Padding Oracle

在整理 Web 程序的渗透方式时,碰到了一种叫做 Padding Oracle 攻击的攻击方式,这种攻击利用了服务器在 CBC(密码块链接模式)加密模式中的填充测试漏洞。刚接触时找了几篇中文博客,讲的乱七八糟,最后无意中找到了 Automated Padding Oracle Attacks With PadBuster,才算是明白了这个漏洞的原理和利用方法。

现在翻译并整理一下这篇文章,再说说自己的理解。

Padding Oracle 攻击是 2010 年在欧洲举行的黑帽大会上由 Juliano Rizzo and Thai Duong 提出的。

首先要了解 CBC 的加密过程

CBC mode encryption
  1. 对明文进行分组,使每组长度相同(通常为 8 或 16 字节,取决于加密算法),对长度不足的分组进行填充,通常,填充遵循的是 PKCS#5 标准,即填充的字符即为需要填充的字符的个数,如:


    PKCS#5
  2. 随机生成一个 Initialization Vector(IV),将第一个明文分组与 IV 作异或运算
  3. 将 2 的结果进行加密,得到第一个明文分组的密文
  4. 从第二个明文分组开始,先将明文分组与上一组的密文作异或运算,再将结果进行加密,得到该分组的密文

解密

现在设想一个场景,一个 web 应用使用 GET 方法(并不是说使用 POST 或别的方法就是安全的,攻击针对的是 CBC 而不是 HTTP 方法)传递加密的用户名,公司 id 和用户 id,这些参数通过 CBC 模式加密,由于在 CBC 模式中 IV 是不要求保密的,假设 IV 作为这些密文的前缀,使用的是 ASCII 十六进制表示法,即两个字母表示一个字节。在一个开放的 Wi-Fi 环境中,网站的用户 BRAIN,公司 id 为 12,用户 id 为 2,向网站发送请求:
http://sampleapp/home.jsp?UID=7B216A634951170FF851D6CC68FC9537858795A28ED4AAC6
对应的明文为用分号分割,即 BRAIN;12;2

攻击者截获了这个请求,并且他知道对于大部分服务器来说,对于一个请求,服务器可能做出如下反应:

  1. 如果参数是完全正确的,身份认证成功,返回 HTTP 200 OK,提示认证成功
  2. 如果参数是可以解密为正确格式的明文的密文(明文 Padding 等正确),但是身份认证失败,返回 HTTP 200 OK,提示认证失败
  3. 如果参数不是可以解密为正确格式的明文的密文(明文的 Padding 错误等),服务器内部抛出异常,返回 HTTP 500 Internal Server Error

这就为攻击者提供了判断攻击是否成功的条件

现在攻击者通过分析该请求得到


密文格式

现在先考虑 IV 和 第一个分组

IV 和第一个分组的加密过程
IV 和第一个分组的解密过程

留意到明文最后使用了 0x05 填充了 5 个字节

现在,攻击者知道了 IV (7B216A634951170F)和 加密后的密文(F851D6CC68FC9537),现在要通过这两条信息获得明文。我们看到这里的 Intermediary Value 实际上是由明文和 IV 进行异或操作得到的,由于我们已经知道了 IV,那么我们只要获得 Intermediary Value 就可以计算出明文了。

攻击者首先想要获得第一个分组的最后一个字符。思路如下:要获得第一个分组的最后一个字符,只要获得 Intermediary Value 的最后一个字节,攻击者知道,IV 是可以构造的,通过构造 IV,使得解密后的明文的最后一个填充字符为 0x01,再将构造的 IV 与 0x01 进行异或,就得到了 Intermediary Value 的最后一个字节,再将该字节与原 IV 异或,就得到了第一个分组的最后一个字符。

由于服务器会对不是可以解密为正确格式的明文的密文返回 500 Internal Server Error
http://sampleapp/home.jsp?UID=0000000000000000F851D6CC68FC9537
即把 IV 设为全 0,服务器收到该请求后,进行解密

IV = 0000000000000000 时服务器的解密过程

发现最后的填充是 0x3D,是无效的,于是返回 500 Internal Server Error通过遍历 00-FF 所有可能的情况,最后会找到一个与 Intermediary Value 异或之后等于 0x01 的 IV 值

IV = 000000000000003C 时服务器返回 HTTP 200 OK

该 IV 值是 000000000000003C,此时可以计算出 Intermediary Value 为 0x3D,那么再将 0x3D 异或最初的 IV的最后一个字节(0x0F)得到 0x32,即 2

接下来使用相同的方法猜解倒数第二个字符,即构造 IV 使得服务器解密后的明文的最后两个字符均为 0x02,由于已经知道了 Intermediary Value 的最后一个字节为 0x3D,要使解密后的明文的最后一个字符为 0x02,那么构造的 IV 的最后一个字节应该为 0x3F,利用同样的方法,构造 IV 从 000000000000003F 开始,到 000000000000FF3F,总会有一个值使得服务器解密后的明文的最后两个字符均为 0x02,以此类推,便可以推算出该密文对应的明文信息

解密结果

加密

在获得了 Intermediary Value 之后,对任意字符串进行加密就简单了,例如我们要对字符串 TEST 进行加密,由于 TEST 是 4 个字节,那么需要在后面填充 4 个 0x04 形成一个分组,将该分组与 Intermediary Value 异或之后的结果作为 IV,加上原来的第一组密文,那么服务器就会将这个密文解密为 TEST了

加密 TEST

最后介绍一个可以进行 Padding Attack 的工具:
PadBuster

推荐阅读更多精彩内容