bugku-login4-CBC字节翻转攻击

CBC模式：Cipher Black Chaining mode（密码分组链接模式）

CBC模式进行加解密是都需要一个随机初始向量iv，在第一轮进行加解密是都需要与iv进行xor的。

 

 

1.加解密过程

0x01：加密过程如下图（来自《图解密码技术》一书）

　0x02：解密过程（来自《图解密码技术》一书）

CBC模式的加密过程主要分为这几步：

　　1. 将明文分为若干组（16个字节为一组），最后一组不足则用特殊字符填充

　　2.生成一个初始向量iv和密钥

　　3.用iv与第一组明文异或（iv只影响第一组生成的密文）

　　4. 然后再用前n组密文与后n+1组明文异或生成第n+1组密文，以次重复

　　5.最后将生成的密文拼接起来，就成了最终密文

 

CBC模式的解密过程主要分为这几步：

　　1.将密文分组

　　2.用iv与第一组密文xor，解密得到第一组明文

　　3.用第n组密文与第n+1组密文xor，解密得到第n+1组明文，以此类推

　　4.将各组的明文拼接在一起就是最终要得到的明文了

 

这里注意一下：解密的时候前一组密文只影响后一组明文的结果，而不会影响其他组明文的结果，由图也可看得出，这个也是进行攻击的重要之处。

 

2.CBC字节翻转攻击：

我们需要改变前一组密文的一个字节，然后与下一组的密文异或，我们就可以得到一个不同的明文了，从而就能达到攻击的效果。如图：

举个例子：

我现在有个明文序列：helloworld，现在我以它2个字节为一组进行分组（一般是16个字节为一组，但是这里为了方便起见就以2个字节为一组了）

第一组：he

第二组：ll

第三组：ow

第四组：or

第五组：ld

现在我想把第三组 “ow”中的o翻转为x，那么我们就需要改变第二组的密文从而改变第三的明文

phaintext="helloworld"

enc=encrypt(phaintext)

enc1=chr(ord(enc[5])^ord("o")^ord("x"))  #enc[5]即是与“o”相同比特位的密文，也就是说第三组只有"o"这个比特位受影响，而“w”不受影响

result=decrypt(enc1)

这里注意一下：任何字符与本身xor都是为0，任何字符与0xor都为本身，如A xor A=0，A xor 0=A

3.实战—bugku-login4

打开是一个登陆界面，随便输入一个账号密码就能登陆，但是admin不能登陆。

抓包发现，有个iv和cipher，猜测是CBC模式的加密

 

扫描一波发现有源码泄露

vim -r index.php.swp恢复后得到源代码，审计关键代码

这里对usernmae进行了检测只有admin才能看得到flag，但是admin又不允许登陆，这里看起来有点矛盾，但是我们再看看前面的代码，这个对登陆信息进行序列化然后用CBC模式的加密方式进行加密最后base64_encode，然后我们要做的是以admin的身份登陆，我们可以操作cookie中的iv和cipher进行CBC字节翻转攻击。

 

然后我们以账号为admia，密码为12345登陆

得到的明文是：a:2:{s:8:"username";s:5:"admia";s:8:"password";s:5:"12345"}

然后16个字节分组得到

s:2:{s:8:"userna

me";s:5:"admia";

s:8:"password";s

:3:"12345";}

所以我们要翻转的是第二组的“a”翻转为“n”，所以我们要改变第一组的密文从而达到攻击的效果

 代码如下

 

1 import base64
2 cipher="yQQeUDxlzRvPToe631KV1vcy8DyI4e0kz7Knb9K6GIH4yP8Q32kufQvWoD7oN3hzi2EpiBxx6t/7sfIH1pCExg=="
3 plain=base64.b64decode(cipher)
4 result=plain[0:13]+chr(ord(plain[13])^ord("n")^ord("a"))+plain[14:]
5 print base64.b64encode(result)
6 #print R0dGVia+fJ24Ei3t29NC90P5kRbHXnW+D690WNWHnATH3UHvC4h+btceizE5jotDgG0QZLa9LOdwSAg9LcsCdw==

 

 

 

　　POST过去提示不能正常反序列化，因为我们修改了第一组的密文，导致第一组的密文与iv xor会出错，从而导致了第一组明文不能正常解密，所以我们还要对iv进行修改

代码如下（由于我中途输入错了iv，所以代码中的iv和cipher和图中可能会不一样，但是思路是一样的）：

注意一下第二步不要修改cipher，只需要修改iv就行了，因为我两个图中的cipher是不一样的，所以我还是要说一下的，以免误人子弟

1 import base64
2 cipher="wRPT3VONV2zFV6D2PbHjIm1lIjtzOjU6ImFkbWluIjtzOjg6InBhc3N3b3JkIjtzOjU6IjEyMzQ1Ijt9"
3 plain=base64.b64decode(cipher)
4 oldiv=base64.b64decode("uxrq4TtskqrNJh7JUZV9rg==")
5 one='a:2:{s:8:"userna'
6 iv=""
7 for i in range(0,16):
8     iv=iv+chr(ord(one[i])^ord(plain[i])^ord(oldiv[i]))
9 print base64.b64encode(iv)#iv=GzMLBhOS//4yU8tMCVbw7Q==

将新的iv POST过去成功getflag

 

最后：写得不太好，若有师傅发现错误，望请斧正

转载于:https://www.cnblogs.com/Byqiyou/p/9707711.html

• 点赞
• 收藏
• 分享
• 文章举报

XL115715453 发布了0 篇原创文章 · 获赞 0 · 访问量 38 私信 关注