在《2010年揚名的十大WEB黑客技術》和《淺談ASP.NET的Padding Oracle攻擊》中，我們都提到了Padding Oracle Attack的相關內容，也對其進行了一些簡單的了解。接下來，通過這篇譯文，我們再來對其進行一下深入的學習吧。

最近出現了許多有關Padding Oracle Attack的聲音，在今年夏天早些時候的BlakHat Europe會議上，Juliano Rizzo和Thai Duong在他們的演講中演示了這種攻擊方式。雖然Padding Oracle是種相對容易的攻擊方式，但如果您還沒有對它的自動攻擊原理有一定了解，那么利用它進行攻擊還是需要不少時間的。由于缺少好用的工具以識別及利用Padding Oracles，我們開發了一個基于Padding Oracle的內部腳本，PadBuster，現在我們打算將它與社區分享。您可以在這里下載工具，現在我們也會花些時間來討論這個工具的工作方式，以及它所支持的幾種場景。

一些背景知識

在討論PadBuster之前，我們先來簡單討論一下典型的Padding Oracle Attack基礎。故名思義，Padding Oracle Attack背后的關鍵性概念便是加/解密時的填充（Padding）。明文信息可以是任意長度，但是塊狀加密算法需要所有的信息都由一定數量的數據塊組成。為了滿足這樣的需求，便需要對明文進行填充，這樣便可以將它分割為完整的數據塊。

加密時可以使用多種填充規則，但最常見的填充方式之一是在PKCS#5標準中定義的規則。PCKS#5的填充方式為：明文的最后一個數據塊包含N個字節的填充數據（N取決于明文最后一塊的數據長度）。下圖是一些示例，展示了不同長度的單詞（FIG、BANANA、AVOCADO、PLANTAIN、PASSIONFRUIT）以及它們使用PKCS#5填充后的結果（每個數據塊為8字節長）。

請注意，每個字符串都至少有1個字節的填充數據，因此7字節的值（如AVOCADO）則使用0x01進行填充，而8字節的值（如PLANTAIN）則會填充一個額外的數據塊。填充字節的值也說明了填充的字節數，因此待加密數據的最后幾個字節必須是以下幾種情況之一：

如果解密后的最后一個數據塊末尾并非這些合法的字節序列，大部分加/解密程序都會拋出一個填充異常。這個異常對于攻擊者尤為關鍵，它是Padding Oracle Attack的基礎。#p#

一個基本的Padding Oracle Attack場景

作為一個具體例子，請考慮以下場景：

http://sampleapp/home.jsp?UID=7B216A634951170FF851D6CC68FC9537858795A28ED4AAC6

某個應用程序使用Query String參數來傳遞一個用戶加密后的用戶名，公司ID及角色ID。參數使用CBC模式加密，每次都使用不同的初始化向量（IV，Initialization Vector）并添加在密文前段。

當應用程序接受到加密后的值以后，它將返回三種情況：

接受到正確的密文之后（填充正確且包含合法的值），應用程序正常返回（200 - OK）。

接受到非法的密文之后（解密后發現填充不正確），應用程序拋出一個解密異常（500 - Internal Server Error）。

接受到合法的密文（填充正確）但解密后得到一個非法的值，應用程序顯示自定義錯誤消息（200 - OK）。

上述的場景體現了一個典型的Padding Oracle（填充提示），我們可以利用應用程序的行為輕易了解某個加密的值是否填充正確。這里的單詞Oracle代表了一種機制，用于了解某個測試是否通過。

既然已經給出了場景，那么我們便來查看應用程序所使用的一個加密后的參數。這個參數保存了使用分號隔離的一系列值，在我們的示例中，則是用戶名（BRIAN），公司ID（12）及角色ID（12）：因此這里的明文是“BRIAN;12;2;”。以下則是經過加密的Query String實例，請注意加密后的UID參數使用了ASCII十六進制表示法。

在實際情況中，攻擊者并不會知道這里所對應的明文是多少，不過作為示例，我們已經知道了明文、填充、以及加密后的值（如下表）。正如之前所提到的那樣，IV添加在密文的前段，即最前面8個字節。

攻擊者可以根據加密后值的長度來推測出數據塊的大小。由于長度（這里是24）能被8整除但不能被16整除，因此可以得知數據塊的大小是8個字節。現在我們來觀察下加密和解密的內部實現，下圖便展示了字節級別的運算方式，這對以后攻擊方式的討論很有幫助。請注意，其中帶圓圈的加號表示XOR（異或）操作。

加密過程：

解密過程：

同樣值得指出的是，解密之后的最后一個數據塊，其結尾應該包含正確的填充序列。如果這點沒有滿足，那么加/解密程序就會拋出一個填充異常。#p#

利用Padding Oracle進行解密

我們現在來關注一下如何利用Padding Oracle Attack進行解密。我們將每次操作一個單獨的加密塊，因此我們可以獨立出第一塊密文（IV后的那塊），在前面加上全為NULL的IV值，并發送至應用程序。以下是URL極其相關回復：

Request: http://sampleapp/home.jsp?UID=0000000000000000F851D6CC68FC9537
Response: 500 - Internal Server Error

回復的500錯誤是意料之中的，因為這個值在解密后完全非法。下圖展示了應用程序在嘗試解密的時候究竟做了哪些事情。您會發現，因為我們只處理單個數據塊，因此它的結尾必須包含正確的填充字節，才能避免出現非法填充異常。

如上圖所示，在解密之后，數據塊的末尾并沒有包含正確的填充序列，因此出現了異常。現在我們將IV加一，并發送同樣的密文，看看會發生什么：

Request: http://sampleapp/home.jsp?UID=0000000000000001F851D6CC68FC9537
Response: 500 - Internal Server Error

與之前一樣，我們得到了500異常。這是因為在解密后我們還是沒有獲得合法的填充序列。稍有不同的是，我們在深入內部之后會發現，最后一個字節的值會有所變化（變成了0x3C而不是0x3D）。

如果我們重復發送這樣的請求，每次將IV的最后一個字節加一（直至0xFF），那么最終我們將會產生一個合法的單字節填充序列（0x01）。對于可能的256個值中，只有一個值會產生正確的填充字節0x01。遇上這個值的時候，你應該得到一個不同于其他255個請求的回復結果：

Request: http://sampleapp/home.jsp?UID=000000000000003CF851D6CC68FC9537
Response: 200 OK

同樣，我們從示意圖中了解一下此時發生了什么：

#p#

在這個情況下，我們便可以推斷出中間值（Intermediary Value）的最后一個字節，因為我們知道它和0x3C異或后的結果為0x01，于是：

因為 [Intermediary Byte] ^ 0×3C == 0×01, 
得到 [Intermediary Byte] == 0×3C ^ 0×01, 
所以 [Intermediary Byte] == 0×3D

現在我們可以更進一步。我們已經知道了中間值的最后一個字節，于是我們可以推斷出解密后的值是多少。您可以回憶一下，在解密的過程中，中間值的每個字節都會與密文中的前一個數據塊（對于第一個數據塊來說便是IV）的對應字節進行異或操作，于是我們使用之前示例中原來的IV中的最后一個字節（0x0F），與中間值異或一下便可以得到明文。不出意料，我們會得到0x32，這表示數字“2”（明文中第一個數據塊的最后一個字節）。

我們現在已經破解了示例數據塊中的第8個字節，是時候關注第7個字節了。在破解第8個字節時，我們使用暴力枚舉IV，讓解密后的最后一個字節成為0x01（合法填充）。在破解第7個字節的時候，我們要做的事情也差不多，不過此時要求第7個字節與第8個字節都為0x02（再重復一遍，這表示合法的填充）。我們已經知道，中間值的最后一個字節是0x3D，因此我們可以將IV中的第8個字節設為0x3F（這會產生0x02）并暴力枚舉IV的第七個字節（從0x00開始，直至0xFF）。

我們再次遭遇填充異常，直至遇上某個值，它使得解密后的第7個字節成為0x02（正確填充），此時IV中的字節為0x24：

使用這種技巧，我們可以從后往前破解中間值里的每個字節，最終得到解密后的值（盡管每次一個字節）。下圖展示了完全破解后的IV值，此時整個數據塊都為填充值（0x08）：

#p#

使用PadBuster進行解密

（譯注：這段內容為PadBuster的使用指南，在此略過，如果您對這部分內容感興趣可以閱讀原文《Automated Padding Oracle Attacks with PadBuster》。）

加密任意的值

我們已經知道如何利用Padding Oracle和PadBuster來依次破解每個加密的數據塊。現在，我們就來觀察下如何使用同樣的漏洞來加密任意數據。

可能您已經發現，一旦我們可以推斷出密文數據塊的中間值，我們便能通過操作IV的值來完全控制解密所得到的結果。例如，在前面的示例中，如果想要將密文中第一個數據塊解密為“TEST”這個值，您可以計算出它所需要的IV值，只要將目標明文與中間值進行異或操作即可。因此，只要您將字符串“TEST”（自然，還包括四個0x04字節作為填充）與中間值異或之后，便可以得到最終的IV，即0×6D，0×36，0×70，0×76，0×03，0×6E，0×22，0×39：

這種做法對于單個數據塊來說自然沒有問題，但如果我們想要用它來生成長度超過一個數據塊的值又該怎么辦呢？我們來看一個簡單通俗的實際案例。這次我們要生成一個加密的字符串“ENCRYPT TEST”而不僅僅是“TEST”。第一步，還是將文本分拆成數據塊，并補上必須的填充字節，如下圖：

在構造超過一個數據塊的值時，我們實際上是從最后一個數據塊開始，向前依次生成所需的密文。在這里，最后的數據塊與之前的相同，因此我們已經知道以下的IV和密文能夠生成字符串“TEST”：

Request: http://sampleapp/home.jsp?UID=6D367076036E2239F851D6CC68FC9537

接下來，我們需要弄明白中間值6D367076036E2239在作為密文，而不是IV傳遞至應用程序時會被如何解密。在這里只要使用與破解過程相同的技巧就行了，我們把它作為密文傳遞給應用程序，并從全部為NULL的IV開始進行暴力破解：

Request: http://sampleapp/home.jsp?UID=00000000000000006D367076036E2239

一旦我們通過暴力破解得到中間值之后，IV便可以用來生成我們想要的任意值。新的IV可以被放在前一個示例的前面，這樣便可以得到一個符合我們要求的，包含兩個數據塊的密文了。這個過程可以不斷重復，這樣便能生成任意長度的數據了。

使用PadBuster加密任意的值

（譯注：這段內容為PadBuster的使用指南，在此略過，如果您對這部分內容感興趣可以閱讀原文《Automated Padding Oracle Attacks with PadBuster》。）