Padding Oracle

在整理 Web 程序的渗透方式时，碰到了一种叫做 Padding Oracle 攻击的攻击方式，这种攻击利用了服务器在 CBC（密码块链接模式）加密模式中的填充测试漏洞。刚接触时找了几篇中文博客，讲的乱七八糟，最后无意中找到了 Automated Padding Oracle Attacks With PadBuster，才算是明白了这个漏洞的原理和利用方法。

现在翻译并整理一下这篇文章，再说说自己的理解。

Padding Oracle 攻击是 2010 年在欧洲举行的黑帽大会上由 Juliano Rizzo and Thai Duong 提出的。

首先要了解 CBC 的加密过程

CBC mode encryption

1. 对明文进行分组，使每组长度相同（通常为 8 或 16 字节，取决于加密算法），对长度不足的分组进行填充，通常，填充遵循的是 PKCS#5 标准，即填充的字符即为需要填充的字符的个数，如：

   
   
   

   PKCS#5
2. 随机生成一个 Initialization Vector（IV），将第一个明文分组与 IV 作异或运算
3. 将 2 的结果进行加密，得到第一个明文分组的密文
4. 从第二个明文分组开始，先将明文分组与上一组的密文作异或运算，再将结果进行加密，得到该分组的密文

解密

现在设想一个场景，一个 web 应用使用 GET 方法（并不是说使用 POST 或别的方法就是安全的，攻击针对的是 CBC 而不是 HTTP 方法）传递加密的用户名，公司 id 和用户 id，这些参数通过 CBC 模式加密，由于在 CBC 模式中 IV 是不要求保密的，假设 IV 作为这些密文的前缀，使用的是 ASCII 十六进制表示法，即两个字母表示一个字节。在一个开放的 Wi-Fi 环境中，网站的用户 BRAIN，公司 id 为 12，用户 id 为 2，向网站发送请求：
http://sampleapp/home.jsp?UID=7B216A634951170FF851D6CC68FC9537858795A28ED4AAC6
对应的明文为用分号分割，即 BRAIN;12;2

攻击者截获了这个请求，并且他知道对于大部分服务器来说，对于一个请求，服务器可能做出如下反应：

1. 如果参数是完全正确的，身份认证成功，返回 HTTP 200 OK，提示认证成功
2. 如果参数是可以解密为正确格式的明文的密文（明文 Padding 等正确），但是身份认证失败，返回 HTTP 200 OK，提示认证失败
3. 如果参数不是可以解密为正确格式的明文的密文（明文的 Padding 错误等），服务器内部抛出异常，返回 HTTP 500 Internal Server Error

这就为攻击者提供了判断攻击是否成功的条件

现在攻击者通过分析该请求得到

密文格式

现在先考虑 IV 和 第一个分组

IV 和第一个分组的加密过程

IV 和第一个分组的解密过程

留意到明文最后使用了 0x05 填充了 5 个字节

现在，攻击者知道了 IV （7B216A634951170F）和 加密后的密文（F851D6CC68FC9537），现在要通过这两条信息获得明文。我们看到这里的 Intermediary Value 实际上是由明文和 IV 进行异或操作得到的，由于我们已经知道了 IV，那么我们只要获得 Intermediary Value 就可以计算出明文了。

攻击者首先想要获得第一个分组的最后一个字符。思路如下：要获得第一个分组的最后一个字符，只要获得 Intermediary Value 的最后一个字节，攻击者知道，IV 是可以构造的，通过构造 IV，使得解密后的明文的最后一个填充字符为 0x01，再将构造的 IV 与 0x01 进行异或，就得到了 Intermediary Value 的最后一个字节，再将该字节与原 IV 异或，就得到了第一个分组的最后一个字符。

由于服务器会对不是可以解密为正确格式的明文的密文返回 500 Internal Server Error
http://sampleapp/home.jsp?UID=0000000000000000F851D6CC68FC9537
即把 IV 设为全 0，服务器收到该请求后，进行解密

IV = 0000000000000000 时服务器的解密过程

发现最后的填充是 0x3D，是无效的，于是返回 500 Internal Server Error通过遍历 00-FF 所有可能的情况，最后会找到一个与 Intermediary Value 异或之后等于 0x01 的 IV 值

IV = 000000000000003C 时服务器返回 HTTP 200 OK

该 IV 值是 000000000000003C，此时可以计算出 Intermediary Value 为 0x3D，那么再将 0x3D 异或最初的 IV的最后一个字节（0x0F）得到 0x32，即 2

接下来使用相同的方法猜解倒数第二个字符，即构造 IV 使得服务器解密后的明文的最后两个字符均为 0x02，由于已经知道了 Intermediary Value 的最后一个字节为 0x3D，要使解密后的明文的最后一个字符为 0x02，那么构造的 IV 的最后一个字节应该为 0x3F，利用同样的方法，构造 IV 从 000000000000003F 开始，到 000000000000FF3F，总会有一个值使得服务器解密后的明文的最后两个字符均为 0x02，以此类推，便可以推算出该密文对应的明文信息

解密结果

加密

在获得了 Intermediary Value 之后，对任意字符串进行加密就简单了，例如我们要对字符串 TEST 进行加密，由于 TEST 是 4 个字节，那么需要在后面填充 4 个 0x04 形成一个分组，将该分组与 Intermediary Value 异或之后的结果作为 IV，加上原来的第一组密文，那么服务器就会将这个密文解密为 TEST了

加密 TEST

最后介绍一个可以进行 Padding Attack 的工具：
PadBuster