机窝安全--Web狗要懂的CBC翻转字节攻击(Flipped Ciphertext Bits)

这次蓝盾杯线上赛遇到了一题类似于NJCTF的CBC翻转攻击的题目，不过题目被改简单了，省去了最开始的Padding Oracle攻击部分，直接给出了初始字符串。[出自:jiwo.org]
源码如下：

<?php error_reporting(0); define("METHOD", "aes-128-cbc"); define("SECRET_KEY", "XXXXX"); $flag = "flag{...}"; session_start(); function get_random_token(){ $random_token=''; for($i=0;$i<16;$i++){ $random_token.=chr(rand(1,255)); } return $random_token; } function get_identity() { $defaultID = "heheda"; $token = get_random_token(); $_SESSION['id'] = base64_encode(openssl_encrypt($defaultID, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $token)); setcookie("token", base64_encode($token)); $_SESSION['isadmin'] = false; } function is_admin() { if(isset($_SESSION['id'])){ $token = base64_decode($_COOKIE['token']); if($id = openssl_decrypt(base64_decode($_SESSION['id']), METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $token)){ if($id == "admin") $_SESSION['isadmin'] = true; } else { die("Error!"); } } } if(!isset($_SESSION['id'])) get_identity(); else { is_admin(); if ($_SESSION["isadmin"]){ echo "You are admin!\n"; die($flag); }else echo "You are not admin!\n"; } ?>

先上脚本

import base64 as b64 import binascii import requests

source_str = 'heheda' + 10 * '\x0a' target_srt = 'admin' + 11 * '\x0b' token = 'ooeOFlWe26ZCTl8nVzCd2Q==' #你获得的初始IV的base64encode值 token = list(b64.b64decode(token)) # token[0] = chr(ord('h') ^ ord('a') ^ ord(token[0])) # print token # exit() for x in xrange(0,len(target_srt)): token[x] = chr(ord(token[x]) ^ ord(target_srt[x]) ^ ord(source_str[x])) print b64.b64encode(''.join(token))

这里我们可控的只有解密的初始向量IV 下面是介绍这个加密方法的原理：

加密过程

首先将明文分成每X位一组，位数不足的是用特殊字符填充！！！！！！！
X常见的为16位，也有32位
这里要注意，CBC的填充规则是缺少N位，就用 N 个 '\xN'填充，如缺少10位则用 10 个 '\x10'填充
然后生成初始向量IV(这里的初始向量如果未特定给出则随机生成)和密钥
将初始向量与第一组明文异或生成密文A
用密钥加密密文A 得到密文A_1
重复3 将密文A_1与第二组明文异或生成密文B
重复4 用密钥加密密文B_1
重复3-6 直到最后一组明文
将IV和加密后的密文拼接在一起，得到最终的密文

解密过程

首先从最终的密文中提取出IV (IV为加密时指定的X位)
将密文分组
使用密钥对第一组密文解密得到密文A，然后用IV进行异或得到第一组明文
使用密钥对第二组密文解密得到密文B，然后用A与B进行异或得到第二组明文
重复3-4 直到最后一组密文

所以根据以上过程，攻击点有两个，一个是初始向量IV，第二个是第N-1个密文。题目利用的是IV攻击的点

下面是攻击过程：
根据解密过程，假设A为明文，B为前一组密文，C为密文经过密钥解密之后的字符串：

$A = Plaintext[0] = 11 ; $B = Ciphertext[0] = 13 ; $C = Decrypt(Ciphertext)[0] = 6 ;

解密过程中我们是用 C与B 异或得到A，即C ^ B = A

题目这里只需要我们更改第一组明文的信息，所以我们只需要简单更改IV即可，
即有以下过程：

$A = Plaintext[0] = 'h' ; $B = IV[0] = 可控; $C = Decrypt(Ciphertext)[0] = ?; //所以我们需要伪造一个新的IV向量，使得$C ^ New_IV = 我们需要的明文 //因为有  $C ^ Old_IV = Source_str //所以 $C = Old_IV ^ Source_str //并且我们还需要 $C ^ New_IV = Target_str //即 $C = New_IV ^ Target_str //所以 Old_IV ^ Source_str = New_IV ^ Target_str //所以 New_IV = Old_IV ^ Source_str ^ Target_str

下面是密文攻击的点

假如已知异或之后的第N-1组密文(Decrypt之后的密文)，我们就可以通过字节翻转改变第N组明文

数学原理和前面一种攻击点类似

下面假设我们要更改第3组明文$Old_pt[1]为第2组明文，$Old_ct[1]为第2组密文，$Old_ct[2]为第3组密文

$Plaintext = [ 'comment1=wowsuch', '%20CBC;userdata=', '*admin=true;come', 'nt2=%20suchsafe%', '20very%20encrypt', 'wowww' ];//我们要使$Plaintext[2]中的*变成; //密文全部已知并可控 $Old_pt[1] = Plaintext[1] = '%20CBC;userdata='; $Old_ct[1] = Decrypt(Ciphertext)[1] = 已知 并且我们攻击的点在这; $Old_ct[2] = Decrypt(Ciphertext)[2] = 已知; //所以我们需要伪造一个新的第2组密文，使得$Old_ct[2] ^ $New_ct[1] = 我们需要的明文 //因为有  $Old_ct[1] ^ $Old_ct[2] = $Old_pt[2]; //所以 $Old_ct[2] = $Old_ct[1] ^ $Old_pt[2]; //并且还已知 $New_ct[1] ^ $Old_ct[2] = $New_pt[2]; //即 $Old_ct[2] = $New_ct[1] ^ $New_pt[2]; //所以 $Old_ct[1] ^ $Old_pt[2] = $New_ct[1] ^ $New_pt[2]; //所以 $New_ct[1] = $Old_ct[1] ^ $Old_pt[2] ^ $New_pt[2];

暂时不知道有啥特别用处的数学背景

$C ^ $C = 0; // <====一式 （任何数和自己异或都为0） //又因为 $A = $B ^ $C; //所以有 $C = $A ^ $B; //所以一式又可以写成 $A ^ $B ^ $C = 0; //又因为任何数和0异或都为自身，所以有 $A ^ $B ^ $C ^ 3 = 3;

加密过程

解密过程

评论

发表评论


顶	踩