用MD5实现hash长度扩展攻击 By Assassin

最新推荐文章于 2025-07-11 13:37:47 发布
原创 最新推荐文章于 2025-07-11 13:37:47 发布 · 1w 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了MD5长度扩展攻击的概念,详细解释了MD5加密过程中的填充规则,并通过一个实例展示了如何利用已知的MD5哈希值构造攻击。作者通过分析题目中的条件,说明了如何构造初始向量IV来实现攻击,提到了hash_extender工具的使用,帮助读者深入理解这一安全问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天心血来潮,看到了扩展攻击,猛然想到了之前看的扩展攻击的原理还没有弄懂,这里补充一下,hash长度扩展攻击到底是怎么实现的。

题目

首先从实验吧上面见到的经典的题目,下面给出源码

<?php 

$flag = "flag{flag is here}";
$secret = "aaaaabbbbbccccc"; // This secret is 15 characters long for security!

@$username = $_POST["username"];
@$password = $_POST["password"];
if (!empty($_COOKIE["getmein"])) {
    if (urldecode($username) === "admin" && urldecode($password) != "admin") {
        if ($_COOKIE["getmein"] === md5($secret . urldecode($username . $password))) {
            echo "Congratulations! You are a registered user.\n";
            die ("The flag is ". $flag);
        }
        else {
            die ("Your cookies don't match up! STOP HACKING THIS SITE.");
        }
    }
    else {
        die ("You are not an admin! LEAVE.");
    }
}

setcookie("sample-hash", md5($secret . urldecode("admin" . "admin")), time() + (60 * 60 * 24 * 7));

if (empty($_COOKIE["source"])) {
    setcookie("source", 0, time() + (60 * 60 * 24 * 7));
}
else {
    if ($_COOKIE["source"] != 0) {
        echo ""; // This source code is outputted here
    }
}
?>

然后观察代码我们首先发现一些规律:

1.首先$secret变量我们不知道,但是我们知道它的长度
2.从下面setcookie函数我们可以通过sample-hash这个变量拿到md5($secret+”admin”+”admin”)的md5值
3.我们登陆成功的条件,username==admin&&password!=admin 并且我们要cookie getmein的值等于md5($secret+username+password)

下面讲一下何为扩展攻击

MD5扩展攻击介绍

要说MD5的扩展攻击,首先要了解一定MD5加密算法的过程,其中我们不需要了解太多,我们需要知道如下几点


1.MD5加密过程中512比特(64字节)为一组,属于分组加密,而且在运算的过程中,将512比特分为32bit*16块,分块运算
2.我们关键利用的是MD5的填充,对加密的字符串进行填充(比特第一位为1其余比特为0),使之(二进制)补到448模512同余,即长度为512的倍数减64,最后的64位在补充为原来字符串的长度,这样刚好补满512位的倍数,如果当前明文正好是512bit倍数则再加上一个512bit的一组。
3.MD5不管怎么加密,每一块加密得到的密文作为下一次加密的初始向量IV,这一点很关键!!!

有点绕,下面讲一个例子讲一下如何填充
比如计算字符串“admin”
十六进制0x61646d696e
这里与448模512不同余,补位后的数据如下

0x61646d696e8000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000002800000000000000

注意!下图中8是怎么来的!比特第一位补位1,其余为0,那么admin后面(二进制补位1000…000)

这里写图片描述

注意!下图中框框中是啥!是全部要加密明文的长度!这里长度不包含填充的长度!而且注意是比特数!而且我们需要注意一点

这里写图片描述

MD5中存储的都是小端方式!
MD5中存储的都是小端方式!
MD5中存储的都是小端方式!
重要的事情说三遍,举个例子:假如我们这一块值为0x12345678
那么在MD5运算时候存储的顺序是 0x78563412
这也是之所以后8字节为长度,而第1字节先有数据的原因

admin长度为40比特,所以长度为0x28=40bits

在讲如何利用填充扩展攻击?首先直观看一下上面讲的第三点

这里写图片描述

假如我们知道了,md5(“secret”)我们不需要知道secret是什么,只要知道长度,人为将secret填充完,在新加一块假设为add,之前得到的MD5值作为最后一块加密的初始向量IV,最后加密得到的结果和MD5(secret+add)结果是一样的!重点看下面的题目分析吧!

MD5扩展攻击实现

那么再分析从题目中

最低0.47元/天 解锁文章

200万优质内容无限畅学
【区块链技术】md5 扩展长度攻击
jnwlhh的博客
09-21 8535
先做实验,再写原理 实验要求如下: 构造 secret = “secrete” data = " message" Hash = md5 append = “whatever” 的攻击串 登录测试代码如下:(老师给的代码是Python2的,我电脑上安装的是python3.x,所以对于unquote的导入和print的使用进行了一点适当修改) import hashlib import sys from urllib.parse import unquote def login(password,
HASH长度扩展攻击
Noobi的博客
09-29 1609
HASH长度扩展攻击 场景: 当用户向服务端取文件时,服务端会进行验证,给出salt值(用于验证,客户端无从得知,并且需要salt值才能够拿到文件),并进行hsh=sha1(salt+filename)的运算。现通过工具拿到hash即hsh值,并得知filename。 求salt值。 原理: 当服务器进行sha1运算前,会判断字符串(slat+filename)的长度,并将整段字符串分割成64bytes一组。之后进行hash生成。 首先,当hash函数拿到需要被hash的字符串后,先将其字节长度整除64,取
Hash长度扩展攻击--MD5
qq_24966613的博客
11-26 779
MD5算法 MD5的算法比较简单,大概加密过程来看就是类似下图!首先是数据填充:首先要知道的是,md5后面运算过程都是需要512比特为一组来进行运算,先说一下简单的数据比较少 不存在分组的时候的填充,首先512比特的末尾64比特是存放原明文消息的长度512比特开始是明文数据紧接着明文后填一位1(2进制),其余全是0,假设我明文就一个字符串‘test’那么填充就是0x7465737480000000
SM3长度扩展攻击-附代码(熵密杯2024初始谜题2)
最新发布
Draina的博客
07-11 1114
长度扩展攻击针对Merkle-Damgård结构的哈希函数(如SM3),利用其内部状态可重用的特性。当系统将密钥置于消息前直接哈希时(MAC=H(K∥M)),攻击者可通过已知M及其哈希值h,在填充后附加任意数据S,并利用h作为新IV值构造合法哈希H(K∥M∥填充∥S)。以熵密杯2024赛题为例,通过分析SM3填充机制和源码,展示了如何利用原counter值0x12345678及其哈希,构造包含伪造数据的新counter(0x12345678...99999999)及其对应哈希值,实现攻击验证。
MD5哈希长度延展攻击(选做)
xs_1234的博客
04-12 944
20211119陈俊积。
基于md5加密的hash长度扩展攻击介绍
qq_45766062的博客
12-17 1016
md5算法介绍       ~~~~~~      md5将整个文件当做一个大文本信息,通过不可逆的字符串变换算法,产生一个唯一的MD5信息摘要。文件的md5类似于人的指纹,在世界上是独立无二的,如果任何人对文件做了任何改动,其md5的值也就是对应的“数字指纹”都会发生变化。       ~~~~~~  &nb
Md5扩展攻击的原理和应用
weixin_34255055的博客
06-03 270
2019独角兽企业重金招聘Python工程师标准>>> ...
MD5-Hash-Changer:C#应用程序更改任何文件的MD5哈希
02-04
MD5(Message-Digest Algorithm 5)是一种广泛使用的加密散列函数,产生一个128位(16字节)的散列值,通常用32个十六进制数字表示,用于验证数据的完整性和一致性。 在这款应用中,MD5哈希值的改变是通过在文件...
MD5.c.zip_hash_md5_md5 hash_md5_hash_woodennfx
09-21
这个标题"MD5.c.zip_hash_md5_md5_hash_woodennfx"可能指的是一个包含有关MD5哈希计算源代码的压缩文件,其中可能包含了名为"MD5.c"的C语言源代码文件。 MD5的主要特性是它的单向性,即从任意长度的消息生成固定...
MD5扩展长度攻击(实验吧 —— 让我进去)
hhh
09-04 3211
今天在实验吧遇见的一道题(题目链接),考察了关于MD5扩展长度攻击的有关原理。本文会首先对原理进行说明,后面会放上实验吧题目的wp。 MD5扩展长度攻击原理 为了更好地理解改攻击,首先了解以下MD5的加密算法,加密过程的示意图如下: 通俗来讲,就是MD5把每512位当作一组进行加密计算,首先有一个初始序列的值(该值是固定的),这个初始序列与信息的第一组512位进行运算,得到一个结果...
MD5加密及Hash长度拓展攻击【通俗易懂】
weixin_30648963的博客
01-24 951
先放一个简单点的利用了Hash长度拓展攻击的题目 if($COOKIE["getmein"] === md5($secret . urldecode($username . $password))) { echo "Congratulations! You are a registered user.\n"; die ("The flag is ". $flag)...
hash_extender
04-13
Ron Bowes的哈希扩展器 这将是上的博客文章。 现在,这是一个自述文件。 介绍 您可以在上获取hash_extender工具! ,我的朋友和我在进行了旗大赛。 竞赛的级别之一要求我们执行哈希长度扩展攻击。 我当时甚至从未听说过这种攻击,经过一番阅读后,我意识到执行这种攻击不仅超级酷(从概念上说很简单!),而且完全缺少执行这种攻击的好工具! 在添加了错误数量的空字节或错误地添加了长度值后,我发誓要写一个工具,使自己和其他尝试这样做的人都容易做到这一点。 因此,经过几个星期的工作,就在这里! 现在,我要发布该工具,希望我不会完全怀念能做同样事情的好工具! 它称为hash_extender ,并对我能想到的每种算法实施长度扩展攻击MD4 MD5 RIPEMD-160 SHA-0 SHA-1 SHA-256 SHA-512 惠而浦 我很高兴将其扩展到其他哈希算法,只
哈希拓展长度攻击
m0_63321019的博客
05-08 1045
分块哈希计算进行加密时,通常是将明文信息以类似块密码的形式进行分组,对各个组块依次加密,每一块一般为512bit,也就是64bytes,每组的明文部分为56bytes,剩下的8bytes表示这块明文消息未填充前的长度填充在明文消息的最后一块一般是不满足56ytes时就对这个最后一块进行padding填充,填充至56bytes的位置,,填充方式为,在16进制下,我们需要在消息后添加一个80,然后加0,直至56bytes时变量计算。
浅析哈希长度拓展攻击
JBlock的博客
11-04 2311
Hash一般译作散列,也有直接音译做哈希,本文就直接音译吧,哈哈!所谓散列算法就是,把任意长度的输入,经过复杂的运算,转化为固定长度的输出。简单来说,就是把任意长度的字节压缩为固定长度的函数。 攻击条件: 1.知道密文(SECRET)的哈希。 2.知道密文的长度。原理:当知道MD5(secret)时,在不知道secret的情况下,可以轻松推算出MD5(secret||padding||m’
哈希长度扩展攻击
weixin_42444939的博客
09-12 658
Hash Length Extension Attack (MD5) MD5加密原理 MD5算法会对明文进行分组,每组长度64bytes,不足64bytes的组进行padding补齐 padding规则:将明文先用\x80和若干个\x00补齐至长度56模64同余,最后8个bytes再用原明文长度信息补齐(注意长度信息单位为bit) 栗子:md5(admin) ‘admin’ equals...
Hash长度扩展攻击
小龙在线
10-14 755
<?php error_reporting(0); $flag=file_get_contents('/flag'); if(isset($_GET["md5"]) && isset($_GET["i"]) && isset($_GET["s"])){ $fl4g = substr_replace($flag, $_GET["s"], $_GET["i"], 1); echo $_GET["md5"] === md5($fl4g); }else{
密码MD5比较绕过和urldecode二次绕过
giun的博客
04-18 1276
<?php //配置数据库 if($_POST[user] && $_POST[pass]) { $conn = mysql_connect("********, "*****", "********"); mysql_select_db("phpformysql") or die("Could not select database"); if (...
Python 破解 MD5 暗号
CXY00000的博客
09-13 1602
Python 破解 MD5 暗号
Hackinglab(鹰眼)——解密关
计算机硕士的博客
06-18 861
Hackinglab(鹰眼)——解密关(详细版),包括了做题思路和详细步骤。 以管理员身份登录系统、邂逅对门的妹纸、万恶的Cisco、万恶的加密、异常数据、md5真的能碰撞嘛、小明爱上了一个搞硬件的小姑凉、有签名限制的读取任意文件、美丽的邂逅与密码器的开门密码
hash 长度扩展攻击
12-27
### 哈希长度扩展攻击概述 哈希函数通常用于验证数据完整性,但在某些情况下,这些函数可能存在安全弱点。当使用带有密钥的哈希函数时,如果实现不当,则可能发生哈希长度扩展攻击。 #### 攻击原理 哈希长度扩展攻击利用了特定类型的加密散列算法(如MD5, SHA-1等)的一个特性:它们允许在不知道原始消息的情况下计算更长的消息摘要。具体来说,在许多基于Merkle-Damgård结构构建的哈希函数中,内部状态可以直接从最终输出推断出来[^3]。因此,假设有一个已知的有效认证码H(K||m),其中K表示未知的秘密前缀,m代表明文部分;那么攻击者可以在不泄露K的前提下附加额外的数据e到原消息后面形成新的有效签名H'(K||(m||pad)||e)。这里pad是指填充位以满足特定分组大小的要求[^4]。 ```python import hashlib def extend_message(message, secret_length): # 创建一个SHA-1对象并初始化为给定长度的秘密后的状态 sha1 = hashlib.sha1() # 添加秘密长度对应的初始向量(IV) iv = b'\x00' * (secret_length % 64) + \ bytes([0x80]) + \ b'\x00' * ((56 - (secret_length + 1) % 64) % 64) + \ int.to_bytes((secret_length + message_len)*8, length=8, byteorder='big') sha1.update(iv) return sha1.hexdigest() # 使用示例 message = "original-message".encode('utf-8') extended_hash = extend_message(message, secret_key_length=16) print(f"Extended Hash: {extended_hash}") ``` #### 防御措施 为了避免遭受此类攻击的影响,建议采取以下几种策略: - **采用抗长度扩展设计** 的MAC方案,比如 HMAC 或 KMAC 。这类机制通过两次调用基础哈希函数来增强安全性,使得即使知道了一个合法标签也无法轻易伪造另一个不同输入下的标签[^5]。 - 对于Web应用程序而言,应该始终确保API端点不会接受用户控制的数据作为文件名或其他路径组件的一部分,并且要严格校验所有来自客户端提交的内容格式合法性以及范围合理性。 - 实施严格的请求参数过滤规则和服务端逻辑审查流程,防止潜在危险字符进入系统处理环节之前就被截获和清理掉。 #### 案例研究 历史上确实存在因未能充分考虑此风险而导致的安全事件。例如,在2012年发生的针对GitHub API接口的一次著名攻击中,黑客成功利用了RESTful风格URL中的ID字段可预测性和默认启用的GET方法幂等性的特点实施了哈希长度扩展攻击。他们能够绕过身份验证检查获取私有仓库信息,直到官方团队修复漏洞为止[^6]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值