웹 보안 - PHP 매직 해시(Magic Hashes) 취약점

728x90

타입 저글링(Type Juggling)

PHP는 타입 강도가 약하기 때문에 상황에 따라 타입이 동적으로 변하게 되는데 이를 타입 저글링(Type Juggling)이라고 한다.

타입 캐스팅과 다른 점은 프로그래머가 명시적으로 지정 ex) (float) a 하는 것을 타입 캐스팅이고,

프로그래밍 언어가 자동적으로 변환해주는 것을 타입 저글링이라고 하는 것 같다.

php > var_dump(5 * "2");
int(10)

정수형(int) 5와 문자형(string) 2를 연산시키면 정수형(int) 10이 반환된다.

마찬가지로 $a == $b를 비교할 때 또한 타입 저글링을 거치게 된다.

php > var_dump('1234'==1234);
bool(true)

php > var_dump("123" == "123.0");
bool(true)

문자열(string) 123과 문자열(string) 123.0의 비교 결과는 놀랍게도 같다고 나온다.

매직 해시(Magic Hashes)

프로그래밍 언어에서 지수를 표현할 때에는 ex) 1*10^2 = 1e2 이런 식으로 알파벳 e를 사용한다.

해시 함수를 거치게 되면서 이런 지수형태처럼 보이는 경우가 있는데 이를 매직 해시(Magic Hashes)라고 한다.

php > var_dump(md5("240610708"));
string(32) "0e462097431906509019562988736854"

매우 드물게 0e{숫자} 형태로 시작하는 문자열이다.

여기서 문제가 발생하게 된다.

만약 md5를 거친 패스워드가 0e{숫자} 형태가 나왔으며, 사용자로 부터 비밀번호를 입력받아 해시를 거친 게 또 0e{숫자} 형태일 경우

아래의 식처럼 == (Equal)를 사용하면 타입 저글링을 거치게 되면서 두 수의 결과는 0과 0이므로

(0e{숫자}의 결과는 언제나 0 [0*10^숫자 = 0])

참이 나오게 된다.

php > var_dump(md5("240610708") == md5("QNKCDZO"));
bool(true)

대처 방법

타입 저글링을 거치지 않는 즉 같은 타입인 string과 string으로 계산하는 === (Identical)을 사용하는 방법이 있다.

php > var_dump(md5("240610708") === md5("QNKCDZO"));
bool(false)

해시 함수 종류별 매직 해시(Magic Hashes) 모음

아래 깃허브 주소로 가면 MD5, SHA-1, SHA-224, SHA-256 등 다양한 해시 함수들의 매직 해시를 확인할 수 있다.

https://github.com/spaze/hashes

GitHub - spaze/hashes: Magic hashes – PHP hash "collisions"

Magic hashes – PHP hash "collisions". Contribute to spaze/hashes development by creating an account on GitHub.

github.com

[MD5]
240610708:0e462097431906509019562988736854
QLTHNDT:0e405967825401955372549139051580
QNKCDZO:0e830400451993494058024219903391
PJNPDWY:0e291529052894702774557631701704
NWWKITQ:0e763082070976038347657360817689
NOOPCJF:0e818888003657176127862245791911

...

[sha256]
34250003024812:0e46289032038065916139621039085883773413820991920706299695051332
TyNOQHUS:0e66298694359207596086558843543959518835691168370379069085300385
CGq'v]`1:0e24075800390395003020016330244669256332225005475416462877606139
\}Fr@!-a:0e72388986848908063143227157175161069826054332235509517153370253
|+ydg uahashcat:0e47232208479423947711758529407170319802038822455916807443812134

출처 및 참고:
https://youtu.be/VCwiZ2dh17Q

https://www.tcpschool.com/php/php_basic_typeJuggling

코딩교육 티씨피스쿨

4차산업혁명, 코딩교육, 소프트웨어교육, 코딩기초, SW코딩, 기초코딩부터 자바 파이썬 등

tcpschool.com

https://rootable.tistory.com/148

매직해시(Magic Hashes) 취약점

* 매직해시(Magic Hashes)란 ? - 비교 연산을 할 때 Type Juggling을 이용하여 서로 다른 값이 같은 값으로 인식되도록 하는 특수한 동작 - 항상 가능한 것이 아니라 특수한 경우('0e'로 시작하는 문자열일

rootable.tistory.com

https://www.php.net/manual/en/language.operators.comparison.php

728x90

'🔒정보보안 > 웹 보안' 카테고리의 다른 글

웹 보안 - OSINT 도구 모음 프레임워크(OSINT Framework) (0)	2023.07.13
웹 보안 - OSINT 웹사이트 정보 수집 도구(urlscan.io) (1)	2023.07.13
웹 해킹 - 리버스 쉘 명령어 모음 사이트(revshells.com) (0)	2023.03.16
웹 보안 - PHP 간단한 웹쉘(easy-simple-php-webshell.php) (0)	2023.02.02
웹 보안 - 바인드 쉘, 리버스 쉘, 더블 리버스 쉘 (0)	2022.12.05

HackLog

웹 보안 - PHP 매직 해시(Magic Hashes) 취약점

'🔒정보보안 > 웹 보안' 카테고리의 다른 글

티스토리툴바

웹 보안 - PHP 매직 해시(Magic Hashes) 취약점

'🔒정보보안 > 웹 보안' 카테고리의 다른 글

관련글

티스토리툴바