常见HTTPS攻击方法解析

1、常见 HTTPS 攻击方法解析0 x00 背景研究常见的 https 攻击方法Beast crime breach，并针对https 的特性提出一些安全部署https 的建议。针对于 HTTPS 的攻击，多存在于中间人攻击的环境中，主要是针对于HTTPS 所使用的压缩算法和CBC 加密模式，进行 side-channel-attack。这几类攻击的前置条件都比较苛刻，且都需要受害主机提交很多次请求来收集破译关键数据的足够信息。常见的攻击方法，主要有，BEAST、Lucky-13、RC4 Biases、CRIME、TIME、BREACH 等。主要对其中几种进行介绍。0 x01 CRIMEComp

2、ression Ratio Info-leak Made Easy攻击原理攻击者控制受害者发送大量请求，利用压缩算法的机制猜测请求中的关键信息，根据 response 长度判断请求是否成功。如下面的 https 头，攻击这可以控制的部分为get 请求地址，想要猜测的部分为Cookie。那么攻击者只需要在 GET 地址处，不断变换猜测字符串，进行猜测。GET /sessionid=a HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0Cookie:

3、sessionid=d3b0c44298fc1c149afbf4c8996fb924GET /sessionid=a HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0)Gecko/20100101 Firefox/16.0Cookie: sessionid=d3b0c44298fc1c149afbf4c8996fb924比如上面的情况 Response 长度为 1000byte。GET /sessionid=d HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Window

4、s NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0Cookie: sessionid=d3b0c44298fc1c149afbf4c8996fb924当攻击者猜对了 cookie 的第一个字母，Response 的长度会缩小到 9999byte。当 Response 被 SSL 加密之后，如果使用RC4 加密模式，长度并不会发生随机改变。使用 BCB 加密模式时， 因为 padding 的原因，长度会有略微的改变。受影响的加密算法Deflate = LZ77 + HuffManGZip = Headers + Data Compresse

5、d using Deflate攻击前提攻击者可以获取受害者的网络通信包。(中间人攻击，ISP 供应商)浏览器和服务器支持均支持并使用压缩算法。攻击这可以控制受害者发送大量请求并可以控制请求内容。防御方法客户端可以升级浏览器来避免这种攻击。Chrome: 21.0.1180.89 and aboveFirefox: 15.0.1 and aboveOpera: 12.01 and aboveSafari: 5.1.7 and above服务器端可以通过禁用一些加密算法来防止此类攻击。ApacheSSLCompression flag = “SSLCompression off”GnuTLSPri

6、orities flag = “!COMP-DEFLATE禁止过于频繁的请求。修改压缩算法流程，用户输入的数据不进行压缩。随机添加长度不定的垃圾数据。TLS 1.0.SPDY protocol (Google).Applications that uses TLS compression.Mozilla Firefox (older versions) that support SPDY.Google Chrome (older versions) that supported both TLS and SPDY.POC这个 poc 并不是模拟真实环境下的中间人攻击，只是在python 中利用

7、CRIME 的思想验证了攻击的可行性。import stringimport zlibimport sysimport random 5.6. charset = string.letters + string.digits 7.8. COOKIE = .join(random.choice(charset) for x in range(30) 9.HEADERS = (POST / HTTP/1.1rnHost: rnConnection: keep-alivernUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKi t/53

8、7.1 (KHTML, like Gecko) Chrome/22.0.1207.1 Safari/537.1rnAccept: */*rnReferer: /rnCookie: secret=+COOKIE+rnAccept-Encoding: gzip,deflate,sdchrnAccept-Language: en-US,en;q=0.8rn19.Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3rn20.rn)BODY =(POST / HTTP/1.1rnHost: rnConnection: keep-alivernUser-Agent:

9、 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKi t/537.1 (KHTML, like Gecko) Chrome/22.0.1207.1 Safari/537.1rnAccept: */*rnReferer: /rnCookie: secret=)cookie = 29.30. def compress(data):31.c = pressobj()return press(data) + c.flush(zlib.Z_SYNC_FLUSH)def getposset(perchar,chars):posset = baselen = len

10、(compress(HEADERS+perchar)for i in chars:t = len(compress(HEADERS+ perchar+i)if (t=baselen):posset += ireturn possetdef doguess():global cookiewhile len(cookie)30:posset = getposset(BODY+cookie,charset)trun = 1tem_posset = possetwhile 1=0:if not doguess():print (-)ChangebodyBODY = BODYBODY.find(rn)

11、+ 2:print (+)origncookie+COOKIEprint (+)Gotten cookie+cookie0 x02 TIMETiming Info-leak Made Easy攻击原理Unable to render embedded object: File (1.jpg) not found.攻击者控制受害者发送大量请求，利用压缩算法的机制猜测请求中的关键信息，根据 response 响应时间判断请求是否成功。其实 TIME 和CRIME 一样都利用了压缩算法，只不过 CRIME 是通过长度信息作为辅助，而TIME 是通过时间信息作为辅助。如上图当数据长度，大于 MTU 时

12、会截断为两个包发送，这样就会产生较大的相应时间差异。攻击者吧包长控制在 MTU 左右，不断尝试猜测COOKIE。 Unable to render embedded object: File (QQ 图片20140724174303.jpg) not found.如上图所示，我们通过添加 Padding 来吧数据包大小增加到和MTU 相等，Case 1 中我们添加的extraByte 和需要猜测的数据重合，因为压缩算法的原因，并不会增加包的长度，而Case 2 中extraByte 和需要猜测的数据并不一致，导致了分包。攻击这可以通过响应时间的不同来区分 Case1 Case2 两种情况。攻击

13、前提攻击这可以控制受害者发送大量请求并可以控制请求内容。稳定的网络环境。防御方法在解密 Response 过程中加入随机的短时间延迟。阻止短时间内的频繁请求。0 x03 BEASTBrowser Exploit Against SSL/TLS攻击原理攻击者控制受害者发送大量请求，利用 CBC 加密模式猜测关键信息。CBC 模式工作的方法是当加密第i 块的时候，和第i-1 块的密文异或。更正式地表达如下：Ci= E(Key, Ci-1 Mi)很显然，当你加密第一块的时候，没有前一块的密文和它异或，因此，标准的做法是产生一个随机的初始化向量(IV)，并且用它和第一块明文异或。第一块M0 的加密如下

14、:C0= E(Key, IV M0).然后，接着第一块 M1 加密如下：C1= E(Key, C0 M1).现在，除非 C0 碰巧和 IV 一样(这是非常不可能的)，那么，即使M0 = M1，对于加密函数来说，两个输入是不同的，因此，C0 C1。 CBC 有两种的基本的使用方法：对于每条记录都认为是独立的;为每一个记录产生一个 IV把所有的记录当作一个链接在一起的大对象，并且在记录之间继续使用 CBC 的状态。这意味着最后一条记录 n 的IV 是 n-1 条记录的密文。SSLV3 和 TLS1.0 选择的是第二个用法。这好像本来就是个错误CBC 有两种的基本的使用方法：对于每条记录都认为是独立

15、的;为每一个记录产生一个 IV把所有的记录当作一个链接在一起的大对象，并且在记录之间继续使用 CBC 的状态。这意味着最后一条记录 n 的IV 是 n-1 条记录的密文。SSL 3.0 和 TLS1.0 选择的是第二个用法。因此产生了加密算法的安全问题。攻击者可以把想要猜测的数据段替换掉成：X Ci-1 P当这个注入的内容被加密，X 会被异或，结果传给加密算法的明文块如下：Ci-1 P如果 P=Mi ， 新的密文块将和Ci 一样，这意味着，你的猜测是正确的。攻击前提攻击者可以获取受害者的网络通信包。(中间人攻击，ISP 供应商)攻击者需要能得到发送敏感数据端的一部分权限。以便将自己的信息插入

16、SSL/TLS 会话中。攻击者需要准确的找出敏感数据的密文段。攻击这可以控制受害者发送大量请求并可以控制请求内容。防御方法使用 RC4 加密模式代替BCB 加密模式。部署 TLS 1.1 或者更高级的版本，来避免SSL 3.0/TLS 1.0 带来的安全问题。在服务端设置每传输固定字节，就改变一次加密秘钥。影响范围TLS 1.0.SPDY protocol (Google).Applications that uses TLS compression.Mozilla Firefox (older versions) that support SPDY.Google Chrome (older

17、versions) that supported both TLS and SPDY.POC仅在 python 上模拟了攻击思想的实现，编码中只实现了第一个字母的猜测。import sysimport stringimport randomfrom Crypto.Cipher import AES 5.key = lyp62/22Sh2RlXJFmode = AES.MODE_CBC8. vi = 1234567812345678charset = string.letters + string.digitscookie = .join(random.choice(charset) for x

18、 in range(30)HEADERS = (POST / HTTP/1.1rnHost: rnConnection: keep-alivernUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKi t/537.1 (KHTML, like Gecko) Chrome/22.0.1207.1 Safari/537.1rnAccept: */*rnReferer: /rnCookie: secret=+cookie+rnAccept-Encoding: gzip,deflate,sdchrnAccept-Language: en-U

19、S,en;q=0.8rn20.Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3rn21.rn)global pad_numdef add_padding(plaintext):global pad_numpad_num = 16 - len(plaintext) % 16for i in range(0,pad_num):plaintext += chr(pad_num)return plaintextdef check_padding(plaintext):global pad_numfor i in range(1,pad_num+1):if (

20、plaintext-i!=chr(pad_num):return Falsereturn True 35.def encrypto(plaintext):global pad_numobj = AES.new(key,mode,vi)if (len(plaintext) % 16):plaintext = add_padding(plaintext)else:pad_num=0ciphertext = obj.encrypt(plaintext)if (check_padding(ciphertext):return ciphertextelse:return 0 48.def decrypt

21、o(ciphertext):obj = AES.new(key,mode,vi)plaintext = obj.decrypt(ciphertext)return plaintext 53.def findcookie():global HEADERSreturn HEADERS.find(secret=)+7 57.guess_cookie=pos_cookie=findcookie()pos_block_s = pos_cookie + 16 - pos_cookie%16HEADERS = HEADERS:pos_cookie + (16 - pos_cookie % 16 + 15)*

22、a +HEAD ERSpos_cookie:encry_head = encrypto(add_padding(HEADERS)per_per_block = encry_headpos_block_s - 16:pos_block_s#Ci-1per_block = encry_headpos_block_s:pos_block_s+16#xaft_block = encry_headpos_block_s+16:pos_block_s+32#Ci+1for i in charset:guess_block = a * 15 + iinsert_block = .join(chr(ord(a

23、) ord(b) ord(c) for a,b,c inzip(per_block,per_per_block,guess_block)temp_header = HEADERS:pos_block_s+16 + insert_block + HEADERSpo s_block_s+16:encry_temp_header = encrypto(add_padding(temp_header)if (aft_block = encry_temp_headerpos_block_s+32:pos_block_s+48):print (+)first byte is:+iprint(+)orign

24、 cookie:+cookie攻击者首先使用降级攻击，来让浏览器使用 ssl v3.0，再通过ssl v3.0 CBC-mode 存在的缺陷，窃取到用户传输的明文。0 x04 POODLE降级攻击ssl v3.0 是一个存在了很久的协议了，现在大多数浏览器为了兼容性都会支持这个协议，但是并不会首先使用这个协议，中间人攻击者可以驳回浏览器协商高版本协议的请求，只放行 ssl v3.0 协议。Padding Oracle 攻击针对于 CBC 的攻击之前已经有一些了，比如，Beast，Lucky17 之类的，详细可以看这里首先来看 CBC-mod 的加解密流程。解密流程加密流程校验流程MAC1 =

25、hash(明文)密文 = Encode(明文+MAC1+Padding,K) 明文 = Decode(密文，k) - MAC1-Padding(padding 的长度由最后一个字节标识)MAC2 = hash(明文) 如果 MAC1 = MAC2 则校验成功 否则失败知二求三Padding Oracle 攻击一般都会满足一个知二求三的规律，如下图VI解密后的数据，叫它 midText 把Plaintext这三个值我们得到其中两个就可以推出另外一个，因为他们在一起 Xor 了嘛。 HYPERLINK /wp-content/uploads/2014/12/file0004.jpg /wp-con

26、tent/uploads/2014/12/file0004.jpg在 Poodle 攻击中，我们会把最后一个数据块替换成我们想要猜测的数据块。如下图所示。这样导致的直接后果就是，CBC 完整性验证失败，数据包被驳回。我们假设最后一个数据块均为padding组成(其实我们可以通过控制包的长度来达到这一目的，比如增加 path 的长度)那么当且仅当 Plaintext7 = 7(block 为 16 为时为 15) 的时候CBC 完整性校验才会通过。如果不为 7， 多删或者少删的 padding，都会影响到MAC 的正确取值，从而导致校验失败。那么，我们只需要不断地更改(1) IV 最后一位的值 ，直到(3) Plaintext 最后一位为 7 (CBC 验证通过) 的时候，我们就可以推出 (2) mid text 的最后一位。0 x05 安全配置建议此处的安全配置以 nginx 为例，主要在Nginx.conf 中配置。使用较为安全的 SSL 加密协议。ssl_protocols TLSv1 TLSv1.1 TLSv1.2;使用严格的加密方法设置。ssl_ciphersECD