日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

一、漏洞背景

10月14號由Google發(fā)現(xiàn)的POODLE漏洞(Padding Oracle On Downloaded Legacy Encryption vulnerability)，可被攻擊者用來竊取采用SSL3.0版加密通信過程中的內容，又被稱為“貴賓犬攻擊”。雖然該攻擊利用有一定的難度，需要完全控制網(wǎng)絡流量，但在公共wifi遍地都是和強調國家之間對抗的APT背景下，該漏洞仍有不小的影響，我們的小伙伴也緊急分析了漏洞原理，poc仍在驗證中，稍后放出。

二、SSLv3.0協(xié)議基礎

協(xié)議協(xié)商數(shù)據(jù)

在協(xié)議握手階段，協(xié)商的數(shù)據(jù)包括：

明文/密文分組長度：長度一般為16字節(jié)。

初始化向量IV：根據(jù)SSLv3.0協(xié)議定義的算法生成，要求隨機性較高，與明文/密文分組長度相同(16字節(jié))。

對稱密鑰Key：即SSLv3.0協(xié)議中定義的主密鑰(the Master Secret)，用于數(shù)據(jù)加密。

加密模式：常見的加密模式有多種，本漏洞本質就是SSLv3.0協(xié)議推薦的CBC加密模式可能泄露信息。

數(shù)據(jù)填充與分組

明文加密之前和密文解密之前需要分組，每個分組長度為128比特，即16字節(jié)。

對于待加密的明文數(shù)據(jù)，分組處理過程為：

(1)計算明文簽名MAC(Message Authentication Code，消息驗證碼)序列，長度為20字節(jié)。

(2)將MAC序列附在明文數(shù)據(jù)之后組成平文(Plaintext)，將Plaintext的長度填充至16字節(jié)的整數(shù)倍。

填充方式為：如果原始Plaintext長度不是16字節(jié)的整數(shù)倍，再其后附加零個、一個或多個Padding字節(jié)，再附加1個字節(jié)，其值為Padding長度;如果原始Plaintext長度正好是16字節(jié)的整數(shù)倍，則在其后附加15字節(jié)長度的Padding序列，再附加1個Padding長度，其值為15。

(3)將填充后Plaintext每16字節(jié)分為一組，稱為平文塊(Plaintext Block)，使用符號P1 , P2 … Pn 表示。

初始化向量IV用于首次加密，此時使用P0表示。

對于待解密的密文數(shù)據(jù)，由于數(shù)據(jù)長度肯定為16字節(jié)的整數(shù)倍，所以其直接按照16字節(jié)長度分組，每個分組稱為密文塊(Cipher Block)，使用符號C1 , C2 … Cn表示。

初始化向量IV用于首次解密，此時使用C0表示。

CBC模式原理

在CBC模式中，每個平文塊(Plaintext Block，即明文分組塊)先與前一個密文塊(Cipher Block)進行異或后，再進行加密。在這種方法中，每個密文塊都依賴于它前面的所有平文塊。同時，為了保證每條消息的唯一性，在加解密過程初期需要使用初始化向量IV。

基于CBC加密模式的對稱加密流程如下圖：

即，對于每一個平文塊Pi，得到密文塊Ci：

換個角度考慮，平文中的微小改變會導致其后的全部密文塊發(fā)生改變。

基于CBC加密模式的對稱加密流程如下圖：

即，對于每一個密文塊Ci，得到平文塊Pi：

因此，如果密文塊Ci被修改，不會影響對密文塊Ci-1的解密結果，而Ci及Ci之后的解密結果Pi’，Pi+1’ … Pn’ 將與原始的Pi，Pi+1 … Pn不同。

從密文得到平文后，服務端會立即驗證明文的MAC以確保數(shù)據(jù)有效性，根據(jù)前述的平文填充方式，SSLv3.0協(xié)議定義的驗證原理為：

(1)根據(jù)平文數(shù)據(jù)最后一個字節(jié)的得到Padding序列長度，移除該字節(jié)以及Padding序列后，平文的最后20字節(jié)數(shù)據(jù)是客戶端計算得到的MAC序列。

(2)移除該MAC序列得到的數(shù)據(jù)是明文數(shù)據(jù)，服務端重新計算該段數(shù)據(jù)的MAC序列并與客戶端MAC序列對比，即可確定數(shù)據(jù)是否有效。

三、POODLE漏洞分析

根據(jù)之前所述，如果明文數(shù)據(jù)的長度加20字節(jié)的MAC序列長度正好為16字節(jié)的整數(shù)倍，平文Padding算法會在Plaintext的最后附加15字節(jié)的Padding序列和1字節(jié)的Padding序列長度(值15)，即最終的平文的最后16字節(jié)屬于附加部分，加密后對應密文分組的最后一個密文塊Cn。該在這種情況下，如果使用密文中的某一個密文塊Ci替換密文塊Cn并發(fā)送給服務端，服務端有可能認為數(shù)據(jù)是有效的，滿足這種可能性必須要求解密后的數(shù)據(jù)最后一個字節(jié)值是15，這樣恰好既不影響原始明文序列，也不影響MAC序列，從而通過服務端對MAC序列的驗證。

定義密鑰為k的對稱加密算法的加密過程和解密過程分別為Dk( )和Ek( )。

此時：

Pn’= Dk(Cn’)⊕Cn-1 = Dk(Ci)⊕Cn-1

且

Pn’[15] = 15

即：

Dk(Ci)[15]⊕Cn-1 [15]= 15

由于：

Pi[15] = Dk(Ci)[15]⊕Ci-1[15]

所以：

Pi[15] = 15⊕Cn-1 [15]⊕Ci-1[15]

很明顯，此時密文塊Ci對應的平文塊Pi的最后一個字節(jié)可以通過計算得到。

四、POODLE漏洞利用

到此，在前述假定的條件下僅僅解密一個字節(jié)的數(shù)據(jù)并無任何實際意義，然而，Google安全研究員在其發(fā)布的分析報告This POODLE Bites: Exploiting The SSL 3.0 Fallback 中考慮了這樣一個針對HTTPS協(xié)議的攻擊場景：

(1)攻擊者可以實施中間人攻擊，控制用戶流量以及控制客戶端發(fā)送AJAX請求;

(2)攻擊者的目標是獲取用戶的cookies;

(3)攻擊者已經(jīng)知道cookies數(shù)據(jù)長度。

對于(3)條假設并不一定完全成立，這里首先假定在其成立的條件下考慮POODLE漏洞的利用方式。

假設請求明文的Plaintext如下：

POST /path Cookie:…\r\n\r\nbody ‖ 20-bytes-MAC ‖ 15-bytes-padding || 15

攻擊者可以控制path和body的長度使上述Plaintext的長度為16字節(jié)的整數(shù)倍，并且，由于已知cookies的長度，控制欲解密的cookies字節(jié)位于某個平文塊Pi的最后一個字節(jié)上。

首先，設置客戶端請求使P5[15] = ‘e’，請求加密前的Plaintext為：

圖 計算第一個數(shù)據(jù)

中間人截獲密文Ciphertext之后使用C5代替C11后傳遞請求，如果發(fā)現(xiàn)服務端解密后驗證失敗，控制客戶端變換請求的path內容再發(fā)送，一般經(jīng)過不超過256次變換，可能會有一次使服務器解密后驗證成功，即中間人可以根據(jù)上面介紹過的方式計算得出該處明文字節(jié)數(shù)據(jù)。

然后，控制客戶端請求的path長度和body長度，比如path長度加1同時body長度減1：

圖 計算第二個數(shù)據(jù)

繼續(xù)發(fā)送請求、中間人攔截替換再發(fā)送等操作，依次可以分析出整個cookies數(shù)據(jù)。

在cookies長度不確定的情況下，可以通過控制增加客戶端的path長度并對比密文Ciphertext長度，基本在16個請求以內就可以確定其實際長度。比如：

第一次請求的Plaintext為：

GET /\r\nCookie: n1=v1\r\n\r\n || 20-bytes-MAC ‖ padding

即：

圖 計算cookies長度的第一次Plaintext

此時，Ciphertext的總長度為48字節(jié)。

第二次請求的Plaintext為：

GET /A\r\nCookie: n1=v1\r\n\r\n || 20-bytes-MAC ‖ padding

圖 計算cookies長度的第二次Plaintext

此時，Ciphertext的總長度為48字節(jié)。

第三次請求的Plaintext為：

GET /AA\r\nCookie: n1=v1\r\n\r\n || 20-bytes-MAC ‖ padding

圖 計算cookies長度的第三次Plaintext

此時，Ciphertext的總長度為48字節(jié)。

第四次請求的Plaintext為：

GET /AAA\r\nCookie: n1=v1\r\n\r\n || 20-bytes-MAC ‖ padding

圖 計算cookies長度的第四次Plaintext

此時，Ciphertext的總長度為48字節(jié)。

第五次請求的Plaintext為：

GET /AAAA\r\nCookie: n1=v1\r\n\r\n || 20-bytes-MAC ‖ padding

圖 計算cookies長度的第五次Plaintext

此時，Ciphertext的總長度為64字節(jié)，從而知道第一次的Ciphertext的總Padding長度為4字節(jié)(3字節(jié)Padding序列和1字節(jié)的Padding序列長度)，而Ciphertext總長度為48字節(jié)，“GET /\r\n”序列長度7字節(jié)，MAC序列長度為20字節(jié)，所以“Cookie: n=v\r\n\r\n”長度為15字節(jié)。

參考：

[1] RFC6101： http://tools.ietf.org/html/rfc6101

[2] Google分析報告：https://www.openssl.org/~bodo/ssl-poodle.pdf

[3] 塊密碼的工作模式：

http://zh.wikipedia.org/wiki/%E5%9D%97%E5%AF%86%E7%A0%81%E7%9A%84%E5%B7%A5%E4%BD%9C%E6%A8%A1%E5%BC%8F

網(wǎng)站名稱：POODLE漏洞分析
URL網(wǎng)址：http://www.5511xx.com/article/cojsjhc.html