padding oracle攻击原理分析(附带rsa资料)

最新推荐文章于 2023-10-18 09:45:49 发布
原创 最新推荐文章于 2023-10-18 09:45:49 发布 · 5.9k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#padding #oracle #ctf #rsa #web

本文深入探讨了padding oracle攻击的原理,重点分析了在RSA加密中如何利用这种攻击。内容包括四种分组加密方式及填充规则,以及在CBC模式下如何通过错误的padding判断和猜解明文。文章提供了测试代码和通用POC,帮助读者更好地理解和实践padding oracle攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、前引

最近恶补各种加解密。。把之前学的笔记放一放,本来还想放放自己的rsa笔记,不过这里有一份更好的了,我自己的就不拿出来了。

flappypig rsa:http://bobao.360.cn/learning/detail/3058.html?from=groupmessage&isappinstalled=0

另外这个oj https://www.jarvisoj.com上加上sctf2016都有比较典型的rsa的题目,比较好练手。

另外有个推荐的博客http://bluereader.org/rss/12594/p-1,这个是比较系统的讲了rsa,很不错,理论比上面flappypig那个讲的详细些,逻辑性更强,要是flappypig的暂时看不懂的话可以先看这个再去看那个。

1.1 四种分组加密方式及padding

http://www.cnblogs.com/happyhippy/archive/2006/12/23/601353.html

简单总结下:

其中提到填充方法,以分组8个字节为例:需要填充n个字节,则n个字节都填充0x0n。如果恰好全满,填充8个0x08组成新块。OFB和CFB不需要填充。

如下分组,产生密文我们在反解的时候,注意到最后一个分组的末尾的数值为0×04,即表示填充了4个Padding。如果最后的Padding不正确(值和数量不一致),则解密程序往往会抛出异常(Padding Error)。而利用应用的错误回显,我们就可以判断出Paddig是否正确。

这里写图片描述

而这个类似二分盲注的思想,因为明文是看不到的,但是明文解密失败是会有反应的。比如在web应用中,如果Padding不正确,则应用程序很可能会返回500的错误(程序执行错误);如果Padding正确,但解密出来的内容不正确,则可能会返回200的自定义错误(这只是业务上的规定),所以,这种区别就可以成为一个二值逻辑的“注入点”。

明文分组和填充就是Padding Oracle Attack的根源所在。但是这些需要一个前提,那就是应用程序对异常的处理。当提交的加密后的数据中出现错误的填充信息时,不够健壮的应用程序解密时报错。

所以攻击成立两个重要的前提

  1. 攻击者能够获得密文(Ciphertext),以及附带在密文前面的IV(初始化向量)

  2. 攻击者能够触发密文的解密过程,且能够知道密文的解密结果

1.2 猜解明文

根据之前的分析,padding只可能有以下几种情况:


1个字节的Padding0x01
2个字节的Padding0x02
3个字节的Padding0x03
4个字节的Padding0x04
5个字节的Padding0x05
6个字节的Padding0x06
7个字节的Padding0x07
8个字节的Padding0x08(当原始的明文正好是分组的整数倍的时候,Padding一个整组的填充值)

cbc解密模式图如下:

这里写图片描述

我们接下来要利用选择密文攻击的思想,不断调整,修正IV。来对Intermediary Value进行猜测。

1.2.1 padding 0x01

我们不断地调整IV的值,以希望解密后,最后一个字节的值为正确的Padding Byte,这里是0×01。因为Intermediary Value是固定的(我们此时不知道Intermediary Value),因此从0×00~0xFF之间,只可能有一个IV的值与Intermediary Value的最后一个字节进行XOR后,结果是0×01( 因为0×01只有最后1bit为1,其他都是0,所以根据XOR的性质,只能存在一个值能XOR得到0×01)。攻击者通过遍历这255个值,可以找出IV需要的最后一个字节。

即我们可以控制iv,然后我们能够知道原本正确的iv是啥,然后我们只需要构造iv使得明文解出来是0x01就行了,这样就推到了中间值,加上我们知道正确的iv,异或一下就能够得到第一组明文的最后一个字节的了:


Intermediary Value ^ iv = 0x01

这个iv是我们通过尝试不断构造的,这样子推出了Intermediary Value,那么之前说了我们掌握了真正的iv,这样子就能够知道最终的明文了
1.2.2 padding 0x02

通过上述操作我们能够知道第一个字节,假设为0x??,因此可以”更新”IV(攻击者输入的IV)的第8个字节为0x?? ^ 0x02,然后开始随机构造iv的倒数第二个字节,直至解密出来的第一个分组的倒数第二个字节为0x02,此时的iv异或上0x02之后再和正确iv的倒数第二个字节异或,即可得到明文的第一分组的倒数第二个字节。

至于padding 0x03,0x04…..就不再赘述了。

二、测试代码

这里我自己写了个简单的服务器测试了下,写的比较挫,只是帮助自己更好的理解下原理。。然后自己写了poc。写的非常难看,大家将就着看,另外把自己的草稿也保留在其中了。

服务端代码:


<?php

$string = 'bendawang';

$key = '12345678';

$cipher = MCRYPT_DES;

$modes = MCRYPT_MODE_CBC;

/*



#cipher:01af3d443c84ae0d859755ee9b3e2933

#iv:38b740ea94706e9b



$iv=hex2bin("38b740ea94706e9b");

#iv=hex2bin($_GET['$iv']);

#$i
最低0.47元/天 解锁文章

200万优质内容无限畅学
web渗透--35--Padding Oracle攻击
武天旭的博客
09-21 3000
1、漏洞描述: Padding Oracle攻击指应用在解密客户端提交的加密数据时,泄露了解密数据的分段填充是否合法的信息。攻击者利用Padding Oracle可以在不知道加密程序所使用的密钥的情况下,解密数据或者加密任意数据。即使应用程序确认加密数据的完整性,仍会导致该程序仍有敏感数据泄露和越权漏洞的风险。 密文在被解密时,会被分成若干个数据块,每个数据块有固定的长度,常见的加密算法大多为8字...
CTF-RSA_共模攻击原理及脚本
fengerxi33的博客
02-18 4785
CTF-RSA_共模攻击原理及脚本 共模攻击,也称同模攻击。 同模攻击利用的大前提就是,RSA体系在生成密钥的过程中使用了相同的模数n。 在CTF题目中,就是 同一明文,同一n,不同e,进行加密。 m,n相同;e,c不同,且e1 和 e2互质 出题脚本 随机生成flag import random import hashlib import string #字符串列表 a=string.printable #随机生成flag for i in range(10): flag = "" fo
padding oracle攻击
m0_47968686的博客
10-22 3028
密码侧信道分析 0x01 前言 紧接着上一篇文章exchange获取cookie ,通过SSRF与XSS的配合得到了用户的cookie。 cookie中的cadata值就是用户名跟密码经过加密后得到的一串字符串。所以本次任务我们就是通过侧信道分析解密用户名跟密码。 0x11 CBC加密模式 首先我们要了解什么是CBC模式,CBC模式又称为密码分组链接模式(Cipher Block Chaining)。首先将明文分块,分成等长的明文模块。另外还有一个初始化向量IV,IV一般是随机生成。首先将第一块明文与初始化
Padding Oracle Attack实例分析
buptisc_txy的专栏
11-24 1780
转自:http://blog.zhaojie.me/2010/10/padding-oracle-attack-in-detail.html,谢谢老赵! cookie在保证一段时间的有效登录时,估计会涉及padding oracle的漏洞。 老赵没有提到怎么防范这种类型的漏洞,我看1 不用cbc的加密方式。2 随机加密密钥。3  格式错误,比如padding错误,并不明显提示出来。
padding oracle攻击浅谈
11-26
padding oracle攻击详解。
PaddingOracle攻击
weixin_34162629的博客
11-19 333
等待笔记。。。 转载于:https://www.cnblogs.com/AardWolf/p/9986636.html
RSA+ECB+OAEPWithSHA-256AndMGF1Padding
01-07
选择RsA算法进行非对称加密,密钥长度为2048位及以上位数,使用oAEP填充方式。
oracle实现sha加密解密,Oracle中如何实现RSA算法加密解密?
weixin_39760389的博客
04-03 1118
DECLAREV_RAW_ENCRYPTED RAW(1024);V_RAW_UNENCRYPTED RAW(1000);V_STR_UNENCRYPTED VARCHAR2(1000) := '测试一二三456@123';V_STR_ENCRYPTED VARCHAR2(1000);V_RAW_PUBLICKEY RAW(1000);V_RAW_PRIVATEKEYRAW(100...
实验 5、Padding Oracle 攻击
05-07
实验 5、Padding Oracle 攻击 实验目的: 理解 padding oracle 攻击的过程,验证攻击的可行性。 实验准备: 网站 crypto-class.appspot.com 部署了一个填充预言机的模拟示例,请搭建 可以访问上述地址的实验环境。 实验要求: 假设攻击者想要利用上述网站的返回结果窃取信息。攻击者通过观察得 知:网站将用户的数据加密后利用 URL 参数进行传输,例如: http://crypto￾class.appspot.com/po?er=f20bdba6ff29eed7b046d1df9fb7000 058b1ffb4210a580f748b4ac714c001bd4a61044426fb515dad3f 21f18aa577c0bdf302936266926ff37dbf7035d5eeb4 当用户 Alice 和网站进行交互时,网站将上述 URL 发送给 Alice。攻击者 猜测在"po?er="这一 URL 变量的值可能 Alice 会话中的一个一些秘密数据。该 数据使用 AES CBC(随机初始向量加密)模式进行加密并将加密结果使用
2010年度最有技术含量攻击Padding Oracle Attack
weixin_33958366的博客
09-24 130
本文目的 向非安全方向的技术人员,特别是软件架构师介绍Padding Oracle的基本原理及其危害,以避免无意中在软件设计和技术选型过程里留下安全隐患。 Padding Oracle Attack的一些背景资料 这个攻击引起广泛关注是在今年5月的ekoparty安全会议上,两位安全工程师Julinao Rizzo和Thai Duong共同发表了一篇名为Practical Padding Or...
Padding Oracle攻击(POODLE)技术分析
翟海飞
08-04 9937
SSLv3降级加密协议Padding Oracle攻击(POODLE)技术分析漏洞概述:   SSL 3.0的历史非常久远,已经有将近15年了,现今几乎所有的浏览器都支持该协议。今天该协议爆出了一个漏洞,该漏洞由谷歌公司率先发现,下面是此漏洞的大致描述。    攻击者可利用该漏洞获取安全连接当中某些是SSLv3加密后的明文内容。因为兼容性问题,当浏览器进行HTTPS连接失败的时候,将会尝试使用
padding oracle
cc1988429的专栏
12-20 563
http://pnig0s1992.blog.51cto.com/393390/538399 收藏一下
如何攻击oracle,Padding Oracle攻击
weixin_39952502的博客
04-12 423
最近在复现LCTF2017的一道题目,里面有一个padding oracle攻击,也算是CBC翻转攻击,这个攻击主要针对CBC加密模式的网上有关这个攻击的博客文章很多,但是其中有一些细节可能是个人的理解不同,或者作者省略了,我这里将我在学习这个攻击中遇到的问题,记录一下之前有写过关于CBC翻转攻击的文章,但是之前的文章是知道了密文和iv的,而且只要翻转一位就可以了(翻转多位也是可以的)现在这个pa...
oracle攻击的几种方式,padding oracle攻击思路总结
weixin_39842955的博客
04-07 2231
之前一直没有机会好好总结下padding oracle, 在LCTF 上水了两天,Simple Blog 这题就看了一天,最后还是没有弄出来, 参考了各位大师傅的wp, 赛后好好总结下这个漏洞, 还是很有意思的Padding Orlace攻击这是CBC模式下存在的攻击,与具体的加密算法无关(当然,必须是分组加密)。不过,实际上Padding Oracle不能算CBC模式的问题,它的根源在于应用程序...
Padding Oracle攻击
weixin_30955341的博客
04-24 256
最近在复现LCTF2017的一道题目,里面有一个padding oracle攻击,也算是CBC翻转攻击,这个攻击主要针对CBC加密模式的 网上有关这个攻击的博客文章很多,但是其中有一些细节可能是个人的理解不同,或者作者省略了,我这里将我在学习这个攻击中遇到的问题,记录一下 之前有写过关于CBC翻转攻击的文章,但是之前的文章是知道了密文和iv的,而且只要翻转一位就可以了(翻转多...
Padding Oracle Attack--代码实现及深入理解
Yale的博客
05-26 5805
Padding Oracle Attack 分组密码 在密码学中,分组加密(英语:Block cipher),又称分块加密或块密码,是一种对称密钥算法。它将明文分成多个等长的模块(block),使用确定的算法和 对称密钥对每组分别加密解密。 什么是PKCS#5? PKCS#5,就是一种由RSA信息安全公司设计的填充标准。 对于PKCS#5标准来说,一般缺少几位,就填充几位那个数字。 比方说,在上...
SEEDLAB2.0-Padding Oracle Attack
Yale的博客
04-14 1751
一些系统在解密给定密文时,验证填充是否有效,如果填充无效,则抛出错误。 这种看似无害的行为启用了一种称为padding oracle攻击攻击。 发现许多知名系统容易受到此攻击,包括Ruby on Rails,ASP.NET和OpenSSL。 在本实验中,在容器中运行的两个Oracle服务器。 每个oracle内部都隐藏着一条秘密消息,它让我们知道知道密文和IV。 而且,对于我们提供的任何密文,它都会告诉我们填充是否有效。我们的工作是使用oracle的响应来找出秘密消息的内容。 先把之前运行的容器关掉,然后
asp.net安全检测工具 --Padding Oracle 检测
shanyou的专栏
09-25 679
<br />最近的一个asp.net安全缺陷,引起了社区很大的反响,博客园也有一个ASP.NET的Padding Oracle安全漏洞的话题,昨天在博客上贴了一个文章ASP.NET安全隐患的临时解决方法。本文主要介绍一个检测Padding Oracle的一个工具:Ethical Hacking ASP.NET。<br />这是一个在codeplex上开源的asp.net安全检测工具,最新的1.3版本一个很重要的功能就是Padding Oracle的检测,昨天我随意的检测了一下博客园的设置,今天博客园团队进行
4.9.2-测试 Padding Oracle
qq_44232452的博客
10-18 127
padding oracle 是应用程序的一项功能,它解密客户端提供的加密数据,例如存储在客户端上的内部会话状态,并在解密后泄露 padding 的有效性状态。填充预言机的存在允许攻击者解密加密数据并加密任意数据,而无需知道用于这些加密操作的密钥。如果应用程序假定加密数据的完整性,这可能会导致敏感数据泄露或权限提升漏洞。分组密码仅加密特定大小的块中的数据。常见密码使用的块大小为 8 字节和 16 字节。大小与所用密码的块大小的倍数不匹配的数据必须以特定方式填充,以便解密器能够剥离填充。
Padding Oracle攻击 竞赛题目
最新发布
03-17
### Padding Oracle 攻击CTF竞赛中的应用 Padding Oracle 攻击是一种针对加密模式(如CBC模式)的安全漏洞利用技术。它通过观察解密过程中的错误反馈来逐步恢复明文数据。以下是关于该攻击的一些核心概念及其在CTF竞赛中的典型题目解析。 #### 1. 基本原理 Padding Oracle 攻击的核心在于利用目标系统的错误响应机制。如果服务器能够区分填充错误和其他类型的解密失败,则可以将其作为Oracle用于推断消息的内容[^2]。这种攻击通常发生在AES-CBC等分组密码模式中,其中最后一个字节表示填充长度。 #### 2. Java框架下的实现细节 在基于Java的应用程序中,`javax.crypto.BadPaddingException` 是一种常见的异常类型,当解密后的数据不符合预期的PKCS#7填充标准时会被触发。此行为可被攻击者用来判断特定条件是否成立,从而泄露部分信息。 #### 3. 实际案例分析 - SESS Cookie篡改 在一个具体的Web安全场景里,假设存在一个网站允许用户登录并存储其会话状态于名为“SESS”的HTTP-only cookie之中。如果开发者未正确处理输入验证逻辑或者暴露过多调试信息给客户端的话,那么就可能存在Padding Oracle风险点。此时,参赛选手可以通过修改本地保存下来的cookie值并向服务端发送请求的方式来测试不同情况下返回的结果差异,最终达到伪造管理员身份的目的[^4]。 ```python import requests def padding_oracle_attack(url, ciphertext): block_size = 16 # 初始化变量 plaintext = b"" for i in range(len(ciphertext), 0, -block_size): current_block = ciphertext[i-block_size:i] intermediate_values = bytearray([0]*block_size) prefix_padding = bytes([0]*(block_size-(len(plaintext)%block_size))) for j in reversed(range(block_size)): target_byte_value = (block_size-j)^prefix_padding[j]^intermediate_values[j] found_char = False for guess in range(256): modified_ciphertext = list(current_block[:j]) + \ [(current_block[j]^target_byte_value^guess)] + \ list(intermediate_values[(j+1):]) response = send_request_with_modified_cipher(url, bytes(modified_ciphertext)+ciphertext[i:]) if is_valid_padding(response): intermediate_values[j] = guess ^ target_byte_value guessed_plaintext_character = intermediate_values[j]^((block_size-j)) plaintext += chr(guessed_plaintext_character).encode('latin-1') break return plaintext[::-1].decode() def send_request_with_modified_cipher(base_url, new_cipher_text): cookies={"SESS":new_cipher_text.hex()} r=requests.get(base_url,cookies=cookies) return r.status_code,r.text def is_valid_padding(http_response): status_code,content=http_response return 'BadPadding' not in content and str(status_code)[0]=='2' ``` 上面展示了一个简单的Python脚本来模拟如何执行一次完整的padding oracle attack流程。 #### 4. 练习平台推荐 对于希望深入学习此类技巧的人来说,Jarvis OJ 提供了一系列高质量练习题,其中包括但不限于SCTF2016赛事里的某些经典RSA挑战项目[^3]。这些资源非常适合初学者入门以及中级玩家提升技能水平。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值