Padding Oracle Attack&CBC字节翻转攻击

密文cipher首先进行一系列处理，如图中的Block Cipher Decryption 我们将处理后的值称为 middle 中间值然后 middle 与我们输入的iv进行异或操作得到的即为明文但这里有一个规则叫做Padding填充：因为加密是按照16位一组分组进行的而如果不足16位，就需要进行填充

有几个空，就要填充几个“几”

比如明文为admin，那么需要填充的就是 admin\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b （11个\x0b）

如果我们输入一个错误的iv，依旧是可以解密的，但是 middle 和我们输入的iv经过异或后得到的填充值可能出现错误

比如本来应该是 admin\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b 而我们错误的得到 admin\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x3b\x2c

这样解密程序往往会抛出异常(Padding Error)

应用在web里的时候，往往是302或是500报错而正常解密的时候是200 所以这时，我们可以根据服务器的反应来判断我们输入的iv

看例子：

我们假设middle中间值为：

0x39 0x73 0x23 0x22 0x07 0x6a 0x26 0x3d

正确的解密iv应该为

0x6d 0x36 0x70 0x76 0x03 0x6e 0x22 0x39

解密后正确的明文为：

T E S T 0x04 0x04 0x04 0x04

但是关键点在于，我们可以知道iv的值，却不能得到中间值和解密后明文的值而我们的目标是只根据我们输入的iv值和服务器的状态去判断出解密后明文的值 这里的攻击即叫做 Padding Oracle Attack 攻击这时候我们选择进行爆破攻击

如果我们构造一个iv为：

0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00

那么 middle 的值和这个iv异或将会得到原封不动的 middle 的值

0x39 0x73 0x23 0x22 0x07 0x6a 0x26 0x3d

现在这个解密结果是不对的

正确的 padding 值只可能是：

1个字节的padding为0x01
2个字节的padding为0x02，0x02
3个字节的padding为0x03，0x03，0x03
4个字节的padding为0x04，0x04，0x04，0x04
……

因此我们希望慢慢调整iv的值，并且希望解密后最后一个值为正确的 padding 比如一个0x01，我们于是遍历最后一位iv：

那么最后一位中间密文就是： 0x01^0x3C=0x3D （这个一定成立，看图）,原来的明文就是 0x3D^0x0F=0x32（中间密文^原来的iv）

知道了最后一位的中间密文，就可以遍历倒数第二位iv了，这个时候应该为 0x02 而非 0x01 了。看图就懂：

以此类推，我们可以就能推算所有中间密文，再用 中间密文^原来的iv 就能算出明文了

CBC字节翻转攻击

有了上面的CBC加密解密过程的基础，这个手段其实很容易理解；

由解密算法可知：

A=B^C

由 ^ 运算的性质我们可以知道：

A=B^C、B=A^C、C=A^B

这是最关键的一点，我们可以推导出三者做异或运算的结果是0

C=A^B
C^C=A^B^C=0

我们修改了B的值，就一定会影响到A

B^X^C=A^X

也就是说，我们只要给B异或了X，A的值也会改变为他之前的值异或X的结果

一道CTF的例子

NPUCTF2020_web🐕

我摊牌了，就是懒得写前端
<?php 
error_reporting(0);
include('config.php');   # $key,********$file1*********
define("METHOD", "aes-128-cbc");  //定义加密方式
define("SECRET_KEY", $key);    //定义密钥
define("IV","6666666666666666");    //定义初始向量 16个6
define("BR",'<br>');
if(!isset($_GET['source']))header('location:./index.php?source=1');


#var_dump($GLOBALS);   //听说你想看这个？
function aes_encrypt($iv,$data)
{
    echo "--------encrypt---------".BR;
    echo 'IV:'.$iv.BR;
    return base64_encode(openssl_encrypt($data, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $iv)).BR;
}
function aes_decrypt($iv,$data)
{
    return openssl_decrypt(base64_decode($data),METHOD,SECRET_KEY,OPENSSL_RAW_DATA,$iv) or die('False');  #不返回密文，解密成功返回1，解密失败返回False
}
if($_GET['method']=='encrypt')
{
    $iv = IV;
    $data = $file1;    
    echo aes_encrypt($iv,$data);
} else if($_GET['method']=="decrypt")
{
    $iv = @$_POST['iv'];
    $data = @$_POST['data'];
    echo aes_decrypt($iv,$data);
}
echo "我摊牌了，就是懒得写前端".BR;

if($_GET['source']==1)highlight_file(__FILE__);
?>

padding Oracle Attack

exp：

# coding:utf-8
import requests
import base64

# b'\x97.\xda\xb8\xa5P\t\x95\xae\x9b\xf5\xbf\xe2\x8b.<'
CYPHERTEXT = base64.b64decode("ly7auKVQCZWum/W/4osuPA==")
# initialization vector
IV = "6666666666666666"
# PKCS7 16个字节为1组
N = 16
# intermediaryValue ^ IV = plainText
inermediaryValue = ""
plainText = ""
# 爆破时不断需要更改的iv
iv = ""
URL = "http://webdog.popscat.top/index.php?method=decrypt&source=1"


def xor(a, b):
    """
    用于输出两个字符串对位异或的结果
    """
    return "".join([chr(ord(a[i]) ^ ord(b[i])) for i in range(len(a))])


for step in range(1, N + 1):
    padding = chr(step) * (step - 1)
    print(step,end=",")
    for i in range(0, 256):
        print(i)
        """
        iv由三部分组成：
            待爆破位置 chr(0)*(N-step) 
            正在爆破位置 chr(i) 
            使 iv[N-step+1:] ^ inermediaryValue = padding 的 xor(padding,inermediaryValue)
        """
        iv = chr(0)*(N-step)+chr(i)+xor(padding,inermediaryValue)
        data = {
            "data": "ly7auKVQCZWum/W/4osuPA==",
            "iv": iv
        }
        r = requests.post(URL,data = data)
        if r.text !="False":
            inermediaryValue = xor(chr(i),chr(step)) + inermediaryValue
            print(inermediaryValue)
            break
plainText = xor(inermediaryValue,IV)
print(plainText)

运行，得到 FlagIsHere.php 访问之，得到如下源码：

F7LMTk/3nKSVUoSQuOS/dA==
<?php 
#error_reporting(0);
include('config.php');    //**************$file2********last step!!
define("METHOD", "aes-128-cbc");
define("SECRET_KEY", "6666666");
session_start();

function get_iv(){    //生成随机初始向量IV
    $random_iv='';
    for($i=0;$i<16;$i++){
        $random_iv.=chr(rand(1,255));
    }
    return $random_iv;
}

$lalala = 'piapiapiapia';

if(!isset($_SESSION['Identity'])){
    $_SESSION['iv'] = get_iv();

    $_SESSION['Identity'] = base64_encode(openssl_encrypt($lalala, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $_SESSION['iv']));
}
echo base64_encode($_SESSION['iv'])."<br>";

if(isset($_POST['iv'])){
    $tmp_id = openssl_decrypt(base64_decode($_SESSION['Identity']), METHOD, SECRET_KEY, OPENSSL_RAW_DATA, base64_decode($_POST['iv']));
    echo $tmp_id."<br>";
    if($tmp_id ==='weber')die($file2);
}

highlight_file(__FILE__);
?>

整理一下已知信息：

iv=
F7LMTk/3nKSVUoSQuOS/dA==
\x17 \xb2 \xcc \x4e \x4f \xf7 \x9c \xa4 \x95 \x52 \x84 \x90 \xb8 \xe4 \xbf \x74 
加密后：
$Identity='MLvuYeH07rhiAa5NJ1p75A=='
$Identity='\x30 \xbb \xee \x61 \xe1 \xf4 \xee \xb8 \x62 \x01 \xae \x4d \x27 \x5a \x7b \xe4 '

目的就是传入新的iv对identity进行解密，如果解密结果为'weber'那么就爽歪歪，这里考察的就是CBC字节翻转攻击

和Padding Oracle Attack不一样，这里不需要推测中间密文，根据我上面说的

B^X^C=A^X

本来是 piapiapiapia\x04\x04\x04\x04 现在我们需要改为 weber\x0B\x0B\x0B\x0B\x0B\x0B\x0B\x0B\x0B\x0B\x0B ，就拿第一位来说：

我们想要把 p 改为 w ，那么我就要找出 X 的值， 'p'^X='w' 很容易算出 X='p'^'w' 那么我们只需要在将B异或一个 ('p'^'w') ，就可以达到目的。

不过当时比赛的时候平台被D了，我是在出题人的学生机上面跑，脚本应该没问题，但是跑不出来，换了正常环境iv又不一样懒得重写，所以用了学长的脚本：

import base64
def bxor(b1, b2): # use xor for bytes
    parts = []
    for b1, b2 in zip(b1, b2):
        parts.append(bytes([b1 ^ b2]))
    return b''.join(parts)
iv = base64.b64decode("h34HL5RbMPw8oTaQ+P58nw==")
text = b"piapiapiapia\x04\x04\x04\x04"
result = b"weber\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b"
middle = bxor(iv,text)
iv = bxor(middle,result)
print(base64.b64encode(iv))

跑出来POST一个iv过去得到一个网址： https://c-t.work/s/034d3b3bf3fb48||verification code:2q2hwm

好像是有个附件，下载来是一个xxx.class文件考的Java反编译。。。不过百度能搜到，用工具 jd-gui-1.4.0 一下就跑出来。

得到数组，就是flag的ASCII码

q = [102, 108, 97, 103, 123, 119, 101, 54, 95, 52, 111, 103, 
     95, 49, 115, 95, 101, 52, 115, 121, 103, 48, 105, 110, 103, 125]
for i in q:
    print(chr(i), end='')

flag{we6_4og_1s_e4syg0ing}

Padding Oracle Attack&CBC字节翻转攻击

前言

正文

Padding Oracle Attack

CBC字节翻转攻击

一 道CTF的例子

相关文章：

一道CTF的例子