学习分享 | Flipped Ciphertext Bits
0x00前言
这次蓝盾杯线上赛遇到了一题类似于NJCTF的CBC翻转攻击的题目,不过题目被改简单了,省去了最开始的Padding Oracle攻击部分,直接给出了初始字符串。
0x01正文
源码如下:
```php
<?php
error_reporting(0);
define("METHOD", "aes-128-cbc");
define("SECRET_KEY", "XXXXX");
$flag = "flag{...}";
session_start();
function get_random_token(){
$random_token='';
for($i=0;$i<16;$i++){
$random_token.=chr(rand(1,255));
}
return $random_token;
}
function get_identity()
{
$defaultID = "heheda";
$token = get_random_token();
$_SESSION['id'] = base64_encode(openssl_encrypt($defaultID, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $token));
setcookie("token", base64_encode($token));
$_SESSION['isadmin'] = false;
}
function is_admin()
{
if(isset($_SESSION['id'])){
$token = base64_decode($_COOKIE['token']);
if($id = openssl_decrypt(base64_decode($_SESSION['id']), METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $token)){
if($id == "admin")
$_SESSION['isadmin'] = true;
} else {
die("Error!");
}
}
}
if(!isset($_SESSION['id']))
get_identity();
else {
is_admin();
if ($_SESSION["isadmin"]){
echo "You are admin!n";
die($flag);
}else
echo "You are not admin!n";
}
?>
```
先上脚本
```python
import base64 as b64
import binascii
import requests
source_str = 'heheda' + 10 * 'x0a'
target_srt = 'admin' + 11 * 'x0b'
token = 'ooeOFlWe26ZCTl8nVzCd2Q==' #你获得的初始IV的base64encode值
token = list(b64.b64decode(token))
# token[0] = chr(ord('h') ^ ord('a') ^ ord(token[0]))
# print token
# exit()
for x in xrange(0,len(target_srt)):
token[x] = chr(ord(token[x]) ^ ord(target_srt[x]) ^ ord(source_str[x]))
print b64.b64encode(''.join(token))
```
这里我们可控的只有解密的初始向量IV 下面是介绍这个加密方法的原理:
-------
0x02背景知识
## 加密过程
![加密过程](http://upload-images.jianshu.io/upload_images/6949366-5e79b4a4e6495c2d.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
- 首先将明文分成每X位一组,位数不足的是用特殊 字符填充 !!!!!!! X常见的为16位,也有32位 这里要注意,CBC的填充规则是缺少N位,就用 N 个 'xN'填充,如缺少10位则用 10 个 'x10'填充
- 然后生成初始向量IV(这里的初始向量如果未特定给出则随机生成)和密钥
- 将初始向量与第一组明文异或生成密文A
- 用密钥加密密文A 得到密文A_1
- 重复3 将密文A_1与第二组明文异或生成密文B
- 重复4 用密钥加密密文B_1
- 重复3-6 直到最后一组明文
- 将IV和加密后的密文拼接在一起,得到最终的密文
## 解密过程
![解密过程](http://upload-images.jianshu.io/upload_images/6949366-d69c0869465af6de.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
- 首先从最终的密文中提取出IV (IV为加密时指定的X位
- 将密文分组
- 使用密钥对第一组密文解密得到密文A,然后用IV进行异或得到第一组明文
- 使用密钥对第二组密文解密得到密文B,然后用A与B进行异或得到第二组明文
- 重复3-4 直到最后一组密文
------
0x03攻击过程
所以根据以上过程,攻击点有两个,一个是初始向量IV,第二个是第N-1个密文。题目利用的是IV攻击的点
根据解密过程,假设A为明文,B为前一组密文,C为密文经过密钥解密之后的字符串:
```php
$A = Plaintext[0] = 11 ;
$B = Ciphertext[0] = 13 ;
$C = Decrypt(Ciphertext)[0] = 6 ;
```
解密过程中我们是用 C与B 异或得到A, 即 ```C ^ B = A```
题目这里只需要我们更改第一组明文的信息,所以我们只需要简单更改IV即可,
即有以下过程:
```php
$A = Plaintext[0] = 'h' ;
$B = IV[0] = 可控;
$C = Decrypt(Ciphertext)[0] = ?;
//所以我们需要伪造一个新的IV向量,使得$C ^ New_IV = 我们需要的明文
//因为有
$C ^ Old_IV = Source_str
//所以
$C = Old_IV ^ Source_str
//并且我们还需要
$C ^ New_IV = Target_str
//即
$C = New_IV ^ Target_str
//所以
Old_IV ^ Source_str = New_IV ^ Target_str
//所以
New_IV = Old_IV ^ Source_str ^ Target_str
```
--------
下面是密文攻击的点
假如已知异或之后的第N-1组密文(Decrypt之后的密文),我们就可以通过字节翻转改变第N组明文
数学原理和前面一种攻击点类似
下面假设我们要更改第3组明文$Old_pt[1]为第2组明文,$Old_ct[1]为第2组密文,$Old_ct[2]为第3组密文
```php
$Plaintext = [
'comment1=wowsuch',
'%20CBC;userdata=',
'*admin=true;come',
'nt2=%20suchsafe%',
'20very%20encrypt',
'wowww'
];//我们要使$Plaintext[2]中的*变成;
//密文全部已知并可控
$Old_pt[1] = Plaintext[1] = '%20CBC;userdata=';
$Old_ct[1] = Decrypt(Ciphertext)[1] = 已知 并且我们攻击的点在这;
$Old_ct[2] = Decrypt(Ciphertext)[2] = 已知;
//所以我们需要伪造一个新的第2组密文,使得$Old_ct[2] ^ $New_ct[1] = 我们需要的明文
//因为有
$Old_ct[1] ^ $Old_ct[2] = $Old_pt[2];
//所以
$Old_ct[2] = $Old_ct[1] ^ $Old_pt[2];
//并且还已知
$New_ct[1] ^ $Old_ct[2] = $New_pt[2];
//即
$Old_ct[2] = $New_ct[1] ^ $New_pt[2];
//所以
$Old_ct[1] ^ $Old_pt[2] = $New_ct[1] ^ $New_pt[2];
//所以
$New_ct[1] = $Old_ct[1] ^ $Old_pt[2] ^ $New_pt[2];
```
--------
0x04数学背景
```php
$C ^ $C = 0; // <====一式 (任何数和自己异或都为0)
//又因为
$A = $B ^ $C;
//所以有
$C = $A ^ $B;
//所以一式又可以写成
$A ^ $B ^ $C = 0;
//又因为任何数和0异或都为自身,所以有
$A ^ $B ^ $C ^ 3 = 3;
```
-----
0x05参考文章 :
[http://www.ifuryst.com/archives/CBC_bitflipping_attacks.html]
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- Android实现底部缓慢弹出菜单
- Ubuntu20的tzselect设置时间失效的问题,树莓派服务器(推荐)
- 安装Ubuntu 20.04后要做的事(小白教程)
- Ubuntu20.04安装Python3的虚拟环境教程详解
- Android编程实现播放视频时切换全屏并隐藏状态栏的方法
- Android UI设计与开发之仿人人网V5.9.2最新版引导界面
- PopupWindow使用方法详解
- Android 中cookie的处理详解
- Android UI设计与开发之ViewPager仿微信引导界面以及动画效果
- Android UI设计与开发之ViewPager介绍和简单实现引导界面
- Android RollPagerView实现轮播图
- Android UI设计与开发之使用ViewPager实现欢迎引导页面
- Android ListView里控件添加监听方法的实例详解
- Android实现底部图片选择Dialog
- AndroidImageSlider实现炫酷轮播广告效果