2. 程式人生 > >雜湊長度拓展攻擊

雜湊長度拓展攻擊

阿新 發佈:2018-11-06

 

雜湊長度拓展攻擊

 

五一假期在幹嘛?相信有很多小夥伴(其實是大表哥)開始了ISCC之旅,不知道為了在這個“動態分數”機制環境下得到更多的分數,大家的肝還好不好呢?

資訊保安與對抗技術競賽(ISCC:Information Security and Countermeasures Contest),於2004年首次舉辦,是教育部、工業和資訊化部主辦的第一個國家級資訊保安技術競賽,初入茅廬的我(小菜鳥)也去水了水,苦戰許久,開始總結與學習,於是就寫這篇文章,第一次寫部落格,不足之處很多,希望大表哥們糾正。

 

在做題的時候,有一道題很有趣,web250的hash長度拓展攻擊,這個方法原理不難,在幾年前已經出現了,

2009年,Thai Duong 與 Juliano Rizzo釋出了ASP.NETpadding oracle攻擊,同時還寫了一篇關於Flickr API簽名可偽造的paperFlickr API簽名這個漏洞,實際上用的是MD5 Length Extension Attack,鑽研了一個多星期的各位大表哥寫的文章以及hash加密的具體演算法,我想談談自己理解,並且分享一份自己寫的利用程式碼。

 

首先先看一張圖片

這有一幅圖,感覺能把核心思路與過程充分地體現出來,不過在此之前我們應該瞭解MD5加密的大體步驟:填充與使用上一次計算出來的幻值進行四輪運算。

 

 

 

我們輸入一個需要加密的字元的時候,該演算法會對字串進行分組,每448位(bit)也就是56位元組一組,當不足448位時需要進行補充,我們先說一下448位的來源。

 

每一個進行四輪運算的字串,長度為64位元組也就是512位,其中有8個位元組是記錄資訊的長度(長度的意思是資訊是多少二進位制位),那麼容納資訊的就只要56位元組。假設我們對一個10個位元組(80bit)的字串A進行填充至64位元組

第一步,需要檢視該資訊是否小於等於56位元組,即length(A)%64<=56?這裡單位是以位元組為單位。

第二步,對不足56位元組的字串進行填充,那麼對A來說需要填充46位元組,規定第一個位元組必須填充%80,其餘的填充%00,那麼A填充的內容為:

%80%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00

這裡面有45個%00

填充完畢。

 

隨後我們需要填充摘要資訊,也是資訊的長度,A有10位元組,也就是80bit,換算成16進製為0x50,那麼後面需要填充的8個位元組為:

%50%00%00%00%00%00%00%00

為什麼不是%00%00%00%00%00%00%00%50呢?

因為MD5是小端儲存,也就是低地址儲存高位位元組。

對於小端儲存,比如0x1234=>34120000(假設32位儲存長度)。

 

至此我們需要處理的64位資料已經構造成功,這時候需要上一次MD5運算得到的ABCD來作為本次MD5運算的初始序列ABCD。

在這裡我們解釋一下初始序列,對於第一次運算來說會預設四個32位初始序列

A=0x01234567

B=0x89abcdef

C=0xfedcba98

D=0x7654321

它們被稱為連結變數

將上面四個變數分別賦值到a,b,c,d變數中

然後進行主迴圈(四輪),每一輪都很相似。第一輪進行16次操作。每次操作對a,b,c和d中的其中三個作一次非線性函式運算,然後將所得結果加上第四個變數,文字的一個子分組和一個常數。再將所得結果向右環移一個不定的數,並加上a,b,c或d中之一。最後用該結果取代a,b,c或d中之一。這樣新的連結變數誕生了,如果還需要進行加密,那麼就作為下一次加密的初始序列,如果結束的話,那麼就把a,b,c,d連線在一塊。

 

理論說完了,我們來看一下題目:

 

題目直接給了原始碼,簡單的審計題目比較容易做

我們我們可以知道,如果enc($username) === $_COOKIE['verify']那麼就setcookieveriftymd5($key+'guest')可以知道未知的secret$key,而且我們從下一語句可以知道,$keylengthsetcookie("len"strlen($key), time()+60*60*24*7);

因此這個題目已經分析出來了

 

已知的是:$key的length

md5($key+'guest')

$username裡要有admin

 

那麼第一步上bp抓包找一下需要的資料

可以發現 verify=78cfc57d983b4a17e55828c001a3e781 len=46

使用hashpump

我們把

payload:guest%80%00%00%00%00%98%01%00%00%00%00%00%00admin

verify5f585093a7fe86971766c3d25c43d0eb

進行repeater

成功拿到flag

 

對於hash長度拓展攻擊,挺感興趣的,之後看了很多資料,按著自己的理解寫了一個指令碼,雖然寫出來了,對md5加密的演算法理解了,但是不知道在md5四輪運算中,參與運算的固定的16進製為什麼是這幾個,還是應該好好研究。

 

 

對於這個的用法,我簡單的說一下

python expliot.py 作為初始序列的md5值 最為第二輪md5運算的字元 上一次的md5運算前的padding的時候%80前面字串的二進位制位數

 

指令碼我放在我的github裡 https://github.com/1234xxh/Web

小弟blog,希望各位仁兄進去坐一坐。http://bey0nd.club/

ps:

之前一直在看大神們託管在github裡的專案,這是第一次使用github

因為是在學習的時候寫的這個利用指令碼,註釋挺多的。

 

 

推薦一篇很棒的文章 https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks

 

相關推薦

長度拓展攻擊

  雜湊長度拓展攻擊   五一假期在幹嘛?相信有很多小夥伴(其實是大表哥)開始了ISCC之旅,不知道為了在這個“動態分數”機制環境下得到更多的分數,大家的肝還好不好呢? 資訊保安與對抗技術競賽(ISCC:Information Security and Cou

hash長度擴充套件攻擊解析(記錄一下,保證不忘)

                起因這是 ISCC 上的一道題目,抄 PCTF 的,並且給予了簡化。在利用簡化過的方式通過後,突然想起利用雜湊長度擴充套件攻擊來進行通關。雜湊長度擴充套件攻擊是一個很有意思的東西,利用了 md5、sha1 等加密演算法的缺陷,可以在不知道原始金鑰的情況下來進行計算出一個對應的

MD5加密及Hash長度拓展攻擊【通俗易懂】

合成 adc color url 存在 light 之前 交換 非線性 先放一個簡單點的利用了Hash長度拓展攻擊的題目 if($COOKIE["getmein"] === md5($secret . urldecode($username . $password)))

表平均查詢長度

題目:關鍵字序列為:{38,25,74,63,52,48},雜湊函式為H(k)=k%7,雜湊表的長度為7,用線性探測和鏈地址法處理衝突,分別計算等概率情況下查詢成功的平均查詢長度。 注:沒給雜湊表長度,給出裝填因子時,可求雜湊表長度, 可根據此公式裝填因子=

表中查詢成功和不成功時的平均查詢長度如何計算

Question1: 將關鍵字序列(7、8、30、11、18、9、14)雜湊儲存到散列表中。散列表的儲存空間是一個下標從0開始的一維陣列,雜湊函式為: H(key) = (keyx3) MOD 7,處理衝突採用線性探測再雜湊法,要求裝填(載)因子為0.7。 (

拓展開/全排列(俞勇板子)

首先可以參考這一篇博文傳送門,這篇博文說的很好,大多數康拓展開都是這樣寫的,但是俞老師的板子是正好反著進行判斷一次,不過也是很好的,附上俞老師的註釋與板子 任務:對一個N的全排列,返回一個整數代表它在所有排列中的排名,同樣對於一個排名返回原排列,排名從0到N!-1 說明:把排列看成一個多進位

表查詢 平均查詢長度 解析

       雜湊表的裝填因子 α 的定義如下:                 α = 雜湊表中元素個數 / 雜湊表的長度        α 可描述雜湊表的裝滿程度。顯然,α 越小,發生衝突的可能性越小,而 α 越大,發生衝突的可能性也越大。 手工計算等概率情況下查詢 成

演算法的平均查詢長度計算

將關鍵字序列(7、8、30、11、18、9、14)雜湊儲存到散列表中。散列表的儲存空間是一個下標從0開始的一維陣列,雜湊函式為: H(key) = (keyx3) MOD 7,處理衝突採用線性探測再雜湊法,要求裝填(載)因子為0.7。  (1) 請畫出所構造的散列表。 

表(等概率情況下)查詢成功與查詢不成功的平均查詢長度

繼續小結,做到一道求 雜湊表查詢成功與查詢不成功 情況下平均查詢長度的計算問題,迷惑了好一會,在這裡總結下來:   首先,你要明白的是平均查詢長度求的是期望,那麼你就按照求期望的方法來求平均查詢長度吧,千萬記著期望怎麼求平均查詢長度就怎麼求啊。   題目: 在地址空間為0~

表——線性探測法、鏈地址法、查詢成功、查詢不成功的平均長度

四、雜湊表的裝填因子 裝填因子 = (雜湊表中的記錄數) /  (雜湊表的長度) 裝填因子是雜湊表裝滿程度的標記因子。值越大,填入表中的資料元素越多,產生衝突的可能性越大。 五、不同處理衝突的平均查詢長度 例: 假設散列表的長度是13,三列函式為H(K) = k %

表中線性探測再法及等概率條件下平均查詢長度

最近複習了下資料結構中的雜湊表,發現在計算等概率情況下查詢不成功的平均查詢長度時比較迷茫,不知道到底是怎麼計算出來的。現在通過查閱資料終於知道如何計算了,所以記錄下來以供以後查閱。   下面看下2010年2010年全國碩士研究生入學統一考試電腦科學與技術學科聯考計算機學科專

大白話瞭解洪荒攻擊

生意紅火 有一天你和你的鄰居同時開了一個快遞驛站,不過你的運氣很好,每天都有很多快遞到你這裡來,生意紅紅火火,然而,你的鄰居生意

演算法及其拓展

本篇是iOS逆向開發的遞進篇-關於雜湊演算法、數字簽名及對稱加密等,下面我們著重講解此內容,希望對大家有所幫助!!!    一、雜湊 1.1 基本內容 雜湊表也稱為散列表(Hash table),是根據關鍵碼值(key,value),直接進行訪問的資料結構。通過把關鍵碼對映到表中的一個位置

傳遞攻擊利用(Pass The Hash)

最近又複習了一下內網的相關知識,把以前的整理了一下發出來做個記錄。 # 0x01 雜湊傳遞攻擊概念 有一點內網滲透經驗的都應該聽說過雜湊傳遞攻擊,通過找到相應賬戶相關的密碼雜湊值(LM Hash,NTLM Hash)來進行未授權登陸。 可參考Wikipedia的介紹,地址如下:https://en.wikip

洛谷P3396衝突

傳送門啦 非常神奇的分塊大法。 這個題一看資料範圍,覺得不小,但是如果我們以 $ \sqrt(x) $ 為界限,資料範圍就降到了 $ x < 400 $ 我們設陣列 $ f[i][j] $ 表示在 % $ i $ 意義下餘數是 $ j $ 的數的總和。 然後我們以 $ \sqrt(n) $ 為界

野生前端的資料結構基礎練習(5)——

網上的相關教程非常多,基礎知識自行搜尋即可。 習題主要選自Orelly出版的《資料結構與演算法javascript描述》一書。 參考程式碼可見:https://github.com/dashnowords/blogs/tree/master/Structure/Hash 雜湊的基本知識

[SCOI2007]壓縮(動態規劃,區間dp,字串)

[SCOI2007]壓縮 狀態:設\(dp[i][j]\)表示前i個字元,最後一個\(M\)放置在\(j\)位置之後的最短字串長度. 轉移有三類,用刷表法來實現. 第一種是直接往壓縮串後面填字元,這樣就是: \[dp[i+1][j]=min(dp[i+1][j],dp[i][j]+1)\] 另外一種

Hash(/)表中衝突處理及命中計算

前言   本片部落格主要講的是雜湊表中簡單的衝突處理的方法,以及命中率計算。原理方面基本沒有講解,基本就講個方法,主要用於知識記錄以及幫助一些刷題玩家瀏覽。   簡而言之,不講技術,只講方法。 引言   寫這篇部落格的契機是在刷pat甲級題遇到了一道寫雜湊的題目,結果英文太次被欺負了。之後靠翻譯讀懂題

Android 獲取證書籤名以及key hash

1、獲取Android應用簽名MD5/sha1/SHA256等證書指紋 keytool -v -list -keystore  uuoversea_tw.jks 2、獲取Android應用key hash 雜湊值  keytool -exportcert -alias

程式設計師小灰-漫畫:什麼是一致性

                        一年之前——