Hash length extension attacks 分析

最新推荐文章于 2025-04-02 09:22:54 发布
最新推荐文章于 2025-04-02 09:22:54 发布
阅读量3.1k 收藏 2
点赞数 2
分类专栏: WEB漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_31481187/article/details/74275786
版权
本文深入探讨了Hash长度扩展攻击,从MD5加密原理开始,详细解释了字节填充、分组加密的过程,并通过实例演示了攻击原理。文章提供了Python实现的攻击脚本,以及在 JarvisOJ 平台上的具体应用,分析了解题步骤,包括如何利用hash_extender工具和手动解密方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近突然想把以前做的哈希拓展长度攻击的原理给梳理一下,前一段时间梳理了 padding oracle attack的相关知识,打算从原理到题目都详细的讲一讲,使用条件比较苛刻需要攻击者明密文都可控,所以在平时这种漏洞很少见,后面主要介绍一下工具的使用方法以及,jarvis平台上的一道题目,以及2017年陕西省信息安全竞赛的最后一道题目admin

哈希拓展可以伪造任意一对明密文,前提是有一对明密文,且伪造的明文前512比特是固定的···

0x00 MD5加密原理

一些dalao的博客这一点已经说得很清楚了,例如 Assassin师傅的博文

0x1 字节填充

MD5在进行运算时,需要将bit位数填充到指定位数,使其长度在对 512bit 取模后的值为 448bit,留下的64bit用来填写未填充的明文长度

0x2 分组加密

把填充过的(注意如果明文大于512bit,将分成多个组进行加密)明文按512bit一组进行下述加密

这里写图片描述

我们可以看到初始向量IV为128bit,每组加密过之后当做下一组的向量进行运算。最后输出的128bit就是md5值

0x3 实例演示

前面MD5的加密逻辑说得很清楚,这里利用一个实例模拟一下加密过程

加密数据 Value
十六进制 0x61646d696e
填充之后 0x61646d696e+0x80+50*0x00+0x28+0x00*7

首先字节填充,比特第一位补位1,其余位为0所以为0x80
后面全是0字节填充一直到448bit截止,剩下的8byte按照小端方式存储。admin占位5字节所以40bit=0x28bit。
这就是基本的MD5加密算法的流程,有没有看懂??如果看懂了有没有发现攻击者的可乘之机??

0x01 攻击原理

上篇稍微讲了一下,MD5加密的原理,这里主要讲解攻击方法
假设我们已经知道md5($secret+”admin”+”admin”)的值hash1
其实就是iv 与 $secret+”admin”+”admin”的填充值(这里填充了512bit)的hash值
现在假设我们有自己的hash算法可以构造任意的初始iv可以填充任意参与计算的明文
现在有以下结论
如果我要md5($secret+”admin”+”admin”+第一组MD5填充+padding)这里的第一组md5分组就是md5($secret+”admin”+”admin”)时的填充之后的512bit块
那么此值应该在逻辑上等于我利用hash1当做初始向量加密我构造的padding+填充字节(注意这里的填充是算上第一块的长度的即512bit)的第二块生成的md5值

简单的将就是

md5($secret+”admin”+”admin”+第一组MD5填充+padding)=(hash1)md5(padding+填充字节)

0x02 攻击脚本

这里引用别人写的脚本

0x1 md5 python 实现

可以自定义iv值

#!/usr/bin/env python
# -*- coding: utf-8 -*-
# @Author:DshtAnger
# theory reference:
#   blog:
#       http://blog.youkuaiyun.com/adidala/article/details/28677393
#       http://blog.youkuaiyun.com/forgotaboutgirl/article/details/7258109
#       http://blog.sina.com.cn/s/blog_6fe0eb1901014cpl.html
#   RFC1321:
#       https://www.rfc-editor.org/rfc/pdfrfc/rfc1321.txt.pdf
##############################################################################
import sys
def genMsgLengthDescriptor(msg_bitsLenth):
    '''
    ---args:
            msg_bitsLenth : the bits length of raw message
    --return:
            16 hex-encoded string , i.e.64bits,8bytes which used to describe the bits length of raw message added after padding
    '''
    return __import__("struct").pack(">Q",msg_bitsLenth).encode("hex")

def reverse_hex_8bytes(hex_str):
    '''
    --args:
            hex_str: a hex-encoded string with length 16 , i.e.8bytes
    --return:
            transform raw message descriptor to little-endian 
    '''
    hex_str = "%016x"%int(hex_str,16)
    assert len(hex_str)==16    
    return __import__("struct").pack("<Q",int(hex_str,16)).encode("hex")

def reverse_hex_4bytes(hex_str):
    '''
    --args:
            hex_str: a hex-encoded string with length 8 , i.e.4bytes
    --return:
            transform 4 bytes message block to little-endian
    '''    
    hex_str = "%08x"%int(hex_str,16)
    assert len(hex_str)==8    
    return __import__("struct").pack("<L",int(hex_str,16)).encode("hex")

def deal_rawInputMsg(input_msg):
    '''
    --args:
            input_msg : inputed a ascii-encoded string
    --return:
            a hex-encoded string which can be inputed to mathematical transformation function.
    '''
    ascii_list = [x.encode("hex") for x in input_msg]
    length_msg_bytes = len(ascii_list)
    length_msg_bits = len(ascii_list)*8
    #padding
    ascii_list.append('80')  
    while (len(ascii_list)*8+64)%512 != 0:  
        ascii_list.append('00')
    #add Descriptor
    ascii_list.append(reverse_hex_8bytes(genMsgLengthDescriptor(length_msg_bits)))
    return "".join(ascii_list)



def getM16(hex_str,operatingBlockNum):
    '''
    --args:
            hex_str : a hex-encoded string with length in integral multiple of 512bits
            operatingBlockNum : message block number which is being operated , greater than 1
    --return:
            M : result of splited 64bytes into 4*16 message blocks with little-endian

    '''
    M = [int(reverse_hex_4bytes(hex_str[i:(i+8)]),16) for i in xrange(128*(operatingBlockNum-1),128*operatingBlockNum,8)]
    return M

#定义函数,用来产生常数T[i],常数有可能超过32位,同样需要&0xffffffff操作。注意返回的是十进制的数
def T(i):
    result = (int(4294967296*abs(__import__("math").sin(i))))&0xffffffff
    return result   

#定义每轮中用到的函数
#RL为循环左移,注意左移之后可能会超过32位,所以要和0xffffffff做与运算,确保结果为32位
F = lambda x,y,z:((x&y)|((~x)&z))
G = lambda x,y,z:((x&z)|(y&(~z)))
H = lambda x,y,z:(x^y^z)
I = lambda x,y,z:(y^(x|(~z)))
RL = L = lambda x,n:(((x<<n)|(x>>(32-n)))&(0xffffffff))

def FF(a, b, c, d, x, s, ac):  
    a = (a+F ((b), (c), (d)) + (x) + (ac)&0xffffffff)&0xffffffff;  
    a = RL ((a), (s))&0xffffffff;  
    a = (a+b)&0xffffffff  
    return a  
def GG(a, b,
最低0.47元/天 解锁文章
[openwrt]openwrt wireless配置介绍
wgl307293845的博客
10-30 881
wireless UCI 配置位于中。如果设备具有以太网端口,则默认情况下无线处于状态。
使用Proverif分析TLS 1.3协议
feidun01的博客
06-28 2046
TLS(传输层安全)协议是一种广泛使用的网络协议,它主要用来建立服务器和客户端之间的安全通道。本文对TLS 1.3的18草案就行详细解析,并用proverif对其进行建模已经进行安全性论证。
HASH长度扩展攻击
Noobi的博客
09-29 1574
HASH长度扩展攻击 场景: 当用户向服务端取文件时,服务端会进行验证,给出salt值(用于验证,客户端无从得知,并且需要salt值才能够拿到文件),并进行hsh=sha1(salt+filename)的运算。现通过工具拿到hash即hsh值,并得知filename。 求salt值。 原理: 当服务器进行sha1运算前,会判断字符串(slat+filename)的长度,并将整段字符串分割成64bytes一组。之后进行hash生成。 首先,当hash函数拿到需要被hash的字符串后,先将其字节长度整除64,取
hash长度扩展攻击
csjjjd的博客
12-24 1640
如果已知的MD5哈希值是"437a413ace6757019e0a0c5ead62c9f9",除非通过暴力破解法——即尝试大量可能的输入值并对每个值进行散列,直到找到与已知散列值匹配的输入,否则无法得知。接下来就可以直接得出flag,因为MD5是不可逆的,除非你已经知道了flag形式的MD5,还知道了flag的很多内容,只有几个字符不知道的那种(想想也知道不可能!第一个绕过就搞定了,这里由于就只要求中间的三个字母,因为已经知道了开头结尾,所以可以使用我的脚本进行爆破。-d --data来自已知消息的数据。
Hash Extender 项目使用教程
最新发布
gitblog_00343的博客
04-02 372
Hash Extender 项目使用教程 hash_extender 项目地址: https://gitcode.com/gh_mirrors/ha/hash_extender ...
Hash扩展长度攻击及Hashdump的使用
ZXT02的博客
11-22 1010
Hash扩展长度攻击、Hashdump的使用和相关CTF题目
浅析哈希长度拓展攻击
JBlock的博客
11-04 2238
Hash一般译作散列,也有直接音译做哈希,本文就直接音译吧,哈哈!所谓散列算法就是,把任意长度的输入,经过复杂的运算,转化为固定长度的输出。简单来说,就是把任意长度的字节压缩为固定长度的函数。 攻击条件: 1.知道密文(SECRET)的哈希。 2.知道密文的长度。原理:当知道MD5(secret)时,在不知道secret的情况下,可以轻松推算出MD5(secret||padding||m’
SEEDLAB2.0-Hash Length Extension Attack Lab
Yale的博客
04-14 2162
注:这一篇会写得比较详细,之后就略写了 很多实验是需要配合docker的,这里以seed lab2.0的“Hash Length Extension Attack Lab”为例介绍如何搭建环境 首先由于众所周知的原因,我们需要设置docker国内镜像源 新建如下文件 写入源 保存后退出 执行以下命令执行镜像 并查看是否设置成功 回显的最后如果有下图红框内容则说明设置成功 接下来切到实验的yml文件所在路径执行下列命令build容器镜像 然后启动 可以使用docker ps查看目前正在运行的容器
hash哈希长度扩展攻击解析(记录一下,保证不忘)
热门推荐
syh_486_007的专栏
04-23 2万+
起因 这是 ISCC 上的一道题目,抄 PCTF 的,并且给予了简化。在利用简化过的方式通过后,突然想起利用哈希长度扩展攻击来进行通关。哈希长度扩展攻击是一个很有意思的东西,利用了 md5、sha1 等加密算法的缺陷,可以在不知道原始密钥的情况下来进行计算出一个对应的 hash 值。  这里是 ISCC 中题目中的 admin.php 的算法: $auth = false; if (is
加盐hash保存密码的正确方式
lxf0613050210的博客
01-31 596
0x00 背景 大多数的web开发者都会遇到设计用户账号系统的需求。账号系统最重要的一个方面就是如何保护用户的密码。一些大公司的用户数据库泄露事件也时有发 生,所以我们必须采取一些措施来保护用户的密码,即使网站被攻破的情况下也不会造成较大的危害。保护密码最好的的方式就是使用带盐的密码 hash(salted password hashing).对密码进行hash操作是一件很简单的事情,但是很多
md5 Length Extension Attack
lianzhouxiaowu的专栏
11-22 833
描述设msg为原始消息(对于攻击者来说是未知的),padding为msg的补齐部分,append为附加的数据。 根据msg的长度可以推算出padding(如果长度未知则可以从1开始暴力枚举),根据md5(msg)可以计算出md5(msg + padding + append)。原理分析md5算法对消息进行分组,每组64个字节,不足64个字节的部分用padding补齐。padding补齐的规则是,在
hash_extender
04-13
Ron Bowes的哈希扩展器 这将是上的博客文章。 现在,这是一个自述文件。 介绍 您可以在上获取hash_extender工具! ,我的朋友和我在进行了旗大赛。 竞赛的级别之一要求我们执行哈希长度扩展攻击。 我当时甚至从未听说过这种攻击,经过一番阅读后,我意识到执行这种攻击不仅超级酷(从概念上说很简单!),而且完全缺少执行这种攻击的好工具! 在添加了错误数量的空字节或错误地添加了长度值后,我发誓要写一个工具,使自己和其他尝试这样做的人都容易做到这一点。 因此,经过几个星期的工作,就在这里! 现在,我要发布该工具,希望我不会完全怀念能做同样事情的好工具! 它称为hash_extender ,并对我能想到的每种算法实施长度扩展攻击: MD4 MD5 RIPEMD-160 SHA-0 SHA-1 SHA-256 SHA-512 惠而浦 我很高兴将其扩展到其他哈希算法,只
Length Extension Attack
u011500307的专栏
04-19 2929
在做plaidctf时遇到了这个,记录下吧。
哈希长度扩展攻击解析
chengfangang的专栏
05-26 2327
原文链接 https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks You can grab the hash_extender tool on Github!(Administrative note: I’m no longer at Tenable! I
哈希长度拓展攻击 (hash length extension attacks) 示例与原理
Tz_AndHac的博客
03-23 2935
哈希长度拓展攻击 hash length extension attacks示例与原理 哈希长度拓展攻击: 指针对某些允许包含额外信息的加密散列函数的攻击手段。次攻击适用于MD5和SHA-1等基于Merkle–Damgård构造的算法 介绍目录: 哈希与加密的区别 常用哈希算法的介绍 Md5加密过程 Md5拓展攻击示例及原理 哈希与加...
哈希长度扩展攻击(hash lengthextensionattacks)转自(freebuf婷儿)
qq_45290991的博客
09-21 2691
*本文原创作者:婷儿小跟班✧,本文属FreeBuf原创奖励计划,未经许可禁止转载前言哈希长度扩展攻击(hash lengthextensionattacks)是指针对某些允许包含额外信息的加密散列函数的攻击手段。次攻击适用于MD5和SHA-1等基于Merkle–Damgård构造的算法。MD5扩展攻击介绍我们需要了解以下几点md5加密过程:MD5加密过程中512比特(64字节)为一组,属于分组加密,而且在运算的过程中,将512比特分为32bit*16块,分块运算关键利用的是MD5的填充,对加密的字符串进行填
哈希拓展长度攻击
m0_63321019的博客
05-08 1008
分块哈希计算进行加密时,通常是将明文信息以类似块密码的形式进行分组,对各个组块依次加密,每一块一般为512bit,也就是64bytes,每组的明文部分为56bytes,剩下的8bytes表示这块明文消息未填充前的长度填充在明文消息的最后一块一般是不满足56ytes时就对这个最后一块进行padding填充,填充至56bytes的位置,,填充方式为,在16进制下,我们需要在消息后添加一个80,然后加0,直至56bytes时变量计算。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值