hacktricks/cryptography/cipher-block-chaining-cbc-mac-priv.md

4.9 KiB
Raw Blame History

从零开始学习AWS黑客技术成为专家 htARTEHackTricks AWS红队专家

支持HackTricks的其他方式

CBC

如果cookie只是用户名或cookie的第一部分是用户名而您想要冒充用户名"admin"。那么,您可以创建用户名**"bdmin"暴力破解cookie的第一个字节**。

CBC-MAC

在密码学中,密码块链接消息认证码CBC-MAC是一种从块密码构造消息认证码的技术。消息使用某种块密码算法在CBC模式下加密以创建一个块链,使得每个块依赖于前一个块的正确加密。这种相互依赖确保对任何明文的更改将导致最终加密块以一种不能预测或抵消的方式发生更改,而不知道块密码的密钥。

要计算消息m的CBC-MAC需要使用零初始化向量在CBC模式下加密m并保留最后一个块。以下图示了使用秘密密钥k和块密码E计算消息包含块的CBC-MACm_{1}\|m_{2}\|\cdots \|m_{x}的计算过程:

CBC-MAC structure (en).svg

漏洞

使用CBC-MAC时通常使用的IV为0
这是一个问题因为独立的2个已知消息m1m2将生成2个签名s1s2)。因此:

  • E(m1 XOR 0) = s1
  • E(m2 XOR 0) = s2

然后由m1和m2连接而成的消息m3将生成2个签名s31和s32

  • E(m1 XOR 0) = s31 = s1
  • E(m2 XOR s1) = s32

这是可以在不知道加密密钥的情况下计算的。

想象一下,您正在以8字节块加密名称Administrator

  • Administ
  • rator\00\00\00

您可以创建一个名为Administm1的用户名并检索签名s1
然后,您可以创建一个名为rator\00\00\00 XOR s1结果的用户名。这将生成E(m2 XOR s1 XOR 0)即s32。
现在您可以使用s32作为完整名称Administrator的签名。

总结

  1. 获取用户名Administm1的签名即s1
  2. 获取用户名rator\x00\x00\x00 XOR s1 XOR 0的签名为s32**。**
  3. 将cookie设置为s32它将成为用户Administrator的有效cookie。

攻击控制IV

如果您可以控制使用的IV则攻击可能会变得非常容易。
如果cookie只是加密的用户名要冒充用户"administrator",您可以创建用户"Administrator"并获取其cookie。
现在如果您可以控制IV您可以更改IV的第一个字节使得IV[0] XOR "A" == IV'[0] XOR "a",并重新生成用户Administrator的cookie。这个cookie将有效地冒充初始IV下的用户administrator

参考

更多信息请参阅https://en.wikipedia.org/wiki/CBC-MAC

从零开始学习AWS黑客技术成为专家 htARTEHackTricks AWS红队专家

支持HackTricks的其他方式