catalogue

1. Hash函數的內部原理 2. 漏洞原理

?

1. Hash函數的內部原理

0x1: 分組、Padding

哈希函數以區塊為單位操作數據。比如說，MD5, SHA1, SHA256的區塊長度是512 bits 。大多數message的長度不會剛好可以被哈希函數的區塊長度整除。這樣一來，message就必須被填充(padding)至區塊長度的整數倍

以MD5為例，首先算法將消息以512-bit（就是64字節）的長度分組。最后一組必然不足512-bit，這時候算法就會自動往最后一組中填充字節，這個過程被稱為padding

xxxxxxxxxxxreport.pdf\x80\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xA8

在本例所用的SHA1算法中，哈希值由五組整數構成。一般我們看到的形式是把這五個整數轉換為16進制然后連接到一起。運行算法時，初始值(又叫registers)被設置為這組數

1. 67452301 2. EFCDAB89 3. 98BADCFE 4. 10325476 5. C3D2E1F0

緊接著，填充message，再將其分割為512bits的區塊。算法輪流操作每個區塊，進行一系列的計算并更新registers的值。一旦完成了這些運算，registers里的值就是最終的哈希值

Relevant Link:

?

2. 漏洞原理

MD5 Length擴展Padding攻擊的目的是在不知道原始md5(secrect)的secrect的前提下，直接得到md5(secrect || padding || m')的新MD5 HASH

1. 類型MD5這種本來就是要對message進行分組，并逐個遍歷所有分組，進行輪詢運算的，所以HASH算法的運算次數是隨著message的增加而線性增加的 2. 而Padding一段全零的數據對原始message的HASH計算結果是沒有影響的(Padding到一個分組的整數倍) 3. 對MD5 HASH來說，是以輪為基本單位的，每一輪計算都會得到一組"中間值"，分別保存在一組寄存器(register)中，因此從本質上看，即使是MD5(secrect)得到的最終結果，我們也可以將它看成是一個"中間態計算結果" 4. 跟在padding后面的'm，相當于對原始message增加一輪HASH輪運算

在這里m' 是任意數據， || 是連接符，可以為空。padding是 secret 最后的填充字節。md5的padding字節包含整個消息的長度，因此，為了能夠準確的計算出padding的值，secret的長度也是我們需要知道的

所以要實施Length Extension Attack，就需要找到MD5(secret)最后壓縮計算得到的值，并根據secrect的長度算出當前分組剩下需要填充的padding，然后在padding后面加上我們想要extend的內容，加入到下一輪的MD5壓縮算法中去，算出最終我們需要的值

0x1: 漏洞利用場景

1. 通過某種方式，我們已知MD5(secret)的值 2. 在另一個輸入點需要驗證MD5(secret+other1+other2)的值 3. 我們不需要知道secret的值，就可以直接通過已經獲取的MD5(secret)得到MD5(secret+other1+other2)的值

Relevant Link:

http://www.freebuf.com/articles/web/31756.html http://netifera.com/research/flickr_api_signature_forgery.pdf http://www.2cto.com/Article/201109/105056.html

?

Copyright (c) 2016 LittleHann All rights reserved

?

轉載于:https://www.cnblogs.com/LittleHann/p/5513207.html

創作挑戰賽新人創作獎勵來咯，堅持創作打卡瓜分現金大獎

總結

以上是生活随笔為你收集整理的Hash Length Extension Attacks的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。