Hash Length Extension Attacks

catalogue

1. Hash函数的内部原理
2. 漏洞原理

1. Hash函数的内部原理

0x1: 分组、Padding

哈希函数以区块为单位操作数据。比如说，MD5, SHA1, SHA256的区块长度是512 bits 。大多数message的长度不会刚好可以被哈希函数的区块长度整除。这样一来，message就必须被填充(padding)至区块长度的整数倍

以MD5为例，首先算法将消息以512-bit（就是64字节）的长度分组。最后一组必然不足512-bit，这时候算法就会自动往最后一组中填充字节，这个过程被称为padding

xxxxxxxxxxxreport.pdf\x80\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xA8

在本例所用的SHA1算法中，哈希值由五组整数构成。一般我们看到的形式是把这五个整数转换为16进制然后连接到一起。运行算法时，初始值(又叫registers)被设置为这组数

1. 67452301
2. EFCDAB89
3. 98BADCFE
4. 10325476
5. C3D2E1F0

紧接着，填充message，再将其分割为512bits的区块。算法轮流操作每个区块，进行一系列的计算并更新registers的值。一旦完成了这些运算，registers里的值就是最终的哈希值

Relevant Link:

2. 漏洞原理

MD5 Length扩展Padding攻击的目的是在不知道原始md5(secrect)的secrect的前提下，直接得到md5(secrect || padding || m')的新MD5 HASH

1. 类型MD5这种本来就是要对message进行分组，并逐个遍历所有分组，进行轮询运算的，所以HASH算法的运算次数是随着message的增加而线性增加的
2. 而Padding一段全零的数据对原始message的HASH计算结果是没有影响的(Padding到一个分组的整数倍)
3. 对MD5 HASH来说，是以轮为基本单位的，每一轮计算都会得到一组"中间值"，分别保存在一组寄存器(register)中，因此从本质上看，即使是MD5(secrect)得到的最终结果，我们也可以将它看成是一个"中间态计算结果"
4. 跟在padding后面的'm，相当于对原始message增加一轮HASH轮运算

在这里m' 是任意数据， || 是连接符，可以为空。padding是 secret 最后的填充字节。md5的padding字节包含整个消息的长度，因此，为了能够准确的计算出padding的值，secret的长度也是我们需要知道的

所以要实施Length Extension Attack，就需要找到MD5(secret)最后压缩计算得到的值，并根据secrect的长度算出当前分组剩下需要填充的padding，然后在padding后面加上我们想要extend的内容，加入到下一轮的MD5压缩算法中去，算出最终我们需要的值

0x1: 漏洞利用场景

1. 通过某种方式，我们已知MD5(secret)的值
2. 在另一个输入点需要验证MD5(secret+other1+other2)的值
3. 我们不需要知道secret的值，就可以直接通过已经获取的MD5(secret)得到MD5(secret+other1+other2)的值

Relevant Link:

http://www.freebuf.com/articles/web/31756.html
http://netifera.com/research/flickr_api_signature_forgery.pdf
http://www.2cto.com/Article/201109/105056.html

Copyright (c) 2016 LittleHann All rights reserved