黑客教程——Padding Oracle Attack&CBC字节翻转攻击详解

先来讲一讲CBC模式加密原理：

加密过程：

1.首先将明文（Plaintext）分组(常见的以16或8字节为一组)，位数不足的使用特殊字符填充。

2.生成一个随机的初始化向量(IV)和一个密钥。

3.将IV和第一组明文异或（xor运算）。

4.用密钥对3中xor后产生的密文加密。

5.用4中产生的密文对第二组明文进行xor操作。

6.用密钥对5中产生的密文加密。

7.重复4-7，到最后一组明文。

8.将IV和加密后的密文拼接在一起，得到最终的密文

解密过程：

1.先从密文中取出IV，然后对剩下的密文分组（16或8字节为一组）

2.使用秘钥解密第一组密文，将解密结果与IV做异或运算，得到明文1

3.然后使用秘钥解第二组密文，将解密的结果与上一组密文进行异或运算，得出明文2

4.重复2-3，直至所有密文解密完毕

以上就是CBC模式的加密解密过程，接下来讲两种手段：

Padding Oracle Attack

直译为 "填充Oracle攻击" ，这里主要关注一下解密过程：

密文cipher首先进行一系列处理，如图中的Block Cipher Decryption

我们将处理后的值称为 middle 中间值

然后 middle 与我们输入的iv进行异或操作

得到的即为明文

但这里有一个规则叫做Padding填充：

因为加密是按照16位一组分组进行的

而如果不足16位，就需要进行填充

有几个空，就要填充几个"几"

比如明文为admin，那么需要填充的就是

admin\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b （11个\x0b）

如果我们输入一个错误的IV（初始向量），依旧是可以解密的，但是 middle 和我们输入的IV经过异或后得到的填充值可能出现错误

比如本来应该是 admin\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b

而我们错误的得到 admin\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x3b\x2c

这样解密程序往往会抛出异常(Padding Error)

当这个CBC解密模式应用在web程序里的时候，往往是302或是500报错

而正常解密的时候是200。

所以这时，我们可以根据服务器的反应来判断我们输入的IV

一个例子

我们假设middle中间值为：

0x39 0x73 0x23 0x22 0x07 0x6a 0x26 0x3d

正确的解密IV应该为

0x6d 0x36 0x70 0x76 0x03 0x6e 0x22 0x39

解密后正确的明文为：

T E S T 0x04 0x04 0x04 0x04

但是关键点在于，我们可以知道iv的值，却不能得到中间值和解密后明文的值

而我们的目标是只根据我们输入的iv值和服务器的状态去判断出解密后明文的值

这里的攻击即叫做 Padding Oracle Attack 攻击

是一种根据页面回显来爆破密文的攻击

如果我们构造一个IV为：

0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00

那么 middle 的值和这个iv异或将会得到原封不动的 middle 的值

0x39 0x73 0x23 0x22 0x07 0x6a 0x26 0x3d

现在这个解密结果是不对的，web程序抛出错误。

正确的 padding 值只可能是：

1个字节的padding为0x01

2个字节的padding为0x02，0x02

3个字节的padding为0x03，0x03，0x03

4个字节的padding为0x04，0x04，0x04，0x04

……

因此我们希望慢慢调整IV的值，并且希望解密后最后一个值为正确的 padding 比如一个0x01，我们于是遍历最后一位IV：

那么最后一位中间密文就是： 0x01^0x3C=0x3D （这个一定成立，看图）,原来的明文就是 0x3D^0x0F=0x32（中间密文^原来的iv）

知道了最后一位的中间密文，就可以遍历倒数第二位iv了，这个时候应该为 0x02 而非 0x01 了。看图就懂：

以此类推，我们可以就能推算所有中间密文，再用 中间密文^原来的iv 就能算出明文了

CBC字节翻转攻击

有了上面的CBC加密解密过程的基础，这个手段其实很容易理解；

由解密算法可知：

A=B^C

由 ^ 运算的性质我们可以知道：

A=B^C、B=A^C、C=A^B

这是最关键的一点，我们可以推导出三者做异或运算的结果是0

C=A^B

C^C=A^B^C=0

也就是说，我们修改了B的值，就一定会影响到A

B^X^C=A^X

换句话说，我们只要给B异或了X，A的值也会改变为他之前的值异或X的结果

一 道CTF的例子

NPUCTF2020_web

源码：

<?php

error_reporting(0);

include('config.php'); # $key,********$file1*********

define("METHOD", "aes-128-cbc"); //定义加密方式

define("SECRET_KEY", $key); //定义密钥

define("IV","6666666666666666"); //定义初始向量 16个6

define("BR",'<br>');

if(!isset($_GET['source']))header('location:./index.php?source=1');

#var_dump($GLOBALS); //听说你想看这个？

function aes_encrypt($iv,$data)

{

echo "--------encrypt---------".BR;

echo 'IV:'.$iv.BR;

return base64_encode(openssl_encrypt($data, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $iv)).BR;

}

function aes_decrypt($iv,$data)

{

return openssl_decrypt(base64_decode($data),METHOD,SECRET_KEY,OPENSSL_RAW_DATA,$iv) or die('False'); #不返回密文，解密成功返回1，解密失败返回False

}

if($_GET['method']=='encrypt')

{

$iv = IV;

$data = $file1;

echo aes_encrypt($iv,$data);

} else if($_GET['method']=="decrypt")

{

$iv = @$_POST['iv'];

$data = @$_POST['data'];

echo aes_decrypt($iv,$data);

}

echo "我摊牌了，就是懒得写前端".BR;

if($_GET['source']==1)highlight_file(__FILE__);

?>

exp：

# coding:utf-8

import requests

import base64

# b'\x97.\xda\xb8\xa5Pt\x95\xae\x9b\xf5\xbf\xe2\x8b.<'

CYPHERTEXT = base64.b64decode("ly7auKVQCZWum/W/4osuPA==")

# initialization vector

IV = "6666666666666666"

# PKCS7 16个字节为1组

N = 16

# intermediaryValue ^ IV = plainText

inermediaryValue = ""

plainText = ""

# 爆破时不断需要更改的iv

iv = ""

URL = "http://webdog.popscat.top/index.php?method=decrypt&source=1"

def xor(a, b):

"""

用于输出两个字符串对位异或的结果

"""

return "".join([chr(ord(a[i]) ^ ord(b[i])) for i in range(len(a))])

for step in range(1, N + 1):

padding = chr(step) * (step - 1)

print(step,end=",")

for i in range(0, 256):

print(i)

"""

iv由三部分组成：

待爆破位置 chr(0)*(N-step)

正在爆破位置 chr(i)

使 iv[N-step+1:] ^ inermediaryValue = padding 的 xor(padding,inermediaryValue)

"""

iv = chr(0)*(N-step)+chr(i)+xor(padding,inermediaryValue)

data = {

"data": "ly7auKVQCZWum/W/4osuPA==",

"iv": iv

}

r = requests.post(URL,data = data)

if r.text !="False":

inermediaryValue = xor(chr(i),chr(step)) + inermediaryValue

print(inermediaryValue)

break

plainText = xor(inermediaryValue,IV)

print(plainText)

得到 FlagIsHere.php，访问之：

F7LMTk/3nKSVUoSQuOS/dA==

<?php

#error_reporting(0);

include('config.php'); //**************$file2********last step!!

define("METHOD", "aes-128-cbc");

define("SECRET_KEY", "6666666");

session_start();

function get_iv(){ //生成随机初始向量IV

$random_iv='';

for($i=0;$i<16;$i++){

$random_iv.=chr(rand(1,255));

}

return $random_iv;

}

$lalala = 'piapiapiapia';

 

if(!isset($_SESSION['Identity'])){

$_SESSION['iv'] = get_iv();

$_SESSION['Identity'] = base64_encode(openssl_encrypt($lalala, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $_SESSION['iv']));

}

echo base64_encode($_SESSION['iv'])."<br>";

if(isset($_POST['iv'])){

$tmp_id = openssl_decrypt(base64_decode($_SESSION['Identity']), METHOD, SECRET_KEY, OPENSSL_RAW_DATA, base64_decode($_POST['iv']));

echo $tmp_id."<br>";

if($tmp_id ==='weber')die($file2);

}

highlight_file(__FILE__);

?>

整理一下已知信息：

iv=

F7LMTk/3nKSVUoSQuOS/dA==

\x17 \xb2 \xcc \x4e \x4f \xf7 \x9c \xa4 \x95 \x52 \x84 \x90 \xb8 \xe4 \xbf \x74

加密后：

$Identity='MLvuYeH07rhiAa5NJ1p75A=='

$Identity='\x30 \xbb \xee \x61 \xe1 \xf4 \xee \xb8 \x62 \x01 \xae \x4d \x27 \x5a \x7b \xe4 '

目的就是传入新的iv对identity进行解密，如果解密结果为'weber'那么就爽歪歪，这里考察的就是CBC字节翻转攻击

和Padding Oracle Attack不一样，这里不需要推测中间密文，根据我上面说的

B^X^C=A^X

本来是 piapiapiapia\x04\x04\x04\x04 现在我们需要改为 weber\x0B\x0B\x0B\x0B\x0B\x0B\x0B\x0B\x0B\x0B\x0B ，就拿第一位来说：

我们想要把 p 改为 w ，那么我就要找出 X 的值， 'p'^X='w' 很容易算出 X='p'^'w' 那么我们只需要在将B异或一个 ('p'^'w') ，就可以达到目的。

exp：

import base64

def bxor(b1, b2): # use xor for bytes

parts = []

for b1, b2 in zip(b1, b2):

parts.Append(bytes([b1 ^ b2]))

return b''.join(parts)

iv = base64.b64decode("h34HL5RbMPw8oTaQ+P58nw==")

text = b"piapiapiapia\x04\x04\x04\x04"

result = b"weber\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b"

middle = bxor(iv,text)

iv = bxor(middle,result)

print(base64.b64encode(iv))

跑出来POST一个iv过去得到一个网址： https://c-t.work/s/034d3b3bf3fb48||verification code:2q2hwm

有个附件，下载来是一个xxx.class文件考的JAVA反编译，用工具 jd-gui-1.4.0 一下就跑出来。

得到数组，就是flag的ASCII码

q = [102, 108, 97, 103, 123, 119, 101, 54, 95, 52, 111, 103,

95, 49, 115, 95, 101, 52, 115, 121, 103, 48, 105, 110, 103, 125]

for i in q:

print(chr(i), end='')

flag{we6_4og_1s_e4syg0ing}

以上就是一次对于Padding Oracle Attack和CBC字节翻转攻击的一次初步学习，欢迎各位指正。

文章来自我们内部小组成员：低语