众所周知,在做消息认证或者签名时,仅使用hash函数安全性是不高的,容易遭受字典和暴力破解(https://www.cmd5.com/)。所以通常会使用带密钥或加盐的哈希算法作为消息认证或者口令存储,正如标题所说,我们在检索互联网上关于加盐的实现时,内容往往都是在明文后面加上随机值:
那做消息认证的密钥或者盐可不可以加在明文前面呢?
这就引出本文的攻击方式。
为了清楚这个攻击方式原理,需要先了解下md5的计算逻辑。
md5算法本质上是一种压缩算法,将长度小于2^64bit的任意字符压缩成128bit固定长度字符。同AES之类的分组加密算法一样,md5也需要进行分组计算。
如图所示,md5的计算需要经过两个步骤:
首先会对明文按照512bit的长度进行分组,最后一个分组可能会发生长度不足512bit,或者刚刚512bit。
无论最后一个分组的长度是否刚好等于512bit,按照填充规则都需要进行填充,具体细节:
8*8=64bit 按照小端存储放入原始明文的长度,分组中间剩余的bit 按照10000000的方式进行填充,形成一个总长512bit的新分组。512-8*8 =448 bit 则需要继续填充10000(0x80000.....)至下一个分组的448bit,剩余的bit按照小端存储填充原始明文长度10000(0x80000.....)以上两个步骤用代码表示即为:
m_l = len(message) # 原始消息长度
length = struct.pack('<Q', (m_l) * 8) # 长度转化为小端 unsigned long long 8B
blank_padding = b""
message += b'\x80' # 10000000
# 此分组不足以填充长度时
if 56 < len(message) < 64:
blank_padding += b'\x00' * (56 + 64 - len(message)) # 填充至下一个分组
# 分组能填充长度
else:
blank_padding = b'\x00' * (56 - len(message) % 64) # 本分组填充
if len(blank_padding) > 0:
# 填充10000
message += blank_padding
# 填充长度
message += length
其实具体的计算过程,我们不用关注,把这个过程当做一个黑盒(关注细节的可以关注文末github地址)就可以:
在上一步分组的基础上,第一组的分组的明文会和128bit的初始序列(幻数)做为输入进行压缩计算,初始序列是一组固定的值:
计算后会产生新的序列,做为下一组的“初始序列”和下一组的明文再次进行压缩计算,接下来的分组重复这种“上一组的输出作为下一组的输入”,最后一组的128bit输出即为最终的md5值。
了解了md5的计算逻辑,再回到这张图,上一次的的输出作为下一次的输入这种方式可能会导致一个问题。假设存在明文分组abc,明文分组产生md5的过程可以简化为:
在这个过程当中,如果密钥被放在a分组当中,bc为原消息认证的明文,那攻击者可以在不知道密钥的情况下,扩展明文长度,如增加明文d,计算abcd的hash,只需要知道基于abc的hash值,即可生成新的hash。
即:h.abcd = md5(h.abc,d)
这个过程即为hash长度扩展攻击。
接下来我们根据实际的例子来实操下
假设存在一个商城订单支付场景,订单的确认是通过前端参数给出,存在一个逻辑漏洞可以通过前端参数来控制商品价格,从而实现“零元购”或者越权购买。
正常情况下进行购买,因为默认此用户只有300积分,所以会购买失败:
但如果进行参数价格good_price修改,会因为签名校验不通过:
所以需要进行签名破解,先看下后端验证的逻辑:
<?php
$total_score = 300;
$flag = 'xxxxxxxxxxxx';
$secret_key = "??????????????????????????????????????"; // 前端未知
$post_data =urldecode(file_get_contents("php://input"));
$user_sign = $_GET['signature'];
$sign = md5($secret_key.$post_data);
if ($user_sign === $sign) {
$price = $_POST['good_price'];
if ($price > $total_score){
echo '对不起,您的积分余额不足,交易失败!';
}else{
echo "恭喜,购买成功!$flag";
}
}else{
echo '签名数据被篡改!';
}
?>
后端存在一个签名逻辑,会验证用户的post参数加上密钥的md5值,如果用户修改了post参数,但因为不知道密钥也就没发生成合法的md5,所以验证会不通过。
如果没有了解过哈希长度扩展攻击,这个代码是没啥问题的,所以知识面决定攻击面。
而且这个地方密钥被放在了明文前面拼接,针对哈希长度扩展攻击,利用起来还挺简单的,可以使用现成的工具,比如hashpump,按照提示输入内容即可:
最后的明文中十六进制部分需要url编码,但因为hashpump需要编译,在win平台编译比较麻烦,所以我自己实现了一个md5版本的利用工具(https://github.com/shellfeel/hash-ext-attack)
最后把得到的结果粘贴到burp,成功购买。
文章分析了下md5的计算逻辑,以及哈希长度扩展的攻击原理,对于此类攻击的修复,其实很简单只需要把密钥由加在明文前面改为明文后面,或者使用标准的hmac算法,hmac算法里面会用密钥和明文做移位异或操作,从而增强hash的安全性,本文是以md5为例,其实对于有着类似M-D结果的hash算法都是可以这样利用的,比如sha-0,sha-1,sha-2 等。
欢迎大家关注我的公众号,这里有干货满满的硬核安全知识,和我一起学起来吧!
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
我有一个模型:classItem项目有一个属性“商店”基于存储的值,我希望Item对象对特定方法具有不同的行为。Rails中是否有针对此的通用设计模式?如果方法中没有大的if-else语句,这是如何干净利落地完成的? 最佳答案 通常通过Single-TableInheritance. 关于ruby-on-rails-Rails-子类化模型的设计模式是什么?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.co
我正在使用的第三方API的文档状态:"[O]urAPIonlyacceptspaddedBase64encodedstrings."什么是“填充的Base64编码字符串”以及如何在Ruby中生成它们。下面的代码是我第一次尝试创建转换为Base64的JSON格式数据。xa=Base64.encode64(a.to_json) 最佳答案 他们说的padding其实就是Base64本身的一部分。它是末尾的“=”和“==”。Base64将3个字节的数据包编码为4个编码字符。所以如果你的输入数据有长度n和n%3=1=>"=="末尾用于填充n%
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
为什么4.1%2返回0.0999999999999996?但是4.2%2==0.2。 最佳答案 参见此处:WhatEveryProgrammerShouldKnowAboutFloating-PointArithmetic实数是无限的。计算机使用的位数有限(今天是32位、64位)。因此计算机进行的浮点运算不能代表所有的实数。0.1是这些数字之一。请注意,这不是与Ruby相关的问题,而是与所有编程语言相关的问题,因为它来自计算机表示实数的方式。 关于ruby-为什么4.1%2使用Ruby返
它不等于主线程的binding,这个toplevel作用域是什么?此作用域与主线程中的binding有何不同?>ruby-e'putsTOPLEVEL_BINDING===binding'false 最佳答案 事实是,TOPLEVEL_BINDING始终引用Binding的预定义全局实例,而Kernel#binding创建的新实例>Binding每次封装当前执行上下文。在顶层,它们都包含相同的绑定(bind),但它们不是同一个对象,您无法使用==或===测试它们的绑定(bind)相等性。putsTOPLEVEL_BINDINGput
我可以得到Infinity和NaNn=9.0/0#=>Infinityn.class#=>Floatm=0/0.0#=>NaNm.class#=>Float但是当我想直接访问Infinity或NaN时:Infinity#=>uninitializedconstantInfinity(NameError)NaN#=>uninitializedconstantNaN(NameError)什么是Infinity和NaN?它们是对象、关键字还是其他东西? 最佳答案 您看到打印为Infinity和NaN的只是Float类的两个特殊实例的字符串
如果您尝试在Ruby中的nil对象上调用方法,则会出现NoMethodError异常并显示消息:"undefinedmethod‘...’fornil:NilClass"然而,有一个tryRails中的方法,如果它被发送到一个nil对象,它只返回nil:require'rubygems'require'active_support/all'nil.try(:nonexisting_method)#noNoMethodErrorexceptionanymore那么try如何在内部工作以防止该异常? 最佳答案 像Ruby中的所有其他对象
关闭。这个问题需要detailsorclarity.它目前不接受答案。想改进这个问题吗?通过editingthispost添加细节并澄清问题.关闭8年前。Improvethisquestion为什么SecureRandom.uuid创建一个唯一的字符串?SecureRandom.uuid#=>"35cb4e30-54e1-49f9-b5ce-4134799eb2c0"SecureRandom.uuid方法创建的字符串从不重复?
我有一个这样的哈希数组:[{:foo=>2,:date=>Sat,01Sep2014},{:foo2=>2,:date=>Sat,02Sep2014},{:foo3=>3,:date=>Sat,01Sep2014},{:foo4=>4,:date=>Sat,03Sep2014},{:foo5=>5,:date=>Sat,02Sep2014}]如果:date相同,我想合并哈希值。我对上面数组的期望是:[{:foo=>2,:foo3=>3,:date=>Sat,01Sep2014},{:foo2=>2,:foo5=>5:date=>Sat,02Sep2014},{:foo4=>4,:dat