Padding Oracle
Last updated
Last updated
学习与实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
在 CBC 模式下,前一个加密块用作 IV,与下一个块进行异或操作:
要解密 CBC,需进行相反的 操作:
注意需要使用加密 密钥和IV。
由于加密是在固定 大小 块中进行的,通常需要在最后 块中进行填充以完成其长度。
通常使用PKCS7,它生成的填充重复所需的字节 数以完成块。例如,如果最后一个块缺少 3 个字节,填充将是 \x03\x03\x03
。
让我们看更多的例子,使用2 个长度为 8 字节的块:
P
A
S
S
W
O
R
D
1
2
3
4
5
6
0x02
0x02
P
A
S
S
W
O
R
D
1
2
3
4
5
0x03
0x03
0x03
P
A
S
S
W
O
R
D
1
2
3
0x05
0x05
0x05
0x05
0x05
P
A
S
S
W
O
R
D
0x08
0x08
0x08
0x08
0x08
0x08
0x08
0x08
注意在最后一个例子中,最后一个块是满的,因此只生成了一个填充块。
当一个应用程序解密加密数据时,它会首先解密数据;然后它会移除填充。在清理填充的过程中,如果无效填充触发可检测的行为,则存在填充 oracle 漏洞。可检测的行为可以是错误、缺少结果或响应变慢。
如果你检测到这种行为,你可以解密加密数据,甚至加密任何明文。
你可以使用 https://github.com/AonCyberLabs/PadBuster 来利用这种漏洞,或者直接进行
为了测试一个网站的cookie是否存在漏洞,你可以尝试:
编码 0 意味着使用 base64(但还有其他可用的,查看帮助菜单)。
您还可以 利用此漏洞加密新数据。例如,假设 cookie 的内容是 "user=MyUsername",那么您可以将其更改为 "_user=administrator_",并在应用程序中提升权限。您还可以使用 paduster
指定 -plaintext 参数来实现这一点:
如果网站存在漏洞,padbuster
将自动尝试查找何时发生填充错误,但您也可以使用**-error**参数指示错误消息。
总结,你可以通过猜测可以用来创建所有不同填充的正确值来开始解密加密数据。然后,填充oracle攻击将从末尾到开头解密字节,猜测哪个将是创建1、2、3等填充的正确值。
想象一下你有一些加密文本,占据2个块,由E0到E15的字节组成。 为了解密最后一个块(E8到E15),整个块通过“块密码解密”,生成中间字节I0到I15。 最后,每个中间字节与之前的加密字节(E0到E7)进行异或运算。所以:
C15 = D(E15) ^ E7 = I15 ^ E7
C14 = I14 ^ E6
C13 = I13 ^ E5
C12 = I12 ^ E4
...
现在,可以修改E7
直到C15
为0x01
,这也将是一个正确的填充。因此,在这种情况下:\x01 = I15 ^ E'7
所以,找到E'7,就可以计算I15:I15 = 0x01 ^ E'7
这使我们能够计算C15:C15 = E7 ^ I15 = E7 ^ \x01 ^ E'7
知道C15后,现在可以计算C14,但这次是暴力破解填充\x02\x02
。
这个暴力破解和之前的复杂度一样,因为可以计算出E''15
的值是0x02:E''7 = \x02 ^ I15
,所以只需要找到生成**C14
等于0x02
的**E'14
。
然后,重复相同的步骤解密C14:C14 = E6 ^ I14 = E6 ^ \x02 ^ E''6
继续这个链条,直到你解密整个加密文本。
注册一个账户并使用该账户登录。 如果你多次登录并且总是获得相同的cookie,那么应用程序可能存在问题。每次登录时返回的cookie应该是唯一的。如果cookie总是相同的,它可能总是有效,并且无法使其失效。
现在,如果你尝试修改该cookie,你会看到应用程序返回一个错误。 但是如果你暴力破解填充(例如使用padbuster),你可以获得另一个有效的cookie,适用于不同的用户。这个场景很可能对padbuster存在漏洞。
学习和实践AWS黑客攻击:HackTricks Training AWS Red Team Expert (ARTE) 学习和实践GCP黑客攻击:HackTricks Training GCP Red Team Expert (GRTE)