0x00 背景

研究常見的https攻擊方法

Beast crime breach，并針對https的特性提出一些安全部署https的建議。

針對于HTTPS的攻擊，多存在于中間人攻擊的環境中，主要是針對于HTTPS所使用的壓縮算法和CBC加密模式，進行side-channel-attack。這幾類攻擊的前置條件都比較苛刻，且都需要受害主機提交很多次請求來收集破譯關鍵數據的足夠信息。

常見的攻擊方法，主要有，BEAST、Lucky-13、RC4 Biases、CRIME、TIME、BREACH等。主要對其中幾種進行介紹。

0x01 CRIME

Compression Ratio Info-leak Made Easy

攻擊原理

攻擊者控制受害者發送大量請求，利用壓縮算法的機制猜測請求中的關鍵信息，根據response長度判斷請求是否成功。

如下面的https頭，攻擊這可以控制的部分為get請求地址，想要猜測的部分為Cookie。那么攻擊者只需要在GET地址處，不斷變換猜測字符串，進行猜測。

GET /sessionid=a HTTP/1.1
Host: bank.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) 
Gecko/20100101 Firefox/16.0
Cookie: sessionid=d3b0c44298fc1c149afbf4c8996fb924
GET /sessionid=a HTTP/1.1
Host: bank.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0)
Gecko/20100101 Firefox/16.0
Cookie: sessionid=d3b0c44298fc1c149afbf4c8996fb924

比如上面的情況Response長度為 1000byte。

GET /sessionid=d HTTP/1.1
Host: bank.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0)
Gecko/20100101 Firefox/16.0
Cookie: sessionid=d3b0c44298fc1c149afbf4c8996fb924

當攻擊者猜對了cookie的第一個字母，Response的長度會縮小到9999byte。

當Response被SSL加密之后，如果使用RC4加密模式，長度并不會發生隨機改變。使用BCB加密模式時，因為padding的原因，長度會有略微的改變。

受影響的加密算法

Deflate = LZ77 + HuffMan
GZip = Headers + Data Compressed using Deflate

攻擊前提

攻擊者可以獲取受害者的網絡通信包。(中間人攻擊，ISP供應商)

瀏覽器和服務器支持均支持并使用壓縮算法。

攻擊這可以控制受害者發送大量請求并可以控制請求內容。

防御方法

客戶端可以升級瀏覽器來避免這種攻擊。

▪ Chrome: 21.0.1180.89 and above
▪ Firefox: 15.0.1 and above
▪ Opera: 12.01 and above
▪ Safari: 5.1.7 and above

服務器端可以通過禁用一些加密算法來防止此類攻擊。

Apache
• SSLCompression flag = “SSLCompression off”
• GnuTLSPriorities flag = “!COMP-DEFLATE"

禁止過于頻繁的請求。

修改壓縮算法流程，用戶輸入的數據不進行壓縮。

隨機添加長度不定的垃圾數據。

TLS 1.0.
SPDY protocol (Google).
Applications that uses TLS compression.
Mozilla Firefox (older versions) that support SPDY.
Google Chrome (older versions) that supported both TLS and SPDY.

POC

這個poc并不是模擬真實環境下的中間人攻擊，只是在python中利用CRIME的思想驗證了攻擊的可行性。

import string  
import zlib  
import sys  
import random  
    
charset = string.letters + string.digits  
    
COOKIE = ''.join(random.choice(charset) for x in range(30))  
    
HEADERS = ("POST / HTTP/1.1\r\n" 
           "Host: thebankserver.com\r\n" 
           "Connection: keep-alive\r\n" 
           "User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/22.0.1207.1 Safari/537.1\r\n" 
           "Accept: */*\r\n" 
           "Referer: https://thebankserver.com/\r\n" 
           "Cookie: secret="+COOKIE+"\r\n" 
           "Accept-Encoding: gzip,deflate,sdch\r\n" 
           "Accept-Language: en-US,en;q=0.8\r\n" 
           "Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3\r\n" 
           "\r\n")  
BODY =    ("POST / HTTP/1.1\r\n" 
           "Host: thebankserver.com\r\n" 
           "Connection: keep-alive\r\n" 
           "User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/22.0.1207.1 Safari/537.1\r\n" 
           "Accept: */*\r\n" 
           "Referer: https://thebankserver.com/\r\n" 
           "Cookie: secret=")  
cookie = ""  
    
def compress(data):  
    
    c = zlib.compressobj()  
    return c.compress(data) + c.flush(zlib.Z_SYNC_FLUSH)  
def getposset(perchar,chars):  
    posset = []  
    baselen = len(compress(HEADERS+perchar))  
    for i in chars:  
        t = len(compress(HEADERS+ perchar+i))  
        if (t<=baselen):  
            posset += i  
    return posset  
def doguess():  
    global cookie  
    while len(cookie)<30:  
        posset = getposset(BODY+cookie,charset)  
        trun = 1 
        tem_posset = posset  
        while 1<len(posset):  
            tem_body = BODY[trun:]  
            posset = getposset(tem_body+cookie,tem_posset)  
            trun = trun +1 
        if len(posset)==0:  
            return False 
        cookie += posset[0]  
        print posset[0]  
        return True 
    
while BODY.find("\r\n")>=0:  
    if not doguess():  
        print "(-)Changebody" 
        BODY = BODY[BODY.find("\r\n") + 2:]  
print "(+)orign  cookie"+COOKIE  
print "(+)Gotten cookie"+cookie 

#p#

0x02 TIME

Timing Info-leak Made Easy

攻擊原理 

攻擊者控制受害者發送大量請求，利用壓縮算法的機制猜測請求中的關鍵信息，根據response響應時間判斷請求是否成功。其實TIME和CRIME一樣都利用了壓縮算法，只不過CRIME是通過長度信息作為輔助，而TIME是通過時間信息作為輔助。 

Unable to render embedded object: File (1.jpg) not found.

如上圖當數據長度，大于MTU時會截斷為兩個包發送，這樣就會產生較大的相應時間差異。攻擊者吧包長控制在MTU左右，不斷嘗試猜測COOKIE。 Unable to render embedded object: File (QQ圖片20140724174303.jpg) not found.

如上圖所示，我們通過添加Padding來吧數據包大小增加到和MTU相等，Case 1中我們添加的extraByte和需要猜測的數據重合，因為壓縮算法的原因，并不會增加包的長度，而Case 2中extraByte和需要猜測的數據并不一致，導致了分包。攻擊這可以通過響應時間的不同來區分Case1 Case2兩種情況。 

攻擊前提 

攻擊這可以控制受害者發送大量請求并可以控制請求內容。

穩定的網絡環境。 

防御方法 

在解密Response過程中加入隨機的短時間延遲。

阻止短時間內的頻繁請求。 

0x03 BEAST 

Browser Exploit Against SSL/TLS 

攻擊原理 

攻擊者控制受害者發送大量請求，利用CBC加密模式猜測關鍵信息。

CBC模式工作的方法是當加密第i塊的時候，和第i-1塊的密文異或。更正式地表達如下：

Ci= E(Key, Ci-1 ⊕ Mi)

很顯然，當你加密第一塊的時候，沒有前一塊的密文和它異或，因此，標準的做法是產生一個隨機的初始化向量(IV)，并且用它和第一塊明文異或。第一塊M0的加密如下:

C0= E(Key, IV ⊕ M0).

然后，接著第一塊M1加密如下：

C1= E(Key, C0 ⊕ M1).

現在，除非C0 碰巧和IV一樣(這是非常不可能的)，那么，即使M0 = M1，對于加密函數來說，兩個輸入是不同的，因此，C0≠ C1。 CBC有兩種的基本的使用方法：

1. 對于每條記錄都認為是獨立的;為每一個記錄產生一個IV

2. 把所有的記錄當作一個鏈接在一起的大對象，并且在記錄之間繼續使用CBC的狀態。這意味著最后一條記錄n的IV是n-1條記錄的密文。

SSLV3和TLS1.0選擇的是第二個用法。這好像本來就是個錯誤

CBC有兩種的基本的使用方法：

1. 對于每條記錄都認為是獨立的;為每一個記錄產生一個IV

2. 把所有的記錄當作一個鏈接在一起的大對象，并且在記錄之間繼續使用CBC的狀態。這意味著最后一條記錄n的IV是n-1條記錄的密文。

SSL 3.0和TLS1.0選擇的是第二個用法。因此產生了加密算法的安全問題。

攻擊者可以把想要猜測的數據段替換掉成：

X ⊕ Ci-1 ⊕ P

當這個注入的內容被加密，X會被異或，結果傳給加密算法的明文塊如下：

Ci-1 ⊕ P

如果P==Mi ， 新的密文塊將和Ci一樣，這意味著，你的猜測是正確的。

攻擊前提

攻擊者可以獲取受害者的網絡通信包。(中間人攻擊，ISP供應商)

攻擊者需要能得到發送敏感數據端的一部分權限。以便將自己的信息插入SSL/TLS會話中。

攻擊者需要準確的找出敏感數據的密文段。

攻擊這可以控制受害者發送大量請求并可以控制請求內容。 

防御方法 

使用RC4加密模式代替BCB加密模式。

部署TLS 1.1或者更高級的版本，來避免SSL 3.0/TLS 1.0帶來的安全問題。

在服務端設置每傳輸固定字節，就改變一次加密秘鑰。 

影響范圍

TLS 1.0.
SPDY protocol (Google).
Applications that uses TLS compression.
Mozilla Firefox (older versions) that support SPDY.
Google Chrome (older versions) that supported both TLS and SPDY.

POC

僅在python上模擬了攻擊思想的實現，編碼中只實現了第一個字母的猜測。 

import sys  
import string  
import random  
from Crypto.Cipher import AES  
    
key = 'lyp62/22Sh2RlXJF' 
mode = AES.MODE_CBC  
vi = '1234567812345678' 
charset = string.letters + string.digits  
cookie = ''.join(random.choice(charset) for x in range(30))  
HEADERS = ("POST / HTTP/1.1\r\n" 
           "Host: thebankserver.com\r\n" 
           "Connection: keep-alive\r\n" 
           "User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/22.0.1207.1 Safari/537.1\r\n" 
           "Accept: */*\r\n" 
           "Referer: https://thebankserver.com/\r\n" 
           "Cookie: secret="+cookie+"\r\n" 
           "Accept-Encoding: gzip,deflate,sdch\r\n" 
           "Accept-Language: en-US,en;q=0.8\r\n" 
           "Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3\r\n" 
           "\r\n")  
global pad_num  
def add_padding(plaintext):  
    global pad_num  
    pad_num = 16 - len(plaintext) % 16 
    for i in range(0,pad_num):  
        plaintext += chr(pad_num)  
    return plaintext  
def check_padding(plaintext):  
    global pad_num  
    for i in range(1,pad_num+1):  
        if (plaintext[-i]!=chr(pad_num)):  
            return False 
    return True 
    
def encrypto(plaintext):  
    global pad_num  
    obj = AES.new(key,mode,vi)  
    if (len(plaintext) % 16):  
        plaintext = add_padding(plaintext)  
    else:  
        pad_num=0 
    ciphertext = obj.encrypt(plaintext)  
    if (check_padding(ciphertext)):  
        return ciphertext  
    else:  
        return 0 
    
def decrypto(ciphertext):  
    obj = AES.new(key,mode,vi)  
    plaintext = obj.decrypt(ciphertext)  
    return plaintext  
    
def findcookie():  
    global HEADERS  
    return HEADERS.find('secret=')+7 
    
guess_cookie='' 
pos_cookie=findcookie()  
pos_block_s = pos_cookie + 16 - pos_cookie%16 
HEADERS = HEADERS[:pos_cookie] + (16 - pos_cookie % 16 + 15)*'a' +HEADERS[pos_cookie:]  
encry_head = encrypto(add_padding(HEADERS))  
per_per_block = encry_head[pos_block_s - 16:pos_block_s]   #Ci-1  
per_block = encry_head[pos_block_s:pos_block_s+16]         #x  
aft_block = encry_head[pos_block_s+16:pos_block_s+32]      #Ci+1  
for i in charset:  
    guess_block = 'a' * 15 + i  
    insert_block = ''.join(chr(ord(a) ^ ord(b) ^ ord(c)) for a,b,c in zip(per_block,per_per_block,guess_block))  
    temp_header = HEADERS[:pos_block_s+16] + insert_block + HEADERS[pos_block_s+16:]  
    encry_temp_header = encrypto(add_padding(temp_header))  
    if (aft_block == encry_temp_header[pos_block_s+32:pos_block_s+48]):  
        print "(+)first byte is:"+i  
print "(+)orign cookie:"+cookie 

攻擊者首先使用降級攻擊，來讓瀏覽器使用ssl v3.0，再通過ssl v3.0 CBC-mode 存在的缺陷，竊取到用戶傳輸的明文。#p#

0x04 POODLE 

降級攻擊

ssl v3.0是一個存在了很久的協議了，現在大多數瀏覽器為了兼容性都會支持這個協議，但是并不會首先使用這個協議，中間人攻擊者可以駁回瀏覽器協商高版本協議的請求，只放行ssl v3.0協議。

Padding Oracle攻擊

針對于CBC的攻擊之前已經有一些了，比如，Beast，Lucky17之類的，詳細可以看這里

首先來看CBC-mod的加解密流程。

解密流程

加密流程

校驗流程

MAC1 = hash(明文)

密文 = Encode(明文+MAC1+Padding,K) 明文 = Decode(密文，k) - MAC1-Padding(padding的長度由最后一個字節標識)

MAC2 = hash(明文) 如果 MAC1 == MAC2 則校驗成功 否則失敗

知二求三

Padding Oracle 攻擊一般都會滿足一個知二求三的規律，如下圖

(1) VI

(2) 解密后的數據，叫它 midText把

(3) Plaintext

這三個值我們得到其中兩個就可以推出另外一個，因為他們在一起Xor了嘛。

http://drops.wooyun.org/wp-content/uploads/2014/12/file0004.jpg

在Poodle攻擊中，我們會把最后一個數據塊替換成我們想要猜測的數據塊。如下圖所示。

這樣導致的直接后果就是，CBC完整性驗證失敗，數據包被駁回。我們假設最后一個數據塊均為padding組成(其實我們可以通過控制包的長度來達到這一目的，比如增加path的長度)

那么當且僅當Plaintext[7] == 7(block為16為時為15) 的時候CBC完整性校驗才會通過。如果不為7，多刪或者少刪的padding，都會影響到MAC的正確取值，從而導致校驗失敗。

那么，我們只需要不斷地更改(1) IV 最后一位的值 ，直到(3) Plaintext最后一位為 7 (CBC驗證通過)的時候，我們就可以推出 (2) mid text 的最后一位。

#p#

0x05 安全配置建議

此處的安全配置以nginx為例，主要在Nginx.conf中配置。

使用較為安全的SSL加密協議。

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

使用嚴格的加密方法設置。

ssl_ciphers 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4';

優先依賴服務器密碼。

ssl_prefer_server_ciphers on;

啟用HSTS協議。

add_header Strict-Transport-Security max-age=15768000;

重定向的配置

server {
listen 80;
add_header Strict-Transport-Security max-age=15768000;
return 301 https://www.yourwebsite.com$request_uri;
}

使用2048位的數字證書

openssl dhparam -out dhparam.pem 2048
ssl_dhparam /path/to/dhparam.pem;

 【編輯推薦】