当前位置：首页 > news >正文

hash长度扩展攻击

news 文章来源：https://blog.csdn.net/csjjjd/article/details/135188521 2025/4/20 6:45:41

作为一个信息安全的人，打各个学校的CTF比赛是比较重要的！

最近一个朋友发了道题目过来，发现有道题目比较有意思，这里跟大家分享下

这串代码的大致意思是：

这段代码首先引入了一个名为"flag.php"的文件，该文件可能包含一个标志（flag）。然后使用highlight_file(__FILE__)函数来高亮显示当前文件的源代码。

接下来，获取了两个变量：$guet和$sec。其中，$guet是从GET请求中获取的参数，默认值为'123456'，而$sec则是从COOKIE中获取的参数，默认值也为'123456'。

代码中有一段正则表达式/^2023(.*?)GUETSEC$/，用于检查$guet是否以"2023"开头，以"GUETSEC"结尾，并且在开头和结尾之间可以包含任意字符。如果满足这个条件，那么会进行以下判断：

如果$guet的MD5哈希值等于'a26f719b36e667992b03a298ad18b1c7'，则输出$flag的MD5哈希值。
如果$guet的整数值等于反转后的$guet的整数值，则输出$flag的长度。

接下来，如果$guet不为空，那么会进行以下判断：

如果$sec的MD5哈希值等于$flag与$guet拼接后的MD5哈希值，那么输出$flag的值。

最后，如果$guet为空，则输出"Oh no! You can't do this!"。

这道题目的原理是：hash长度扩展攻击，这里先介绍个脚本方法爆破，这是我最初使用的脚本：

因为要爆破的其实就中间的三个字母（一共十四个，已经知道11个）所以比较简单，

<?php

// 固定的前后缀
$prefix = '2023';
$suffix = 'GUETSEC';
// 目标MD5哈希值
$targetMd5 = 'a26f719b36e667992b03a298ad18b1c7';
// 总长度为14，已知前缀和后缀总长度为10，所以中间部分长度为3
$middleLength = 14 - strlen($prefix) - strlen($suffix);

// 生成可能的中间部分字符集，例如所有可打印ASCII字符
$charset = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ';

// 遍历所有可能的中间部分
for ($i = 0; $i < pow(strlen($charset), $middleLength); $i++) {
// 生成中间部分
$middle = '';
$current = $i;
for ($j = 0; $j < $middleLength; $j++) {
$middle = $charset[$current % strlen($charset)] . $middle;
$current = intval($current / strlen($charset));
}

// 组合全字符串
$guet = $prefix . $middle . $suffix;

// 检查MD5哈希
if (md5($guet) === $targetMd5) {
echo "Found: $guet";
break;
}
}

第一个绕过就搞定了，这里由于就只要求中间的三个字母，因为已经知道了开头结尾，所以可以使用我的脚本进行爆破。

这里我高兴坏了！心想都已经拿到flag的MD5形式了，那不就可以直接拿到flag了！直接MD5解密，但是现实给我泼了一盆狠狠的冷水！！！

MD5是一种广泛使用的哈希函数，它产生一个128位（16字节）的哈希值。通常呈现为一个32字符的十六进制数。它是一种单项函数，这意味着从MD5哈希值是不可能（在实践中）直接得到原始数据的。换句话说，MD5不是加密过程；它是一个单向散列函数，没有一个反向的过程能够从散列值中恢复出准确的原始输入。

如果已知的MD5哈希值是"437a413ace6757019e0a0c5ead62c9f9"，除非通过暴力破解法——即尝试大量可能的输入值并对每个值进行散列，直到找到与已知散列值匹配的输入，否则无法得知$flag的内容，但是这个运算量实在太大，实战根本不可能完成，我只能抛弃脚本爆破这条路！

第二个if绕过：

本地测试发现2023e-4GUETSEC，只要GUETSEC前面的数字大于’2023’(长度为4),经过 intval()``函数
转化后与strrev( 2023e-4GUETSEC)相等为0，即可绕过

接下来才是本文的重点！！！

如果$sec的MD5哈希值等于$flag与$guet拼接后的MD5哈希值，那么输出$flag的值。

这里已经知道结果flag是42位，而且已经知道了flag的MD5形式，437a413ace6757019e0a0c5ead62c9f9，，直接使用Hashpump，这里就是哈希函数扩展攻击：

哈希长度扩展攻击（也称为哈希长度扩充攻击或者Hash Extension Attack）是一种针对使用Merkle-Damgård构造的哈希函数（如MD5, SHA-1, SHA-256）的加密攻击。Merkle-Damgård构造是一种创建哈希函数的方法，其典型结构包括一个基本的压缩函数和一个填充方案，确保输入数据的长度是特定倍数。

哈希长度扩展攻击的原理基于以下几点：

可预见的填充： Merkle-Damgård实现使用一个预定义的方式来填充消息，以确保信息长度符合要求。通常填充以一个bit的'1'开始，然后是一串'0'，最后是一个表示原始消息长度的64位（对于MD5和SHA-1）或128位（对于某些SHA-2函数）的二进制数。攻击者知道这个填充方案。
状态保持：哈希函数在处理信息的时候，会将信息分成固定大小的块，然后通过压缩函数逐块处理。每块处理结束后，压缩函数的输出会成为下一块处理的输入（称为"链式状态"或"中间哈希值"）。最终块处理完成后产生的输出便是整个消息的哈希值。
不需要初始状态：在进行哈希计算时，攻击者并不需要知道原始消息的具体内容，只需知道原始消息哈希的中间状态或最终状态。
哈哈哈，官方回答不是人话，这里简单来说就是：
想象一下，有一个秘密盒子（哈希函数），这个盒子可以把任何东西（数据）变成一堆乱码（哈希值），而且这个过程是单向的，就是说你不能从乱码再变回原来的东西。

通常，当你把一些东西放进这个盒子时，如果想要让盒子正常工作，你需要在东西的后面放些填充物，比如棉花。这个填充过程是按照一定的规则来的，比如先放一点特别的棉花，再放一些普通的棉花，最后放一点标记原来东西大小的棉花。

哈希长度扩展攻击就是有人发现了这个秘密：他们不需要知道你原来放进去的是什么，只要知道最后的乱码和你放进去东西的大小，他们就能在不打开盒子的情况下，在你的东西后面加上更多的东西和填充物，然后算出这个新组合的乱码。

这样他们就能假装知道你最初放进去的东西，实际上他们只是在你的东西后面加了些自己的东西，然后算出了一个看起来合理的乱码。

这种攻击之所以可行，是因为填充规则是公开的，而且这个秘密盒子在处理东西时有一些可以预测的特点。所以，如果别人知道你的乱码和你放进去东西的大小，他们就可能利用这些信息进行攻击。
hashump的使用：在kali上下载就好

$ hashpump -h
HashPump [-h help] [-t test] [-s signature] [-d data] [-a additional] [-k keylength]HashPump生成字符串以利用易受哈希长度扩展攻击的签名。-h --help显示此消息。-t --test运行测试以验证每个算法是否正常运行。-s --signature来自已知消息的签名。-d --data来自已知消息的数据。-a --additional您要添加到已知消息的信息。-k --keylength 用于对原始消息进行签名的密钥的长度（以字节为单位）。

-s 是指知道的哈希值
-k 是进行签名的长度
-d 已知的数据
-a 添加上去的已知数据

接下来就可以直接得出flag，因为MD5是不可逆的，除非你已经知道了flag形式的MD5，还知道了flag的很多内容，只有几个字符不知道的那种（想想也知道不可能！）

接下来就可以直接拿到flag！

真心希望我的文章能够使各位读者有所收获！

hash长度扩展攻击

相关文章：

hash长度扩展攻击

设计模式--命令模式

单例模式的七种写法

ElasticSearch入门介绍和实战

【FPGA】分享一些FPGA视频图像处理相关的书籍

AUTOSAR从入门到精通-车载以太网（四）

MySQL报错：1054 - Unknown column ‘xx‘ in ‘field list的解决方法

【Android 13】使用Android Studio调试系统应用之Settings移植（四）：40+个依赖子模块之ActionBarShadow

nosql-redis整合测试

智能化中的控制与自动化中的控制不同

java练习题之多态练习

[原创][R语言]股票分析实战[4]:周级别涨幅趋势的相关性

esp32使用lvgl，给图片取模显示图片

R语言使用scitb包10分钟快速绘制论文基线表

类和对象

Py之tensorflow-addons：tensorflow-addons的简介、安装、使用方法之详细攻略

STM32G4x FLASH 读写配置结构体（LL库下使用）

【AI提示词人物篇】创新艺术未来，让科技改变想象空间

登录shell与非登录shell、交互式与非交互式shell的知识点详细总结

【教学类-42-02】20231224 X-Y 之间加法题判断题2.0（按2:8比例抽取正确题和错误题）

轻量Http客户端工具VSCode和IDEA

机器学习或深度学习的数据读取工作（大数据处理）

Rust 生命周期

【论文解读】CNN-Based Fast HEVC Quantization Parameter Mode Decision

在Linux上安装CLion

R语言贝叶斯网络模型、INLA下的贝叶斯回归、R语言现代贝叶斯统计学方法、R语言混合效应（多水平/层次/嵌套）模型

多维时序 | Matlab实现PSO-GCNN粒子群优化分组卷积神经网络多变量时间序列预测

Oracle 学习（1）

华为HCIA认证H12-811题库新增

Nginx Unit 1.27.0 发布