哈希长度拓展攻击

已于 2022-06-09 10:19:48 修改
阅读量1.9k 收藏 7
点赞数 5
CC 4.0 BY-SA版权
分类专栏: Web安全 文章标签: 学习随笔 CTF hash长度扩展攻击 ISCC
于 2018-05-14 22:11:31 首次发布
本文为博主原创文章,转载请注明文章出处链接
本文链接:https://blog.youkuaiyun.com/weixin_41185953/article/details/80316129

哈希长度拓展攻击

五一假期在干嘛?相信有很多小伙伴(其实是大表哥)开始了ISCC之旅,不知道为了在这个“动态分数”机制环境下得到更多的分数,大家的肝还好不好呢?

信息安全与对抗技术竞赛(ISCC:Information Security and Countermeasures Contest),于2004年首次举办,是教育部、工业和信息化部主办的第一个国家级信息安全技术竞赛,初入茅庐的我(小菜鸟)也去水了水,苦战许久,开始总结与学习,于是就写这篇文章,第一次写博客,不足之处很多,希望大表哥们纠正。

 

在做题的时候,有一道题很有趣,web250的hash长度拓展攻击,这个方法原理不难,在几年前已经出现了,2009年,Thai Duong 与 Juliano Rizzo发布了ASP.NETpadding oracle攻击,同时还写了一篇关于Flickr API签名可伪造的paperFlickr API签名这个漏洞,实际上用的是MD5 Length Extension Attack,钻研了一个多星期的各位大表哥写的文章以及hash加密的具体算法,我想谈谈自己理解,并且分享一份自己写的利用代码。

首先先看一张图片

这有一幅图,感觉能把核心思路与过程充分地体现出来,不过在此之前我们应该了解MD5加密的大体步骤:填充与使用上一次计算出来的幻值进行四轮运算。

我们输入一个需要加密的字符的时候,该算法会对字符串进行分组,每448位(bit)也就是56字节一组,当不足448位时需要进行补充,我们先说一下448位的来源。

每一个进行四轮运算的字符串,长度为64字节也就是512位,其中有8个字节是记录信息的长度(长度的意思是信息是多少二进制位),那么容纳信息的就只要56字节。假设我们对一个10个字节(80bit)的字符串A进行填充至64字节

第一步,需要查看该信息是否小于等于56字节,即length(A)%64<=56?这里单位是以字节为单位。

第二步,对不足56字节的字符串进行填充,那么对A来说需要填充46字节,规定第一个字节必须填充%80,其余的填充%00,那么A填充的内容为:

%80%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00

这里面有45个%00

填充完毕。

随后我们需要填充摘要信息,也是信息的长度,A有10字节,也就是80bit,换算成16进制为0x50,那么后面需要填充的8个字节为:

%50%00%00%00%00%00%00%00

为什么不是%00%00%00%00%00%00%00%50呢?

因为MD5是小端存储,也就是低地址存储高位字节。

对于小端储存,比如0x1234=>34120000(假设32位储存长度)。

至此我们需要处理的64位数据已经构造成功,这时候需要上一次MD5运算得到的ABCD来作为本次MD5运算的初始序列ABCD。

在这里我们解释一下初始序列,对于第一次运算来说会默认四个32位初始序列

A=0x01234567

B=0x89abcdef

C=0xfedcba98

D=0x7654321

它们被称为链接变量

将上面四个变量分别赋值到a,b,c,d变量中

然后进行主循环(四轮),每一轮都很相似。第一轮进行16次操作。每次操作对a,b,c和d中的其中三个作一次非线性函数运算,然后将所得结果加上第四个变量,文本的一个子分组和一个常数。再将所得结果向右环移一个不定的数,并加上a,b,c或d中之一。最后用该结果取代a,b,c或d中之一。这样新的链接变量诞生了,如果还需要进行加密,那么就作为下一次加密的初始序列,如果结束的话,那么就把a,b,c,d连接在一块。

理论说完了,我们来看一下题目:

题目直接给了源代码,简单的审计题目比较容易做

我们我们可以知道,如果enc($username) === $_COOKIE['verify']那么就setcookieveriftymd5($key+'guest')可以知道未知的secret$key,而且我们从下一语句可以知道,$keylengthsetcookie("len"strlen($key), time()+60*60*24*7);

因此这个题目已经分析出来了

已知的是:$key的length

md5($key+'guest')

$username里要有admin

那么第一步上bp抓包找一下需要的数据

可以发现 verify=78cfc57d983b4a17e55828c001a3e781 len=46

使用hashpump

我们把

payload:guest%80%00%00%00%00%98%01%00%00%00%00%00%00admin

verify5f585093a7fe86971766c3d25c43d0eb

进行repeater

成功拿到flag

对于hash长度拓展攻击,挺感兴趣的,之后看了很多资料,按着自己的理解写了一个脚本,虽然写出来了,对md5加密的算法理解了,但是不知道在md5四轮运算中,参与运算的固定的16进制为什么是这几个,还是应该好好研究。

对于这个的用法,我简单的说一下

python expliot.py 作为初始序列的md5值 最为第二轮md5运算的字符 上一次的md5运算前的padding的时候%80前面字符串的二进制位数

推荐一篇很棒的文章 Everything you need to know about hash length extension attacks » SkullSecurity

HASH长度扩展攻击
Noobi的博客
09-29 1610
HASH长度扩展攻击 场景: 当用户向服务端取文件时,服务端会进行验证,给出salt值(用于验证,客户端无从得知,并且需要salt值才能够拿到文件),并进行hsh=sha1(salt+filename)的运算。现通过工具拿到hash即hsh值,并得知filename。 求salt值。 原理: 当服务器进行sha1运算前,会判断字符串(slat+filename)的长度,并将整段字符串分割成64bytes一组。之后进行hash生成。 首先,当hash函数拿到需要被hash的字符串后,先将其字节长度整除64,取
BUUCTF:[De1CTF 2019]SSRF Me ------(代码审计&&哈希拓展长度攻击&&代码审计明白之后的另一种方法)
Zero_Adam的博客
02-15 589
目录:一、不足:二、注意事项三、看WP:1. 哈希拓展长度攻击2.字符串拼接 一、不足: 真·什么也不会。。 代码审计吧,,不会代码审计, 对python很不了解,,,刚看代码的时候,真的没有一句能够看懂的。。不行就以后看看少用burp,多用pyt脚本练练python看看, 代码审计拉得很,,, 二、注意事项 盐的长度,通常不会是题目所给的盐的长度,这点要注意。 三、看WP: 1. 哈希拓展长度攻击 啥啊这是,,是个python的flask。但是怎么看啊这,,, #! /usr/bin/env
哈希拓展长度攻击
m0_63321019的博客
05-08 1045
分块哈希计算进行加密时,通常是将明文信息以类似块密码的形式进行分组,对各个组块依次加密,每一块一般为512bit,也就是64bytes,每组的明文部分为56bytes,剩下的8bytes表示这块明文消息未填充前的长度填充在明文消息的最后一块一般是不满足56ytes时就对这个最后一块进行padding填充,填充至56bytes的位置,,填充方式为,在16进制下,我们需要在消息后添加一个80,然后加0,直至56bytes时变量计算。
SM3长度扩展攻击-附代码(熵密杯2024初始谜题2)
最新发布
Draina的博客
07-11 1115
长度扩展攻击针对Merkle-Damgård结构的哈希函数(如SM3),利用其内部状态可重用的特性。当系统将密钥置于消息前直接哈希时(MAC=H(K∥M)),攻击者可通过已知M及其哈希值h,在填充后附加任意数据S,并利用h作为新IV值构造合法哈希H(K∥M∥填充∥S)。以熵密杯2024赛题为例,通过分析SM3填充机制和源码,展示了如何利用原counter值0x12345678及其哈希,构造包含伪造数据的新counter(0x12345678...99999999)及其对应哈希值,实现攻击验证。
哈希Hash长度扩展攻击
Yale的博客
03-22 9335
先来看一下md5算法的实现框图 以实现字符串abcde的md5的值的计算为例 切换到win 在winhex中打开并输入如下内容 2.对消息进行补位,使得位长mod512得值为448,即len(message) % 512 == 448(单位为bit)。补位的方式为二进制情况下数据后面加上1,然后多个0,直到满足上述等式,事实上10000000(B)=80(hex),所以体现在winhex中,...
Hash长度扩展攻击
小龙在线
10-14 755
<?php error_reporting(0); $flag=file_get_contents('/flag'); if(isset($_GET["md5"]) && isset($_GET["i"]) && isset($_GET["s"])){ $fl4g = substr_replace($flag, $_GET["s"], $_GET["i"], 1); echo $_GET["md5"] === md5($fl4g); }else{
hash长度扩展攻击
csjjjd的博客
12-24 1764
如果已知的MD5哈希值是"437a413ace6757019e0a0c5ead62c9f9",除非通过暴力破解法——即尝试大量可能的输入值并对每个值进行散列,直到找到与已知散列值匹配的输入,否则无法得知。接下来就可以直接得出flag,因为MD5是不可逆的,除非你已经知道了flag形式的MD5,还知道了flag的很多内容,只有几个字符不知道的那种(想想也知道不可能!第一个绕过就搞定了,这里由于就只要求中间的三个字母,因为已经知道了开头结尾,所以可以使用我的脚本进行爆破。-d --data来自已知消息的数据。
哈希拓展攻击CTF题做法
2301_76690905的博客
12-24 2167
kali下载相关工具hash-ext-attack:hash拓展题目特征:2023楚慧杯upload_shell实验吧之让我进去:前言:具体怎么加密解密补位的原理我不懂,深入理解的部分我在文末挂了链接,以下也只是我做题的结论和通解,可能不准确(但是做题还挺准确),有错误欢迎指出:是在密码加密过程中引入的一个随机值,它与密码结合使用,目的是增加密码的复杂性和安全性。在密码加密中,常见的做法是将用户提供的密码进行哈希处理,然后存储哈希值而不是明文密码
[De1ctf 2019]SSRF Me(哈希拓展攻击)
2301_76690905的博客
01-08 2044
在secret_key + param + action里,已知secert_key = os.urandom(16)(长度16),已知明文flag.txt(param)和scan(action),我们需要添加read。把flag.txt算进秘钥长度里,则秘钥长度为16+8,已知明文为scan,已知hash为8370a8f86a7a74b4053d1bc554a9d126,拓展明文为read,启动刚刚的脚本依次填入得到新明文和新hash
【区块链技术】md5 扩展长度攻击
jnwlhh的博客
09-21 8535
先做实验,再写原理 实验要求如下: 构造 secret = “secrete” data = " message" Hash = md5 append = “whatever” 的攻击串 登录测试代码如下:(老师给的代码是Python2的,我电脑上安装的是python3.x,所以对于unquote的导入和print的使用进行了一点适当修改) import hashlib import sys from urllib.parse import unquote def login(password,
哈希长度扩展攻击(hash lengthextensionattacks)转自(freebuf婷儿)
qq_45290991的博客
09-21 2725
*本文原创作者:婷儿小跟班✧,本文属FreeBuf原创奖励计划,未经许可禁止转载前言哈希长度扩展攻击(hash lengthextensionattacks)是指针对某些允许包含额外信息的加密散列函数的攻击手段。次攻击适用于MD5和SHA-1等基于Merkle–Damgård构造的算法。MD5扩展攻击介绍我们需要了解以下几点md5加密过程:MD5加密过程中512比特(64字节)为一组,属于分组加密,而且在运算的过程中,将512比特分为32bit*16块,分块运算关键利用的是MD5的填充,对加密的字符串进行填
Hash扩展长度攻击Hashdump的使用
ZXT02的博客
11-22 1153
Hash扩展长度攻击Hashdump的使用和相关CTF题目
hash扩展攻击
C_c9527的博客
09-04 1733
网上借鉴的一段介绍想象一下,有一个秘密盒子(哈希函数),这个盒子可以把任何东西(数据)变成一堆乱码(哈希值),而且这个过程是单向的,就是说你不能从乱码再变回原来的东西。通常,当你把一些东西放进这个盒子时,如果想要让盒子正常工作,你需要在东西的后面放些填充物,比如棉花。这个填充过程是按照一定的规则来的,比如先放一点特别的棉花,再放一些普通的棉花,最后放一点标记原来东西大小的棉花。
哈希扩展长度攻击_哈希长度扩展攻击
最佳 Java 编程
06-04 537
哈希扩展长度攻击 在这篇文章中,我将尽力避免夏季的低迷,而将重点放在比抱怨天气更有趣的事情上-哈希长度扩展攻击。 散列长度扩展攻击并不复杂也不复杂,说实话,这只是关于如何使用散列函数。 正如我以前的一篇文章中所讨论的那样,哈希函数有多种类型,但是这篇文章着重于加密哈希函数。 我们将不分析大多数当前加密哈希函数所基于的Merkle–Damgard构造的结构。 需要了解的事实如下: 哈希函...
哈希长度扩展攻击
jason_cuijiahui的博客
04-16 1020
简介 In short, the length-extension attack on one-way hash construction is that you can, given h(m) and len(m), you are able to compute h(m||pad(m)||m’) for any m’ (|| stands for concatenation), even i...
浅谈哈希长度扩展攻击
m0_68483928的博客
08-18 2063
我们首先需要了解一下Message Authentication codes (MACs) ,称为**消息验证码**,一般用于服务器验证消息的真实性。服务器把密钥和消息连接起来,用摘要算法获取摘要,对于*H*(*secret* + *data*)此类构造的散列函数,在密钥**长度****和数据已知**的情况下,通常可以使用哈希长度扩展攻击。 MD4、MD5、RIPEMD-160、SHA-0、SHA-1、SHA-256、SHA-512、WHIRLPOOL等基于Merkle–Damgård结构的摘要算法均
MD5加密工具类:下载与交流平台
MD5全称为Message-Digest Algorithm 5,是一种广泛使用的单向散列函数,其主要功能是将任意长度的输入(通常称为明文)通过特定的算法转换为固定长度的输出(称为哈希值或消息摘要),该过程是不可逆的,从而确保了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值