[Dream Hack - Crypto] Padding Oracle

PKCS#7 패딩

1. 패딩 길이 계산: 패딩은 마지막 블록의 길이가 블록 크기와 다를 때 추가됩니다. 패딩의 값은 추가되어야 하는 바이트 수로 표현됩니다.
2. 패딩 값의 일관성: 패딩 값은 추가되어야 하는 바이트 수로 일관성을 유지하며, 예를 들어 1바이트가 추가되어야 한다면 0x01, 2바이트가 추가되어야 한다면 0x02로 채워집니다. 이는 패딩을 나중에 제거할 때 어디까지가 패딩인지 쉽게 판단할 수 있도록 합니다.
3. 모든 바이트가 패딩인 경우: 만약 데이터의 길이가 블록 크기의 정확한 배수일 때, 블록 크기만큼의 패딩이 추가됩니다. 이때 추가되는 모든 바이트 값은 패딩 값으로 사용됩니다.
4. 패딩 제거 시 유효성 확인: 패딩 제거 시에는 추가된 패딩 값이 올바른지 확인해야 합니다. 이를 통해 데이터의 무결성을 유지합니다.

 

Oracle Padding Attack

AES Oracle Padding Attack은 패딩이 적용된 암호문에 대한 오라클 서비스를 이용하여 평문을 추출하는 공격 기법입니다. 이 공격은 주로 블록 암호화 모드 중 하나인 CBC (Cipher Block Chaining) 모드에서 발생하며, 패딩 오라클이 암호문의 패딩이 유효한지 확인하는 서비스일 때 활용됩니다.

 

공격 과정:

1. 암호문 수집: 공격자는 패딩이 적용된 AES 암호문을 얻습니다.
2. 패딩 오라클 서비스 이용: 공격자는 패딩 오라클 서비스를 이용하여 암호문을 복호화합니다. 패딩 오라클은 패딩이 올바르지 않은 경우 에러를 반환하거나 특별한 신호를 줄 수 있습니다.
3. 패딩이 유효한지 확인: 공격자는 패딩 오라클이 반환한 정보를 분석하여 패딩이 정확한지 여부를 판단합니다. 패딩이 올바르면 오라클은 정상적인 복호화 결과를 반환하고, 패딩이 올바르지 않으면 오류를 반환합니다.
4. 블록 별 복호화: 공격자는 암호문의 끝부터 시작하여 블록을 하나씩 복호화합니다. 각 블록을 복호화할 때 패딩을 조정하여 오라클에 올바른 패딩을 적용하도록 합니다.
5. 전체 메시지 복호화: 각 블록을 복호화하여 전체 메시지를 복구합니다.

 

풀이 코드

서버의 응답 값으로 Padding에 올바르지 않은 경우(ValueError), Padding은 정상적이지만 복호화가 잘못되었을 경우(JSONDecodeError)로 구분할 수 있다.

import base64
from urllib import parse
import requests

API_URL = "<http://host3.dreamhack.games:23349/>"
BLOCK_SIZE = 16

def cbc_byte_decryption(ciphertext, index, block_size) :
    burtf_i = index - block_size
    burtf_c = ciphertext[burtf_i]

    for i in range(0x00, 0xff+1) :
        ciphertext[index - block_size] = i ^ burtf_c
        enc_encoding = parse.quote(base64.b64encode(ciphertext))

        params = f'secure/decrypt?token=abc&e_data={enc_encoding}&sig=abc'
        response = requests.get(API_URL + params).json()
        if(response['result']['message'] != 'ValueError') :
            return i ^ (2*block_size - index)
    return None

def cbc_block_decryption(ciphertext) :
    decipher_text = [0] * BLOCK_SIZE
    modified_block = ciphertext[:]

    for index in range(BLOCK_SIZE - 1, -1, -1) : ## 복호화할 인덱스 순서

        for i in range(index + 1, BLOCK_SIZE) : ## i보다 큰 인덱스 패딩 적용
            modified_block[i] = decipher_text[i] ^ ciphertext[i] ^ (BLOCK_SIZE - index)
        decipher_text[index] = cbc_byte_decryption(modified_block, index + BLOCK_SIZE, BLOCK_SIZE)
        print((chr)(decipher_text[index]))
    return ''.join(chr(i) for i in decipher_text)

response = requests.get(API_URL + "gb/1")  
enc_data = base64.b64decode(response.json()['result']['article']['enc_data'])

enc_01 = bytearray(enc_data[0 : 2*BLOCK_SIZE])
enc_02 = bytearray(enc_data[BLOCK_SIZE : 3*BLOCK_SIZE])

dec_01 = cbc_block_decryption(enc_01) 
dec_02 = cbc_block_decryption(enc_02)
print(dec_01) 
print(dec_02)

## p45$W0Rd