5.6 KiB
{% hint style="success" %}
AWS 해킹 학습 및 실습:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 학습 및 실습: HackTricks Training GCP Red Team Expert (GRTE)
HackTricks 지원
- 구독 요금제를 확인하세요!
- 💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
- HackTricks 및 HackTricks Cloud 깃허브 저장소에 PR을 제출하여 해킹 요령을 공유하세요.
CBC
만약 쿠키가 사용자 이름만을 포함하고 있고 사용자 이름을 "admin"으로 변조하고 싶다면, 사용자 이름을 **"bdmin"**으로 만들고 쿠키의 첫 번째 바이트를 bruteforce할 수 있습니다.
CBC-MAC
Cipher block chaining message authentication code (CBC-MAC)는 암호학에서 사용되는 방법입니다. 이 방법은 메시지를 블록 단위로 암호화하여 작동하며, 각 블록의 암호화는 이전 블록과 연결됩니다. 이 과정은 블록 체인을 생성하여 원본 메시지의 단 하나의 비트라도 변경되면 암호화된 데이터의 마지막 블록에 예측할 수 없는 변경이 발생하도록 합니다. 이러한 변경을 수행하거나 되돌리려면 암호화 키가 필요하여 보안을 보장합니다.
메시지 m의 CBC-MAC를 계산하려면 m을 초기화 벡터를 0으로 사용하여 CBC 모드로 암호화하고 마지막 블록을 유지합니다. 다음 그림은 비밀 키 k와 블록 암호 E를 사용하여 메시지의 CBC-MAC를 계산하는 과정을 스케치로 나타냅니다:
취약점
일반적으로 CBC-MAC에서 사용된 IV는 0입니다.
이것은 2개의 알려진 메시지(m1
및 m2
)가 독립적으로 2개의 서명(s1
및 s2
)을 생성할 수 있는 문제를 야기합니다. 따라서:
E(m1 XOR 0) = s1
E(m2 XOR 0) = s2
그런 다음 m1과 m2를 연결한 메시지(m3)는 2개의 서명(s31 및 s32)을 생성합니다:
E(m1 XOR 0) = s31 = s1
E(m2 XOR s1) = s32
암호화 키를 알지 못해도 이를 계산할 수 있습니다.
예를 들어, Administrator를 8바이트 블록으로 암호화하는 경우:
Administ
rator\00\00\00
Administ라는 사용자 이름(m1)을 만들고 서명(s1)을 검색할 수 있습니다.
그런 다음 rator\00\00\00 XOR s1
의 결과를 사용자 이름으로 하는 사용자를 만들 수 있습니다. 이렇게 하면 E(m2 XOR s1 XOR 0)
가 생성되어 s32가 됩니다.
이제 s32를 사용하여 전체 이름 Administrator의 서명으로 사용할 수 있습니다.
요약
- 사용자 이름 Administ의 서명(s1)을 가져옵니다.
- 사용자 이름 rator\x00\x00\x00 XOR s1 XOR 0의 서명(s32)을 가져옵니다.
- 쿠키를 s32로 설정하면 사용자 Administrator의 유효한 쿠키가 됩니다.
IV 제어 공격
사용된 IV를 제어할 수 있다면 공격은 매우 쉬워질 수 있습니다.
쿠키가 단순히 암호화된 사용자 이름인 경우 사용자 "administrator"를 위조하려면 사용자 "Administrator"를 만들어 해당 쿠키를 얻을 수 있습니다.
이제 IV를 제어할 수 있다면 IV의 첫 번째 바이트를 변경하여 **IV[0] XOR "A" == IV'[0] XOR "a"**로 만들고 사용자 Administrator의 쿠키를 다시 생성할 수 있습니다. 이 쿠키는 초기 IV로 administrator 사용자를 위조하는 데 유효합니다.
참고 자료
자세한 내용은 https://en.wikipedia.org/wiki/CBC-MAC에서 확인하세요.
{% hint style="success" %}
AWS 해킹 학습 및 실습:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 학습 및 실습: HackTricks Training GCP Red Team Expert (GRTE)
HackTricks 지원
- 구독 요금제를 확인하세요!
- 💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
- HackTricks 및 HackTricks Cloud 깃허브 저장소에 PR을 제출하여 해킹 요령을 공유하세요.