Hash Length Extension Attack

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

WhiteIntel

WhiteIntel ni injini ya utafutaji inayotumiwa na dark-web ambayo inatoa kazi za bure kuangalia kama kampuni au wateja wake wamekuwa compromised na stealer malwares.

Lengo lao kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulizi ya ransomware yanayotokana na malware inayopora taarifa.

Unaweza kuangalia tovuti yao na kujaribu injini yao kwa bure kwenye:

WhiteIntel

Summary of the attack

Fikiria seva ambayo inasaini baadhi ya data kwa kuongezea siri kwa baadhi ya data ya wazi inayojulikana na kisha kuhashi data hiyo. Ikiwa unajua:

Urefu wa siri (hii inaweza pia kubruteforced kutoka kwa anuwai ya urefu iliyotolewa)
Data ya wazi
Algorithimu (na inahatarishwa na shambulio hili)
Padding inajulikana
Kawaida moja ya chaguo-msingi inatumika, hivyo ikiwa mahitaji mengine 3 yanakidhi, hii pia inafanya hivyo
Padding inatofautiana kulingana na urefu wa siri + data, ndivyo maana urefu wa siri unahitajika

Basi, inawezekana kwa mshambuliaji ku ongeza data na kuunda sahihi halali kwa data ya awali + data iliyoongezwa.

How?

Kimsingi algorithimu zinazohatarishwa zinaweza kuunda hash kwa kwanza kuhashi block ya data, na kisha, kutoka kwa hash iliyoundwa awali (hali), wana ongeza block inayofuata ya data na kuhashi.

Basi, fikiria kwamba siri ni "siri" na data ni "data", MD5 ya "siri data" ni 6036708eba0d11f6ef52ad44e8b74d5b. Ikiwa mshambuliaji anataka kuongeza mfuatano "ongeza" anaweza:

Kuunda MD5 ya "A" 64
Kubadilisha hali ya hash iliyowekwa awali kuwa 6036708eba0d11f6ef52ad44e8b74d5b
Ongeza mfuatano "ongeza"
Maliza hash na hash inayotokana itakuwa halali kwa "siri" + "data" + "padding" + "ongeza"

Tool

GitHub - iagox86/hash_extenderGitHub

References

Unaweza kupata shambulio hili limeelezewa vizuri katika https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks

WhiteIntel

WhiteIntel ni injini ya utafutaji inayotumiwa na dark-web ambayo inatoa kazi za bure kuangalia kama kampuni au wateja wake wamekuwa compromised na stealer malwares.

Lengo lao kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulizi ya ransomware yanayotokana na malware inayopora taarifa.

Unaweza kuangalia tovuti yao na kujaribu injini yao kwa bure kwenye:

WhiteIntel

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousElectronic Code Book (ECB)NextPadding Oracle

Last updated 8 days ago