CTF-web Xman-2018 第二天 CBC加密简单介绍

Padding oracle attack

这是一个分块的加密算法，当前块的加密依靠前一个块的加密结果，形式如下图:

可以看出，为了满足当前与前一块的规则,它初始化了一个向量V，用于第一轮加密。

将分组的明文与上一组的密文进行计算得到该组的密文，继续做下一组的【V向量】（V就是指初始给的，这里这么多就是形象一下）。

我们需要提醒的是，对于分组过程中会出现数据长度不足的情况，那么我们为了补全，会进行如下的操作：

分组密码Block Cipher需要在加载前确保每个每组的长度都是分组长度的整数倍。一般情况下，明文的最后一个分组很有可能会出现长度不足分组的长度:

这个时候，普遍的做法是在最后一个分组后填充一个固定的值，这个值的大小为填充的字节总数。即假如最后还差3个字符，则填充0x03。

这种Padding原则遵循的是常见的PKCS#5标准。

 

那我们再看看解码，根据加密我们可知，解码就是反向的过程呗

第一组明文和V得到密文，然后密文作为第二组的V继续计算

第一组密文等于第一组明文和V，那么第一组明文就等于密文和V;第二组明文和第一组密文等于第二组密文，那么第二组明文=第一组密文和第二组密文。简单说就是根据第一个的密文解出来第一个明文，第一个密文还有用来解第二个密文，以此类推。

 

我们对其攻击的过程是从第一分块开始的，原理如下

函数（向量V⊕第一组明文 ）= 第一组密文     函数（第一组密文⊕第二组明文）=第二组密文

函数（函数（向量V⊕第一组明文）⊕第二组明文）= 第二组密文

以此类推我们可以知道实际上这就是一个嵌套的过程，那么实际上最后一组的输出与前面所有的组和V的每一位都是对应的，因为它们的长度完全是一样的。

那么回想一下，我们已经知道最后一组的填充是有固定格式的

对于后面的补充位，必须为固定的格式，而且关键的是，如果你给了错误的V和密文，解码出来的格式不对就会提醒你错误。关键的是，我们在实际情况中密文是可以获得的。

那么我们的思路就是在Padding Oracle Attack攻击中，控制参数V+Cipher密文，我们要通过对V的"穷举"来请求服务器端对我们指定的Cipher密文进行解密，并对返回的结果进行判断，原理就是解码后的填充字节错误。

回想我们之前说的这个Padding Oracle Attack攻击的成立条件:

当然我们是不知道中间处理函数是怎样的，但是服务器知道的，我们只需要猜测V就可以，因为我们知道最后输出的值是要满足一定条件的，不同的V肯定会影响到最后的输出，并且此时V值只有一种可能，那么我们就强行猜解。（看图，就可以明白）

（这里是转换的思想，我们虽然知道第一组的V，但是不知道中间的函数过程，转变一下思想，根据块分组规则推导出函数中间值，有理论基础的）

我们限分析一块的情况下

我们从最后一位开始，当只有最后一位扩充时，解密结果满足为0x01，我们测试0-255的所有可能字符，知道最后一块的解密为0x01，那么就不会提示错误了，对吧。测试V最后一个字节为0x66时成功了，那么我们根据流程可知中间值为V和解密的最后字节的异或，即0x66异或0x01=0x67 即为中间值。

然后猜倒数第二位，此时假设两位补充，即0x02 0x02 为了满足这个要求，为了满足假设最后一位中间值还是0x67,，我们对上一步V的最后一位更新为0x66 ^0x02=0x64。

**倒数第二位，得到0x70，在进行异或得到中间值的第二位0x70^0x02=0x72.

接下来，要继续对IV进行假设，同理，这次"选择密文攻击"的假设是Padding 0x03，对IV进行迭代更新，然后对IV的倒数第三个字节进行"穷举"循环探测。

Padding 0x03

Padding 0x04

Padding 0x05

Padding 0x06

Padding 0x07

Padding 0x08

最后得到了所有的中间值，与真实的V进行异或得到真的明文值。

如果是多块的话，我们将第一块的密文作为第二块的V，继续推导即可。