4 KiB
Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!
Njia nyingine za kusaidia HackTricks:
- Ikiwa unataka kuona kampuni yako inatangazwa kwenye HackTricks au kupakua HackTricks kwa muundo wa PDF Angalia MPANGO WA KUJIUNGA!
- Pata swag rasmi ya PEASS & HackTricks
- Gundua The PEASS Family, mkusanyiko wetu wa kipekee wa NFTs
- Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwenye HackTricks na HackTricks Cloud repos za github.
Muhtasari wa shambulio
Fikiria kuna seva ambayo ina kutilia saini baadhi ya data kwa kuongeza siri kwenye data fulani ya wazi inayojulikana na kisha kuhesabu hash ya data hiyo. Ikiwa unajua:
- Urefu wa siri (hii inaweza pia kuvunjwa kwa nguvu kutoka kwa safu ya urefu uliyopewa)
- Data ya wazi
- Algorithm (na ina hatari ya shambulio hili)
- Kujaza inajulikana
- Kawaida inatumika moja ya chaguo-msingi, kwa hivyo ikiwa mahitaji mengine 3 yanakidhiwa, hii pia inafaa
- Kujaza hubadilika kulingana na urefu wa siri+data, ndio sababu urefu wa siri unahitajika
Basi, inawezekana kwa mshambuliaji kuongeza data na kuunda saini sahihi kwa data iliyotangulia + data iliyoongezwa.
Vipi?
Kimsingi, algorithm zinazoweza kudhurika huzalisha hash kwa kwanza kwa kuhesabu hash kwa kipande cha data, na kisha, kutoka kwa hash iliyoundwa hapo awali (hali), wanapata kuongeza kipande cha data kijacho na kuihesabu hash.
Basi, fikiria siri ni "siri" na data ni "data", MD5 ya "siridata" ni 6036708eba0d11f6ef52ad44e8b74d5b.
Ikiwa mshambuliaji anataka kuongeza herufi "ongeza" anaweza:
- Kuzalisha MD5 ya "A" 64
- Badilisha hali ya hash iliyoundwa hapo awali kuwa 6036708eba0d11f6ef52ad44e8b74d5b
- Ongeza herufi "ongeza"
- Maliza hash na hash inayotokana itakuwa sahihi kwa "siri" + "data" + "kujaza" + "ongeza"
Zana
{% embed url="https://github.com/iagox86/hash_extender" %}
Marejeo
Unaweza kupata shambulio hili limeelezewa vizuri katika https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks
Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!
Njia nyingine za kusaidia HackTricks:
- Ikiwa unataka kuona kampuni yako inatangazwa kwenye HackTricks au kupakua HackTricks kwa muundo wa PDF Angalia MPANGO WA KUJIUNGA!
- Pata swag rasmi ya PEASS & HackTricks
- Gundua The PEASS Family, mkusanyiko wetu wa kipekee wa NFTs
- Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwenye HackTricks na HackTricks Cloud repos za github.