connectez-vous avec ce compte. Si vous vous connectez plusieurs fois et obtenez toujours le même cookie, il y a probablement quelque chose de incorrect dans l'application. Le cookie renvoyé devrait être unique à chaque fois que vous vous connectez. Si le cookie est toujours le même, il sera probablement toujours valide et il n'y aura aucun moyen de l'invalider.
Maintenant, si vous essayez de modifier le cookie, vous verrez que vous obtenez une erreur de l'application. Mais si vous forcez le padding (en utilisant padbuster par exemple), vous parvenez à obtenir un autre cookie valide pour un utilisateur différent. Ce scénario est très probablement vulnérable à padbuster.
Références
Dernière mise à jour
