如何使用Padre对CBC模式加密执行Padding Oracle测试
2024-1-6 09:6:15 Author: FreeBuf(查看原文) 阅读量:7 收藏

关于Padre

Padre是一款功能强大的高级Padding Oracle安全测试工具,在该工具的帮助下,广大研究人员可以轻松针对CBC模式加密执行Padding Oracle攻击测试,以审查和测试目标加密模式的安全性。

关于Padding Oracle

Padding的含义是“填充”,在解密时,如果算法发现解密后得到的结果,它的填充方式不符合规则,那么表示输入数据有问题,对于解密的类库来说,往往便会抛出一个异常,提示Padding不正确。Oracle在这里便是“提示”的意思,和甲骨文公司没有任何关系。

对于加密算法来说,它们是基于等长的“数据块”进行操作的(如对于RC2,DES或TripleDES算法来说这个长度是8字节,而对于Rijndael算法来说则是16、24或32字节)。但是,我们的输入数据长度是不规则的,因此必然需要进行“填充”才能形成完整的“块”。

功能介绍

1、运行速度快,支持并行并发;

2、支持令牌解密;

3、支持加密任意数据;

4、Padding Oracle自动化指纹;

5、密码块长度自动化检测;

6、如果在操作过程中出现错误故障,Padre将提供可行的解决方案建议;

7、支持GET/POST参数和Cookie中的令牌;

8、灵活的编码规则与规范(Base64、Hex等);

Padding Oracle攻击影响

1、泄露加密会话信息;

2、身份认证绕过;

3、提供服务器端信任的伪造令牌;

4、其他广泛的攻击面;

工具安装

方便起见,广大研究人员可以直接访问该项目的【Releases页面】下载对应操作系统版本的预编译Padre代码。

除此之外,我们也可以在本地设备上安装并配置好Go语言环境,并使用源码构建Padre:

go install github.com/glebarez/padre@latest
工具使用

Usage: padre [OPTIONS] [INPUT]

INPUT:

解密模式:输入加密数据

加密模式:输入要加密的明文数据

如果不提供,则从STDIN读取

NOTE: binary data is always encoded in HTTP. Tweak encoding rules if needed (see options: -e, -r)

OPTIONS:

-u *required*

目标URL,使用$字符定义令牌占位符

-enc

加密模式

-err

正则表达式模式,HTTP响应Body将于该正则表达式匹配以检测Padding Oracle,不提供则执行自动化指纹检测;

-e

编码二进制数据,支持的值有Base64和LHex,默认为Base64;

-cookie

在HTTP请求中设置的Cookie值,使用$可标记令牌占位符;

-post

执行POST请求的字符串数据,使用$可标记令牌占位符;

-ct

POST请求的Content-Type。如果不指定,工具将自动检测Content-Type

-b

密码块长度,不提供该参数则执行自动化检测,支持的值有8、16、32,默认为16;

-p

与目标服务器建立的并行HTTP连接数量 [1-256],默认为30;

-proxy

HTTP代理。例如use -proxy "http://localhost:8080"可使用Burp或ZAP做代理;

(滑动查看更多)

工具使用场景

如果我们找到了一个可疑的Padding Oracle,并且加密数据存储在一个名为SESS的Cookie中,我们就可以使用下列命令来执行Padre:

padre -u 'https://target.site/profile.php' -cookie 'SESS=$' 'Gw3kg8e3ej4ai9wffn%2Fd0uRqKzyaPfM2UFq%2F8dWmoW4wnyKZhx07Bg=='

如果确定了Padding Oracle上下文,那么Padre将会自动检测HTTP响应指纹,如果服务器确实存在安全漏洞,工具将会把提供的令牌解密为下列形式:

{"user_id": 456, "is_admin": false}

这样一来,我们就可以实现权限提升了。

我们还可以尝试先生成我们自己的加密数据,然后解密回明文数据:

padre -u 'https://target.site/profile.php' -cookie 'SESS=$' -enc '{"user_id": 456, "is_admin": true}'

上述命令将生成另一个加密数据集,大致形式如下(Base64):

dGhpcyBpcyBqdXN0IGFuIGV4YW1wbGU=

现在我们就可以打开浏览器,然后将SESS Cookie值设置成上面的加密数据,然后加载原始的Oracle页面,你将会看到你的权限提升至了管理员权限。

工具使用演示
演示视频:

https://image.3001.net/images/20231208/1702007445_65729295adeac83512718.gif

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

Padre

%E5%A6%82%E4%BD%95%E4%BD%BF%E7%94%A8Padre%E5%AF%B9CBC%E6%A8%A1%E5%BC%8F%E5%8A%A0%E5%AF%86%E6%89%A7%E8%A1%8CPadding%20Oracle%E6%B5%8B%E8%AF%95%20https%3A/github.com/glebarez/padre

FreeBuf粉丝交流群招新啦!
在这里,拓宽网安边界
甲方安全建设干货;
乙方最新技术理念;
全球最新的网络安全资讯;
群内不定期开启各种抽奖活动;
FreeBuf盲盒、大象公仔......
扫码添加小蜜蜂微信回复“加群”,申请加入群聊

https://blog.skullsecurity.org/2013/a-padding-oracle-example
https://blog.skullsecurity.org/2016/going-the-other-way-with-padding-oracles-encrypting-arbitrary-data

文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651253930&idx=4&sn=8365d68d3c0b26f80538fa393a43d64e&chksm=bc8a8219e32caf083ebaca55f7ba8d9a37777bb5e9847cbdab0eea0c0e836f5c9a49852d9ab2&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh