BBUCTF刷题记录
CTF--Crypto--BUUCTF
BUUCTF
Crypto
RSA
[NCTF2019]babyRSA
task:
from Crypto.Util.number import *
from flag import flag
def nextPrime(n):
n += 2 if n & 1 else 1
while not isPrime(n):
n += 2
return n
p = getPrime(1024)
q = nextPrime(p)
n = p * q
e = 0x10001
d = inverse(e, (p-1) * (q-1))
c = pow(bytes_to_long(flag.encode()), e, n)
# d = 19275778946037899718035455438175509175723911466127462154506916564101519923603308900331427601983476886255849200332374081996442976307058597390881168155862238533018621944733299208108185814179466844504468163200369996564265921022888670062554504758512453217434777820468049494313818291727050400752551716550403647148197148884408264686846693842118387217753516963449753809860354047619256787869400297858568139700396567519469825398575103885487624463424429913017729585620877168171603444111464692841379661112075123399343270610272287865200880398193573260848268633461983435015031227070217852728240847398084414687146397303110709214913
# c = 5382723168073828110696168558294206681757991149022777821127563301413483223874527233300721180839298617076705685041174247415826157096583055069337393987892262764211225227035880754417457056723909135525244957935906902665679777101130111392780237502928656225705262431431953003520093932924375902111280077255205118217436744112064069429678632923259898627997145803892753989255615273140300021040654505901442787810653626524305706316663169341797205752938755590056568986738227803487467274114398257187962140796551136220532809687606867385639367743705527511680719955380746377631156468689844150878381460560990755652899449340045313521804
analysis:
这道题已经给出了私钥d,但是我们缺少的时公钥n。我们进行以下分析:
\[\begin{flalign}
&ed≡1(mod\quad phi)->e*d-1=k*phi\\
&(e * d - 1).bit\_length\approx 2064\\
&p.bit\_length=1024,q = nextprime\\
&(p * q).bit\_length\approx2048->k.bit\_length\approx16\\
&((p - 1)(q - 1))^{1\over2}\approx p\quad or\quad q->p = prevprime(((p - 1)(q - 1))^{1\over2}),q = nextprime(((p - 1)(q - 1))^{1\over2})&
\end{flalign}
\]
因此我们对k进行爆破即可。
注意:我们在进行爆破解密的时候一定要尽可能多地加下一步进行的判断条件,否则用时可能过长。
exp:
from Crypto.Util.number import *
from gmpy2 import *
from sympy import *
d = 19275778946037899718035455438175509175723911466127462154506916564101519923603308900331427601983476886255849200332374081996442976307058597390881168155862238533018621944733299208108185814179466844504468163200369996564265921022888670062554504758512453217434777820468049494313818291727050400752551716550403647148197148884408264686846693842118387217753516963449753809860354047619256787869400297858568139700396567519469825398575103885487624463424429913017729585620877168171603444111464692841379661112075123399343270610272287865200880398193573260848268633461983435015031227070217852728240847398084414687146397303110709214913
c = 5382723168073828110696168558294206681757991149022777821127563301413483223874527233300721180839298617076705685041174247415826157096583055069337393987892262764211225227035880754417457056723909135525244957935906902665679777101130111392780237502928656225705262431431953003520093932924375902111280077255205118217436744112064069429678632923259898627997145803892753989255615273140300021040654505901442787810653626524305706316663169341797205752938755590056568986738227803487467274114398257187962140796551136220532809687606867385639367743705527511680719955380746377631156468689844150878381460560990755652899449340045313521804
e = 65537
temp = e * d - 1
# print((d * e).bit_length()) 2064
for k in range(2**15,2**18):
if temp % k == 0: # 该限制条件可大大缩短爆破时间
phi = temp // k
p = prevprime(iroot(phi,2)[0])
q = next_prime(iroot(phi,2)[0])
if inverse(e,(p - 1) * (q - 1)) == d:
print(long_to_bytes(pow(c,d,p * q)))
break
# NCTF{70u2_nn47h_14_v3ry_gOO0000000d}
[AFCTF2018]可怜的RSA
task:
下载附件后打开有两个文件.
flag.enc
public.key
analysis:
可以看出是RSA的公钥解析攻击。用记事本打开文件,有如下内容:
flag.enc:
GVd1d3viIXFfcHapEYuo5fAvIiUS83adrtMW/MgPwxVBSl46joFCQ1plcnlDGfL19K/3PvChV6n5QGohzfVyz2Z5GdTlaknxvHDUGf5HCukokyPwK/1EYU7NzrhGE7J5jPdi0Aj7xi/Odxy0hGMgpaBLd/nL3N8O6i9pc4Gg3O8soOlciBG/6/xdfN3SzSStMYIN8nfZZMSq3xDDvz4YB7TcTBh4ik4wYhuC77gmT+HWOv5gLTNQ3EkZs5N3EAopy11zHNYU80yv1jtFGcluNPyXYttU5qU33jcp0Wuznac+t+AZHeSQy5vk8DyWorSGMiS+J4KNqSVlDs12EqXEqqJ0uA==
public.key:
-----BEGIN PUBLIC KEY-----
MIIBJDANBgkqhkiG9w0BAQEFAAOCAREAMIIBDAKCAQMlsYv184kJfRcjeGa7Uc/4
3pIkU3SevEA7CZXJfA44bUbBYcrf93xphg2uR5HCFM+Eh6qqnybpIKl3g0kGA4rv
tcMIJ9/PP8npdpVE+U4Hzf4IcgOaOmJiEWZ4smH7LWudMlOekqFTs2dWKbqzlC59
NeMPfu9avxxQ15fQzIjhvcz9GhLqb373XDcn298ueA80KK6Pek+3qJ8YSjZQMrFT
+EJehFdQ6yt6vALcFc4CB1B6qVCGO7hICngCjdYpeZRNbGM/r6ED5Nsozof1oMbt
Si8mZEJ/Vlx3gathkUVtlxx/+jlScjdM7AFV5fkRidt0LkwosDoPoRz/sDFz0qTM
5q5TAgMBAAE=
-----END PUBLIC KEY-----
第一部分很明显,base64加密,第二部分在线公钥解析获得公钥(n,e):
e = 65537
n = 79832181757332818552764610761349592984614744432279135328398999801627880283610900361281249973175805069916210179560506497075132524902086881120372213626641879468491936860976686933630869673826972619938321951599146744807653301076026577949579618331502776303983485566046485431039541708467141408260220098592761245010678592347501894176269580510459729633673468068467144199744563731826362102608811033400887813754780282628099443490170016087838606998017490456601315802448567772411623826281747245660954245413781519794295336197555688543537992197142258053220453757666537840276416475602759374950715283890232230741542737319569819793988431443
# yafu
p = 3133337
q = 25478326064937419292200172136399497719081842914528228316455906211693118321971399936004729134841162974144246271486439695786036588117424611881955950996219646807378822278285638261582099108339438949573034101215141156156408742843820048066830863814362379885720395082318462850002901605689761876319151147352730090957556940842144299887394678743607766937828094478336401159449035878306853716216548374273462386508307367713112073004011383418967894930554067582453248981022011922883374442736848045920676341361871231787163441467533076890081721882179369168787287724769642665399992556052144845878600126283968890273067575342061776244939
exp:
import gmpy2
import base64
from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_OAEP
p=3133337
q=25478326064937419292200172136399497719081842914528228316455906211693118321971399936004729134841162974144246271486439695786036588117424611881955950996219646807378822278285638261582099108339438949573034101215141156156408742843820048066830863814362379885720395082318462850002901605689761876319151147352730090957556940842144299887394678743607766937828094478336401159449035878306853716216548374273462386508307367713112073004011383418967894930554067582453248981022011922883374442736848045920676341361871231787163441467533076890081721882179369168787287724769642665399992556052144845878600126283968890273067575342061776244939
n=p*q
e=65537
phi = (p - 1) * (q - 1)
d = gmpy2.invert(e, phi)
text = 'GVd1d3viIXFfcHapEYuo5fAvIiUS83adrtMW/MgPwxVBSl46joFCQ1plcnlDGfL19K/3PvChV6n5QGohzfVyz2Z5GdTlaknxvHDUGf5HCukokyPwK/1EYU7NzrhGE7J5jPdi0Aj7xi/Odxy0hGMgpaBLd/nL3N8O6i9pc4Gg3O8soOlciBG/6/xdfN3SzSStMYIN8nfZZMSq3xDDvz4YB7TcTBh4ik4wYhuC77gmT+HWOv5gLTNQ3EkZs5N3EAopy11zHNYU80yv1jtFGcluNPyXYttU5qU33jcp0Wuznac+t+AZHeSQy5vk8DyWorSGMiS+J4KNqSVlDs12EqXEqqJ0uA=='
c_bytes = base64.b64decode(text)
print(c_bytes)
rsa_components = (n, e, int(d), p, q)
arsa = RSA.construct(rsa_components)
rsakey = RSA.importKey(arsa.exportKey())
rsakey = PKCS1_OAEP.new(rsakey)
decrypted = rsakey.decrypt(c_bytes)
print(decrypted)
# b'\x19Wuw{\xe2!q_pv\xa9\x11\x8b\xa8\xe5\xf0/"%\x12\xf3v\x9d\xae\xd3\x16\xfc\xc8\x0f\xc3\x15AJ^:\x8e\x81BCZeryC\x19\xf2\xf5\xf4\xaf\xf7>\xf0\xa1W\xa9\xf9@j!\xcd\xf5r\xcffy\x19\xd4\xe5jI\xf1\xbcp\xd4\x19\xfeG\n\xe9(\x93#\xf0+\xfdDaN\xcd\xce\xb8F\x13\xb2y\x8c\xf7b\xd0\x08\xfb\xc6/\xcew\x1c\xb4\x84c \xa5\xa0Kw\xf9\xcb\xdc\xdf\x0e\xea/is\x81\xa0\xdc\xef,\xa0\xe9\\\x88\x11\xbf\xeb\xfc]|\xdd\xd2\xcd$\xad1\x82\r\xf2w\xd9d\xc4\xaa\xdf\x10\xc3\xbf>\x18\x07\xb4\xdcL\x18x\x8aN0b\x1b\x82\xef\xb8&O\xe1\xd6:\xfe`-3P\xdcI\x19\xb3\x93w\x10\n)\xcb]s\x1c\xd6\x14\xf3L\xaf\xd6;E\x19\xc9n4\xfc\x97b\xdbT\xe6\xa57\xde7)\xd1k\xb3\x9d\xa7>\xb7\xe0\x19\x1d\xe4\x90\xcb\x9b\xe4\xf0<\x96\xa2\xb4\x862$\xbe\'\x82\x8d\xa9%e\x0e\xcdv\x12\xa5\xc4\xaa\xa2t\xb8'
# b'afctf{R54_|5_$0_B0rin9}'
后面的对flag.enc中的内容进行base64解密后是乱码,但是利用python的base64解密后进行RSA欧拉公式解密仍然是乱码,后续对解密后的结果作为encode编码之后还是解不出来,留在这里,以后搞懂基理后回头补充。
这里来更新补充了,后面找到这道题的原题,看到了为什么我们就算进行了base64解密之后进行以往正常的RSA解密解密的结果是乱码。原因是:加密的时候进行了padding,导致c和n的长度一样,用pow解会出现乱码。解决方法需要用到一个库中的函数,可以使用PKCS1_OAEP库,来求解问题。该库中的函数适用于c,n的长度不符合RSA解密时的情景。大家感兴趣的可以学习一下RSA库中的相关函数,它可以直接进行PEM协议分析以及PKCS1_OAEP库的函数学习。
[RoarCTF2019]babyRSA
task:
import sympy
import random
def myGetPrime():
A= getPrime(513)
print(A)
B=A-random.randint(1e3,1e5)
print(B)
return sympy.nextPrime((B!)%A)
p=myGetPrime()
#A1=21856963452461630437348278434191434000066076750419027493852463513469865262064340836613831066602300959772632397773487317560339056658299954464169264467234407
#B1=21856963452461630437348278434191434000066076750419027493852463513469865262064340836613831066602300959772632397773487317560339056658299954464169264467140596
q=myGetPrime()
#A2=16466113115839228119767887899308820025749260933863446888224167169857612178664139545726340867406790754560227516013796269941438076818194617030304851858418927
#B2=16466113115839228119767887899308820025749260933863446888224167169857612178664139545726340867406790754560227516013796269941438076818194617030304851858351026
r=myGetPrime()
n=p*q*r
#n=85492663786275292159831603391083876175149354309327673008716627650718160585639723100793347534649628330416631255660901307533909900431413447524262332232659153047067908693481947121069070451562822417357656432171870951184673132554213690123308042697361969986360375060954702920656364144154145812838558365334172935931441424096270206140691814662318562696925767991937369782627908408239087358033165410020690152067715711112732252038588432896758405898709010342467882264362733
c=pow(flag,e,n)
#e=0x1001
#c=75700883021669577739329316795450706204502635802310731477156998834710820770245219468703245302009998932067080383977560299708060476222089630209972629755965140317526034680452483360917378812244365884527186056341888615564335560765053550155758362271622330017433403027261127561225585912484777829588501213961110690451987625502701331485141639684356427316905122995759825241133872734362716041819819948645662803292418802204430874521342108413623635150475963121220095236776428
#so,what is the flag?
analysis:
对于数论中的阶乘问题,我们要想到威尔逊定理。
\[\begin{flalign}
&若正整数p是素数,那么:\\
&(p - 1)! ≡p - 1(mod\quad p)
\end{flalign}
\]
威尔逊定理证明:
\[\begin{flalign}
&证明:\\
&由于p是素数,那么(0,p-1)即为p的完全剩余系,那么由初等数论中完全剩余系的乘法定理:\\
&\forall\quad k \in(1,p-1),(1,p-1)中一定有k模p意义下的乘法逆元.\\
&经过两两匹配,相乘等于1抵消.经过计算1和p - 1的逆元即是自己本身,故(p-1)!≡p-1(mod\quad q).&
\end{flalign}
\]
所以对于这一题而言,逆向推导,例如:xy≡z(mod p)->x≡z*y^-1(mod p)我们从(p-1)开始,每次≡号两边同时×k的乘法逆元即可得到(B!)%A.
\[(p - 1)!≡p - 1(mod \quad p)->(p-2)!≡(p-1)*(p-1)^{-1}(mod\quad p)\\
->(p-3)!≡(p-2)!*(p-2)^{-1}(mod\quad p)\cdots
\]
exp:
import sympy
from Crypto.Util.number import *
def Search_p(B,A):
result = A - 1
for k in range(A-1,B,-1):
result = (result * inverse(k,A)) % A
return sympy.nextprime(result)
A1 = 21856963452461630437348278434191434000066076750419027493852463513469865262064340836613831066602300959772632397773487317560339056658299954464169264467234407
B1 = 21856963452461630437348278434191434000066076750419027493852463513469865262064340836613831066602300959772632397773487317560339056658299954464169264467140596
A2 = 16466113115839228119767887899308820025749260933863446888224167169857612178664139545726340867406790754560227516013796269941438076818194617030304851858418927
B2 = 16466113115839228119767887899308820025749260933863446888224167169857612178664139545726340867406790754560227516013796269941438076818194617030304851858351026
n = 85492663786275292159831603391083876175149354309327673008716627650718160585639723100793347534649628330416631255660901307533909900431413447524262332232659153047067908693481947121069070451562822417357656432171870951184673132554213690123308042697361969986360375060954702920656364144154145812838558365334172935931441424096270206140691814662318562696925767991937369782627908408239087358033165410020690152067715711112732252038588432896758405898709010342467882264362733
e = 0x1001
c = 75700883021669577739329316795450706204502635802310731477156998834710820770245219468703245302009998932067080383977560299708060476222089630209972629755965140317526034680452483360917378812244365884527186056341888615564335560765053550155758362271622330017433403027261127561225585912484777829588501213961110690451987625502701331485141639684356427316905122995759825241133872734362716041819819948645662803292418802204430874521342108413623635150475963121220095236776428
p = Search_p(B1,A1)
q = Search_p(B2,A2)
r = n // p // q
print(long_to_bytes(pow(c,inverse(e,(p - 1) * (q - 1) * (r - 1)),n)))
# RoarCTF{wm-CongrAtu1ation4-1t4-ju4t-A-bAby-R4A}
RSA & what
task:
HUB1
HUB2
README.txt
rsa.py
# rsa.py
from Crypto.Util.number import bytes_to_long, getPrime
from random import randint
from gmpy2 import powmod
p = getPrime(2048)
q = getPrime(2048)
N = p*q
Phi = (p-1)*(q-1)
def get_enc_key(N,Phi):
e = getPrime(N)
if Phi % e == 0:
return get_enc_key(N, Phi)
else:
return e
e1 = get_enc_key(randint(10, 12), Phi)
e2 = get_enc_key(randint(10, 12), Phi)
fr = open(r"./base64", "rb")#flag is in this file
f1 = open(r"./HUB1", "wb")
f2 = open(r"./HUB2", "wb")
base64 = fr.read(255)
f1.write("%d\n%d\n" % (N, e1))
f2.write("%d\n%d\n" % (N, e2))
while len(base64)>0:
pt = bytes_to_long(base64)
ct1 = powmod(pt, e1, N)
ct2 = powmod(pt, e2, N)
f1.write("\n%d" % ct1)
f2.write("\n%d" % ct2)
base64 = fr.read(255)
fr.close()
f1.close()
f2.close()
# 数据放在exp中.
analysis:
首先我们分析出这是一道rsa的共模攻击题型,但是进行了对于明文信息拆分后多次进行的RSA加密。只需要多次利用共模攻击进行解密即可。
共模攻击:
\[\begin{flalign}
&设e_1,e_2互素,\exists s_1,s_2\quad\quad\quad e_1s_1+e_2s_2=1\\
&c_1≡m^{e_1}(mod\quad n);c_2≡m^{e_2}(mod\quad n)\\
&c_1^{s_1}c_2^{s_2}(mod\quad n)≡(m^{e_1}(mod\quad n)*m^{e_2}(mod\quad n))(mod\quad n)\\
&c_1^{s_1}c_2^{s_2}(mod\quad n)≡(m^{e_1s_1}m^{e_2s_2})(mod\quad n)\\
&c_1^{s_1}c_2^{s_2}(mod\quad n)≡m^{e_1s_1+e_2s_2}(mod\quad n)≡m(mod\quad n)\\
&利用扩展欧几里得算法求解出来满足要求的s_1,s_2即可.&
\end{flalign}
\]
from Crypto.Util.number import *
from gmpy2 import invert
import base64
e1 = 1697
n1 = 785095419718268286866508214304816985447077293766819398728046411166917810820484759314291028976498223661229395009474063173705162627037610993539617751905443039278227583504604808251931083818909467613277587874545761074364427549966555519371913859875313577282243053150056274667798049694695703660313532933165449312949725581708965417273055582216295994587600975970124811496270080896977076946000102701030260990598181466447208054713391526313700681341093922240317428173599031624125155188216489476825606191521182034969120343287691181300399683515414809262700457525876691808180257730351707673660380698973884642306898810000633684878715402823143549139850732982897459698089649561190746850698130299458080255582312696873149210028240898137822888492559957665067936573356367589784593119016624072433872744537432005911668494455733330689385141214653091888017782049043434862620306783436169856564175929871100669913438980899219579329897753233450934770193915434791427728636586218049874617231705308003720066269312729135764175698611068808404054125581540114956463603240222497919384691718744014002554201602395969312999994159599536026359879060218056496345745457493919771337601177449899066579857630036350871090452649830775029695488575574985078428560054253180863725364147
e2 = 599
n2 = 785095419718268286866508214304816985447077293766819398728046411166917810820484759314291028976498223661229395009474063173705162627037610993539617751905443039278227583504604808251931083818909467613277587874545761074364427549966555519371913859875313577282243053150056274667798049694695703660313532933165449312949725581708965417273055582216295994587600975970124811496270080896977076946000102701030260990598181466447208054713391526313700681341093922240317428173599031624125155188216489476825606191521182034969120343287691181300399683515414809262700457525876691808180257730351707673660380698973884642306898810000633684878715402823143549139850732982897459698089649561190746850698130299458080255582312696873149210028240898137822888492559957665067936573356367589784593119016624072433872744537432005911668494455733330689385141214653091888017782049043434862620306783436169856564175929871100669913438980899219579329897753233450934770193915434791427728636586218049874617231705308003720066269312729135764175698611068808404054125581540114956463603240222497919384691718744014002554201602395969312999994159599536026359879060218056496345745457493919771337601177449899066579857630036350871090452649830775029695488575574985078428560054253180863725364147
# 欧几里得算法
def egcd(a, b):
if a == 0:
return (b, 0, 1)
else:
g, y, x = egcd(b % a, a)
return (g, x - (b // a) * y, y)
def main():
c2_list = [592169079372093727306100216011395857825646323934289480976073629037543922902098120901138454462177159996376654176248238979132528728327590301098966139983157980612320563496546128644967731000716697705104079039156276714872147463350811303393260622707024952543509891692246246277965823414460326811240048060543656588688604452353899779068825120910282167004715339763187734797180326976132213325054697165320479166356562518029805927741656605174809726397565772271562066078076105491745903986597877400370206718954975288721072048333678609055008135809089304229015364348490924974097403734627265297637171818849461766523691595241613878709865506436588268999163342945070495338153600520537498539457396582804692959296612715752573140296135784933206146091436617979599749774330699946637591406356289409716084034451049094715202196203486088368791744107629271647320273259836915312794297246589501008666299165717722507702866033454215783240025504356157664454861755286285777763585177751796252655008206383024707883077513745863312079349790275094080707502392866946325796914450602264462588722052297430827681750827349094323968337670311272933785838850649376115667223821665435911506351891489985627506615492005617098615432522564204152887767244129985681083657783356557756654335186,373940646416832740878733255707567753033716583448402000789202767511920210382830343955553654111486728333980557319799362514960627879016797491389812007768832730979916230647641872759001906846747977631675704310179448857128160385701185892914523053669366534408863734305635222625590986006420486092550427301086984563126480814987024980594613542978310129247678826691418335300577577527951623696426435497835228167084738007750914270251001921329521479047662848650808989996085600197309361410863238526802127877523767262921515150984998560136647154865791163316503073285223966216441025637452229043510097323724381056976302288136843260163922706692913035222445496716008888946581535004546355744211680390731257309941902587303353139951102244865270295414474488798335404630458489706639805186573874814586736746232358849677477533671968344154242963289415569487579895910660999043578737461300406937828924818002658292769882181668784501439254131996848948120781562158861495883827848139425862249576454689133681009549361314460818658995959098228995702202268649635363105549975932395335076521137604288520082040121286614922986554652700056148966514178935952363036963217619879899671383604638416567950421350546204434902113156720006282720889591288850271076074941927715678306057176,527630926460622936571385649841758214453416849039412401087443444317101857090904711485538107058823056085840539073345920792871368232355475394571098380596835468509997340505604333730547799560998822989747473780307779717715522787724471724766494090783971030594671013168209717686720448579582618378459567979027822271918653169622428153856198907810040224340270362413432495029672123261375400927159831537760709974778708160583252613784358234858583174544777979242887938827573604837766801998381379999076416444683891078093889686055482709838668356120916040352123019019255084513769603803814947774554028717814638951416291274696771515474086351482107953150253616922787262398450376249126999644026382478413080973933173079111305142716133389111399235545279259017424722601848670061556859163943895466553927946412523750166582734005733378328468250568944945912238495877929717101722314678120172228493787964904072583905721074766711732215815561012960394537195757832959268603775112932862105945720853959285187521763557915356428113876893276879775603217718981852114599706699524551973934242045743122744146361596971245034059345915315495232135483464496114770357536576200511490922413208178149869347802988786513451486411409887164516065062084917556120712465074206435831498113605,8786437178698940322877889807009957616777351844979869726962356553244050911283984280960665761649310895230455072977431415102053987735969326553978994853162483051544656873294555116009995592043183070208706258164840540599577072097104139505857517663273929851202628854185356185647194933800084230503413037858893307713037149307477830536758283681093517617820169181420796105338681582230788318108428132051793761014952837330456262272828627355701464740578197966332613127307037255647286823496355917642353327912440019621838870388091824748629637425759125214639885130163183752378908729773517053259212525494555880921052679512582051516604297098204363525081039382358483926727008679327719083138865969291911863630382097160230960738043575559330264018212774424527719153248563876760067931499029384228993253862501939337758514377472011933279273181144830381169849387893799390755052093069179605579485710343655570028592595882436632426527654452895431758715126580164902410286422637215098476316042367916779431052267545769495994723721129943616294879642305545894912914632980455031755879087401575310699765408473606166727137934224515998416625122213056208800095077933103150699272650116151674702438463062734472714004926103668378506804002740045547964716693536349447660850580,205314962204511500352858372254132533167549960825498949618514841570703199264867431580754674275990554478140637041427842111391746883257447120035947621456863890934062044010795443059281736346976175772415034838334682726635263432655537852942177334888025283748611576171534251461847349566505628290587224150869640386437623371249743165260396675220683302142805646368906930575140628610003919131999295855501215111393294818218799982703289304596989070475000081175510085432290264502023736899104746316830742226946395027029820825791831870857382647221322734605026210073093918331247494307555600335550942340526536281372036612138713881098866303169425501998978400008829873080965592009371176208668290074288903681417933657472279670688597862835627506340169978450918788539270346340385928840299573889292189531738082166408734046381423516467694328971385421907314814283489322619386570046183556572383980777277173349209330683424343658179781015072259378576130442222984963071166207642585589822061597282467850868050737957726423713761694231879497037175627546427449730638216214828463003483408928375620315193290871300316930139260521382533279767663839278693750409419493280753368451508802658272220767624766390639285308433607255253282702383762149755935518922075584637512494819,271453634732502613378948161256470991260052778799128789839624515809143527363206813219580098196957510291648493698144497567392065251244844074992734669490296293997386198359280316655904691639367482203210051809125904410431506925238374843856343243276508280641059690938930957474434518308646618959004216831130099873532714372402117796666560677624822509159287675432413016478948594640872091688482149004426363946048517480052906306290126242866034249478040406351940088231081456109195799442996799641647167552689564613346415247906852055588498305665928450828756152103096629274760601528737639415361467941349982213641454967962723875032638267311935042334584913897338553953961877439389588793074211502597238465542889335363559052368180212013206172712561221352833891640659020253527584706465205486408990762759230842192028381048563437724528409174790022752557512795782713125166158329880702730769957185428522011430144840232256419113631679343171680631630775266488738173707357123139368825087043785842169049943237537188129367275730984789479909103397937113837824575137021012333461552176687570010445744268373840742899299977372834041925102853718964831225250407279578465008537542659673685686242773379131904890865110699190451534445434533919127658976874721029586168106207]
c1_list = [412629526163150748619328091306742267675740578011800062477174189782151273970783531227579758540364970485350157944321579108232221072397135934034064481497887079641131808838242743811511451355024436983050572020925065644355566434625618133203024215941534926113892937988520918939061441606915556516246057349589921494351383160036280826024605351878408056180907759973804117263002554923041750587548819746346813966673034182913325507826219961923932100526305289894965216608254252188398580139545189681875824089456195044984585824938384521905334289906422454152976834867304693292466676355760173232407753256256317546190171995276258924613533179898467683358934751999655196790168438343198229183747091108262988777659858609744709324571850262293294975336628234767258858873839342596887193772615000676401522431518310648303975593582965021189182246986957349253156736526071639973844039068996404290548474640668851856078201093335425412842295604919065487301340901573809617549185106072798799159726375235125260509158832996701927878713084753334549129580912412168594170659605421750204835970231909591063407612779337478065175988365401590396247576709343727196106058477166945670117868989025903023998142850338956985816131805349549059377047477131270847579095628384569645636821650,494644347943710545224678831941589086572700792465459558770782213550069709458568349686998660541810166872034041584767487150140111151788221460027897193248273461607411027815984883969396220626358625041781558277804930212654296704055890683796941327712758797770820006623289146990000114915293539639766846910274034245607746230740851938158390562286057002223177609606376329007676845450142537930798148258428701466415483232670659815791064681384406494388237742330786225557303988025468036820082959712050733095860546860468575857084616069132051094882919253745234762029759124776348047587755897123575123506976140900565238840752841856713613368250071926171873213897914794115466890719123299469964019450899291410760762179836946570945555295288184698184555018368687708432612286248476073758067175481771199066581572870175460016017100414479346437034291784837132240891321931601494414908927713208448927221095745802380014441841139882391378410438764884597938773868771896252329517440068673532468372840830510218585255432000690265226016573313570977945083879214961394087065558376158826938257664840570952233832852869328785568175434516247720356520242602299510374317488182738732700078879665745909603766482100138001417023680647717824323143388857817595766172152883484274718248,152942283599728307168144137370127212672611894072038732126041098102628831053000986759260271210671922070555948023688596575415822984026159010574404359474670428678518262175033880513984372909748992727828381694416776740981021730545374002974037896534944567124543272737618380646771071804878796585983783360553761828325817820260204820004421979881871027255562690952334900616675606524933557440263648233514757200263521499508373975003431306847453046714027687108396945719803444444954079308404947126216395526551292104722047878178373207886033071857277857997932255251315982837892164421298202073945919187779856785892717251746704537315003771369737854896595170485152591013676942418134278534037654467840633528916812275267230155352077736583130992587670941654695382287023971261529987384520843829695778029311786431227409189019205818351911572757145556993606643464336196802350204616056286497246016800105003143046120608673496196758720552776772796609670537056331996894322779267635281472481559819839042424017171718303214059720568484939239370144038161541354254182769979771948759413102933987773401644506930205164891773826513161783736386604783484446345744957119469799231796368324927570694496679453313927562345656690240414624431304646248599226046524702364131095964335,79717988936247951265489157583697956031893477858854186991051529161879478488281744062318600470906120960002282886511477294555606503083169449335174864424180701080203993329996226566203834693869525797695969610065991941396723959032680019082506816443041598300477625793433080664346470586416385854692124426348587211026568667694805849554780794033764714016521711467557284846737236374990121316809833819996821592832639024026411520407330206281265390130763948165694574512140518775603040182029818771866749548761938870605590174330887949847420877829240131490902432602005681085180807294176837646062568094875766945890382971790015490163385088144673549085079635083262975154206269679142412897438231719704933258660779310737302680265445437771977749959110744959368586293082016067927548564967400845992380076107522755566531760628823374519718763740378295585535591752887339222947397184116326706799921515431185636740825707782742373783475781052674257292910213843986132987466810027275052416774693363446184518901899202502828670309452622347532932678874990809930682575738653876289384151496807194146308614368821006660626870989784697045160231069428458961107751207771093777394616856305293335603892178327520756554333365975114235981173451368131680404850832773147333013716920,123111353650401158556639983459870663057297871992927053886971224773529636525110628183715748795987525113177540092814119928708272290370336537110381023134637759740716140969662183269370676630325583385284994943164692397459103195434968057377474610500216801375394703781249039351368816958227409657934091741509357152328382960684515093945552479461382281913961956745154260686029997827565075768703774895750561575155143606297116391666385705899138085693913246313778033627210312268959737394553510894720099165193981333775907531107232556909478156441457899797515694348816961762796703443502856101079430585547997496001098926600499728389113862894833789669213630332988693669889340482430613291490613803204484751470676686041002772556117213612152322606737150858116122936539131795111263513114569794532805886643087299918196635113037777138666914296986040549274559835214505300618256105508764026461518876579387159881983544667258537064954616097750399839661065797883103731694314852301848272092388637114950059216922969842082648527035538090054093890365647676119748995243416337805666557501345234056968476142608491830438065401219751688687373709390057521910942736632126729711606256158399963682990881473178216060827021373776598901281958527655543318413664277921492723185984,36869806815936046911848195817405817350259890871483063184373728397968909458432625046025376290214729914038387534731762237978339011724858818860181178811639468996206294711495853807311240013786226884265118119546377272154555615363105236192878292703331473547623021744317034819416624562896226194523639793573028006666236271812390759036235867495803255905843636447252225413871038762657801345647584493917576263471587347202664391908570140389126903204602391093990827188675090199750617303773574821926387194478875191828814971296674530519321530805302667925998711835019806761133078403281404889374663875077339168901297819436499920958268483684335998301056068380228873524800383911402490807139268964095165069610454677558808756444381542173782815227920906224931028457073652453777424387873533280455944646592996920617956675786286711447540353883400282402551158169958389450168079568459656526911857835375748015814860506707921852997096156275804955989964215077733621769938075413007804223217091604613132253046399456747595300404564172224333936405545921819654435437072133387523533568472443532200069133022979195685683508297337961701169394794966256415112246587706103819620428258245999539040721929317130088874161577093962579487428358736401687123174207198251449851429295]
for i in range(len(c1_list)):
c1 = c1_list[i]
c2 = c2_list[i]
n = 785095419718268286866508214304816985447077293766819398728046411166917810820484759314291028976498223661229395009474063173705162627037610993539617751905443039278227583504604808251931083818909467613277587874545761074364427549966555519371913859875313577282243053150056274667798049694695703660313532933165449312949725581708965417273055582216295994587600975970124811496270080896977076946000102701030260990598181466447208054713391526313700681341093922240317428173599031624125155188216489476825606191521182034969120343287691181300399683515414809262700457525876691808180257730351707673660380698973884642306898810000633684878715402823143549139850732982897459698089649561190746850698130299458080255582312696873149210028240898137822888492559957665067936573356367589784593119016624072433872744537432005911668494455733330689385141214653091888017782049043434862620306783436169856564175929871100669913438980899219579329897753233450934770193915434791427728636586218049874617231705308003720066269312729135764175698611068808404054125581540114956463603240222497919384691718744014002554201602395969312999994159599536026359879060218056496345745457493919771337601177449899066579857630036350871090452649830775029695488575574985078428560054253180863725364147
e1 = 1697
e2 = 599
s = egcd(e1, e2)
s1 = s[1]
s2 = s[2]
# 求模反元素
if s1<0:
s1 = - s1
c1 = invert(c1, n)
elif s2<0:
s2 = - s2
c2 = invert(c2, n)
m = pow(c1,s1,n)*pow(c2,s2,n) % n
result = str(long_to_bytes(m))
print(result[2:len(result)-1],end='')
if __name__ == '__main__':
main()
# VEhJUz==\nRkxBR3==\nSVN=\nSElEREVOLo==\nQ0FO\nWU9V\nRklORM==\nSVT=\nT1VUP4==\nRE8=\nWU9V\nS05PV9==\nQkFTRTY0P5==\nWW91bmdD\nVEhJTku=\nWU9V\nQVJF\nTk9U\nVEhBVE==\nRkFNSUxJQVI=\nV0lUSO==\nQkFTRTY0Lh==\nQmFzZTY0\naXO=\nYW==\nZ3JvdXA=\nb2b=\nc2ltaWxhcn==\nYmluYXJ5LXRvLXRleHR=\nZW5jb2Rpbme=\nc2NoZW1lc0==\ndGhhdD==\ncmVwcmVzZW50\nYmluYXJ5\nZGF0YW==\naW5=\nYW6=\nQVNDSUl=\nc3RyaW5n\nZm9ybWF0\nYnk=\ndHJhbnNsYXRpbmd=\naXS=\naW50b1==\nYT==\ncmFkaXgtNjQ=\ncmVwcmVzZW50YXRpb24u\nVGhl\ndGVybc==\nQmFzZTY0\nb3JpZ2luYXRlc8==\nZnJvbd==\nYY==\nc3BlY2lmaWN=\nTUlNRT==\nY29udGVudI==\ndHJhbnNmZXI=\nZW5jb2Rpbmcu\nVGhl\ncGFydGljdWxhct==\nc2V0\nb2b=\nNjR=\nY2hhcmFjdGVyc5==\nY2hvc2Vu\ndG+=\ncmVwcmVzZW50\ndGhl\nNjQ=\ncGxhY2UtdmFsdWVz\nZm9y\ndGhl\nYmFzZd==\ndmFyaWVz\nYmV0d2Vlbt==\naW1wbGVtZW50YXRpb25zLp==\nVGhl\nZ2VuZXJhbI==\nc3RyYXRlZ3n=\naXO=\ndG9=\nY2hvb3Nl\nNjR=\nY2hhcmFjdGVyc5==\ndGhhdA==\nYXJl\nYm90aN==\nbWVtYmVyc5==\nb2a=\nYS==\nc3Vic2V0\nY29tbW9u\ndG8=\nbW9zdM==\nZW5jb2RpbmdzLA==\nYW5k\nYWxzb8==\ncHJpbnRhYmxlLg==\nVGhpc9==\nY29tYmluYXRpb25=\nbGVhdmVz\ndGhl\nZGF0YW==\ndW5saWtlbHk=\ndG/=\nYmV=\nbW9kaWZpZWS=\naW5=\ndHJhbnNpdE==\ndGhyb3VnaN==\naW5mb3JtYXRpb26=\nc3lzdGVtcyw=\nc3VjaN==\nYXM=\nRS1tYWlsLD==\ndGhhdA==\nd2VyZQ==\ndHJhZGl0aW9uYWxseQ==\nbm90\nOC1iaXQ=\nY2xlYW4uWzFd\nRm9y\nZXhhbXBsZSw=\nTUlNRSdz\nQmFzZTY0\naW1wbGVtZW50YXRpb24=\ndXNlcw==\nQahDWiw=\nYahDeiw=\nYW5k\nMKhDOQ==\nZm9y\ndGhl\nZmlyc3Q=\nNjI=\ndmFsdWVzLg==\nT3RoZXI=\ndmFyaWF0aW9ucw==\nc2hhcmU=\ndGhpcw==\ncHJvcGVydHk=\nYnV0\nZGlmZmVy\naW4=\ndGhl\nc3ltYm9scw==\nY2hvc2Vu\nZm9y\ndGhl\nbGFzdA==\ndHdv\ndmFsdWVzOw==\nYW4=\nZXhhbXBsZQ==\naXM=\nVVRGLTcu
根据加密脚本和明文形式我们将\n替换为换行符后进行base64解密.
THIS FLAG IS HIDDEN.
CAN YOU FIND IT OUT?
DO YOU KNOW BASE64?
Young C THINK YOU ARE NOT THAT FAMILIAR WITH BASE64.
Base64 is a group of similar binary-to-text encoding schemes that represent binary data in an ASCII string format by translating it into a radix-64 representation.
The term Base64 originates from a specific MIME content transfer encoding.
The particular set of 64 characters chosen to represent the 64 place-values for the base varies between implementations.
The general strategy is to choose 64 character sthatare both members of a subset common to most encodings,
and also printable.
This combination leaves the data unlikely to be mod if iedintransit through in formation systems,
such as E-mail,that were tradition all ynot 8-bit clean.
[1]Forexample,MIME’s Base64 implement ation uses A\xa8CZ,a\xa8Cz,and 0\xa8C9 for the first 62 values.
Other variations share this property butdiffer in the symbols chosen for the last two values;an example is UTF-7.
此后进行base64隐写的解密.
from Crypto.Util.number import*
import base64
c = b'VEhJUz==\nRkxBR3==\nSVN=\nSElEREVOLo==\nQ0FO\nWU9V\nRklORM==\nSVT=\nT1VUP4==\nRE8=\nWU9V\nS05PV9==\nQkFTRTY0P5==\nWW91bmdD\nVEhJTku=\nWU9V\nQVJF\nTk9U\nVEhBVE==\nRkFNSUxJQVI=\nV0lUSO==\nQkFTRTY0Lh==\nQmFzZTY0\naXO=\nYW==\nZ3JvdXA=\nb2b=\nc2ltaWxhcn==\nYmluYXJ5LXRvLXRleHR=\nZW5jb2Rpbme=\nc2NoZW1lc0==\ndGhhdD==\ncmVwcmVzZW50\nYmluYXJ5\nZGF0YW==\naW5=\nYW6=\nQVNDSUl=\nc3RyaW5n\nZm9ybWF0\nYnk=\ndHJhbnNsYXRpbmd=\naXS=\naW50b1==\nYT==\ncmFkaXgtNjQ=\ncmVwcmVzZW50YXRpb24u\nVGhl\ndGVybc==\nQmFzZTY0\nb3JpZ2luYXRlc8==\nZnJvbd==\nYY==\nc3BlY2lmaWN=\nTUlNRT==\nY29udGVudI==\ndHJhbnNmZXI=\nZW5jb2Rpbmcu\nVGhl\ncGFydGljdWxhct==\nc2V0\nb2b=\nNjR=\nY2hhcmFjdGVyc5==\nY2hvc2Vu\ndG+=\ncmVwcmVzZW50\ndGhl\nNjQ=\ncGxhY2UtdmFsdWVz\nZm9y\ndGhl\nYmFzZd==\ndmFyaWVz\nYmV0d2Vlbt==\naW1wbGVtZW50YXRpb25zLp==\nVGhl\nZ2VuZXJhbI==\nc3RyYXRlZ3n=\naXO=\ndG9=\nY2hvb3Nl\nNjR=\nY2hhcmFjdGVyc5==\ndGhhdA==\nYXJl\nYm90aN==\nbWVtYmVyc5==\nb2a=\nYS==\nc3Vic2V0\nY29tbW9u\ndG8=\nbW9zdM==\nZW5jb2RpbmdzLA==\nYW5k\nYWxzb8==\ncHJpbnRhYmxlLg==\nVGhpc9==\nY29tYmluYXRpb25=\nbGVhdmVz\ndGhl\nZGF0YW==\ndW5saWtlbHk=\ndG/=\nYmV=\nbW9kaWZpZWS=\naW5=\ndHJhbnNpdE==\ndGhyb3VnaN==\naW5mb3JtYXRpb26=\nc3lzdGVtcyw=\nc3VjaN==\nYXM=\nRS1tYWlsLD==\ndGhhdA==\nd2VyZQ==\ndHJhZGl0aW9uYWxseQ==\nbm90\nOC1iaXQ=\nY2xlYW4uWzFd\nRm9y\nZXhhbXBsZSw=\nTUlNRSdz\nQmFzZTY0\naW1wbGVtZW50YXRpb24=\ndXNlcw==\nQahDWiw=\nYahDeiw=\nYW5k\nMKhDOQ==\nZm9y\ndGhl\nZmlyc3Q=\nNjI=\ndmFsdWVzLg==\nT3RoZXI=\ndmFyaWF0aW9ucw==\nc2hhcmU=\ndGhpcw==\ncHJvcGVydHk=\nYnV0\nZGlmZmVy\naW4=\ndGhl\nc3ltYm9scw==\nY2hvc2Vu\nZm9y\ndGhl\nbGFzdA==\ndHdv\ndmFsdWVzOw==\nYW4=\nZXhhbXBsZQ==\naXM=\nVVRGLTcu'
def get_base64_diff_value(s1, s2):
base64chars = b'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
res = 0
for i in range(len(s2)):
if s1[i] != s2[i]:
return abs(base64chars.index(s1[i]) - base64chars.index(s2[i]))
return res
def solve_stego():
line=b''
bin_str=''
for i in c:
k=long_to_bytes(i)
if k==b'\n':
steg_line = line
norm_line = base64.b64encode(base64.b64decode(line))
diff = get_base64_diff_value(steg_line, norm_line)
pads_num = steg_line.count(b'=')
if diff:
bin_str += bin(diff)[2:].zfill(pads_num * 2)
else:
bin_str += '0' * pads_num * 2
print(goflag(bin_str))
line=b''
continue
line+=k
def goflag(bin_str):
res_str = ''
for i in range(0, len(bin_str), 8):
res_str += chr(int(bin_str[i:i + 8], 2))
return res_str
if __name__ == '__main__':
solve_stego()
# 7c86d8f7d6de33a87f7f9d6b005ce640
[网鼎杯 2020 青龙组]you_raise_me_up
task:
#!/usr/bin/env python
# -*- coding: utf-8 -*-
from Crypto.Util.number import *
import random
n = 2 ** 512
m = random.randint(2, n-1) | 1
c = pow(m, bytes_to_long(flag), n)
print 'm = ' + str(m)
print 'c = ' + str(c)
# m = 391190709124527428959489662565274039318305952172936859403855079581402770986890308469084735451207885386318986881041563704825943945069343345307381099559075
# c = 6665851394203214245856789450723658632520816791621796775909766895233000234023642878786025644953797995373211308485605397024123180085924117610802485972584499
analysis:
首先,我们明确pow函数的意义。
\[pow(a,b,c)=a^b(mod\quad c)
\]
而前面的加密代码的意义就是n=2**512,m取自(2,n-1)的一个随机数,之后c=pow(m,bytes_to_long(flag),n).
我们要求解的是指数那么这就考到了离散对数的关系,我们都知道在指数函数的反函数即为对数函数,并且对数函数的计算量是比对数函数小的多的,所以采用对数解密的方式的话,运算速度要快的多。同时python的sympy库中也提供了相应的函数.
\[\begin{flalign}
&discrete\_log(a,b,c)->c^{discrete\_log(a,b,c)}≡b(mod\quad a)\\
&对于本题而言就是求解m^{flag}≡c(mod\quad n),即flag = discrete\_log(n,c,m).&
\end{flalign}
\]
exp:
from sympy import *
from Crypto.Util.number import *
n = 2** 512
m = 391190709124527428959489662565274039318305952172936859403855079581402770986890308469084735451207885386318986881041563704825943945069343345307381099559075
c = 6665851394203214245856789450723658632520816791621796775909766895233000234023642878786025644953797995373211308485605397024123180085924117610802485972584499
print(long_to_bytes(discrete_log(n,c,m)))
# flag{5f95ca93-1594-762d-ed0b-a9139692cb4a}
[NPUCTF2020]EzRSA
task:
from gmpy2 import lcm , powmod , invert , gcd , mpz
from Crypto.Util.number import getPrime
from sympy import nextprime
from random import randint
p = getPrime(1024)
q = getPrime(1024)
n = p * q
gift = lcm(p - 1 , q - 1)
e = 54722
flag = b'NPUCTF{******************}'
m = int.from_bytes(flag , 'big')
c = powmod(m , e , n)
print('n: ' , n)
print('gift: ' , gift)
print('c: ' , c)
#n: 17083941230213489700426636484487738282426471494607098847295335339638177583685457921198569105417734668692072727759139358207667248703952436680183153327606147421932365889983347282046439156176685765143620637107347870401946946501620531665573668068349080410807996582297505889946205052879002028936125315312256470583622913646319779125559691270916064588684997382451412747432722966919513413709987353038375477178385125453567111965259721484997156799355617642131569095810304077131053588483057244340742751804935494087687363416921314041547093118565767609667033859583125275322077617576783247853718516166743858265291135353895239981121
#gift: 2135492653776686212553329560560967285303308936825887355911916917454772197960682240149821138177216833586509090969892419775958406087994054585022894165950768427741545736247918410255804894522085720642952579638418483800243368312702566458196708508543635051350999572787188236243275631609875253617015664414032058822919469443284453403064076232765024248435543326597418851751586308514540124571309152787559712950209357825576896132278045112177910266019741013995106579484868768251084453338417115483515132869594712162052362083414163954681306259137057581036657441897428432575924018950961141822554251369262248368899977337886190114104
#c: 3738960639194737957667684143565005503596276451617922474669745529299929395507971435311181578387223323429323286927370576955078618335757508161263585164126047545413028829873269342924092339298957635079736446851837414357757312525158356579607212496060244403765822636515347192211817658170822313646743520831977673861869637519843133863288550058359429455052676323196728280408508614527953057214779165450356577820378810467527006377296194102671360302059901897977339728292345132827184227155061326328585640019916328847372295754472832318258636054663091475801235050657401857262960415898483713074139212596685365780269667500271108538319
analysis:
预期解:首先我们通过大数在线分解网站进行对n的分解,后续求出phi,同时我们注意到e=54722,一个非常用的非质数的一个加密指数,经过验证gcd(e,phi)=2,所以我们这里就要采用e与phi不互素的攻击脚本了。但是这里有一个比较异于其他e与phi不互素的点。
\[e=2*27361;gcd(phi,{e \over 2})=1\\
c=(m^2)^{e \over 2}(mod\quad n)
\]
因此,我们可以先去求解m^2,进而开方求解。
非预期解:首先我们要知道gift = lcm(p - 1 , q - 1)的意义,lcm(a,b)即求a,b的最大公倍数,而我们也知道下面最大公因数和最小公倍数的关系.
\[[a,b]={a*b \over (a,b)}
\]
同时,经过小小的测试,我们发现p=getPrime(1024),q=getPrime(1024)时,(p-1,q-1)=2是个概率性比较小的事件.
from Crypto.Util.number import *
counter = 0
for _ in range(10):
p = getPrime(1024)
q = getPrime(1024)
if GCD(p-1,q-1) == 2:
counter += 1
print(counter)
# 3 4 7 5 3
但是,gcd(p-1,q-1)<=10是一个概率比较大的事件.
from Crypto.Util.number import *
counter = 0
for _ in range(10):
p = getPrime(1024)
q = getPrime(1024)
if GCD(p-1,q-1) <= 10:
counter += 1
print(counter)
# 9 9 9 9 9 8 8 9
这里原本只是考虑了(p-1)(q-1)的最大公因数是2,但是看到很多师傅的脚本都是说要在小范围内进行爆破,后面仔细想了一想,这样做的必要性并不是很高。
\[\begin{flalign}
&欧拉定理:\\
&若gcd(a,m)=1,则a^{φ(m)}≡1(mod\quad m)\\
&a^{kφ(m)}≡1(mod\quad m)\\
&而我们平时求解的乘法逆元d,满足的是ed≡1(mod\quad phi),即ed=k*phi+1.\\
&经过测试经由python求解的d并不一定满足这里的k是偶数.\\
&经过以下几组数据的测试:\\
&p=getPrime(256);p=getPrime(512);p=getPrime(1024);p=getPrime(2048);\\
&q=getPrime(256);q=getPrime(512);q=getPrime(1024);q=getPrime(2048);\\
&此后经过测试,发现m^{φ(n) \over 2}≡1(mod\quad n)全部成立.\\
&也就是说即使gcd(p-1,q-1)=4,我们使用2来求解也是能正常求解的.同时由于乘法逆元d的求解,我们也是大概率可以弥补这里的因数的缺失.\\
&证明:\\
&在分析m^{φ(n) \over 2}(mod\quad n)的时候,可以先考虑(m^{p-1 \over 2})^{q-1\over 2}(mod \quad n).\\
&显然m^{p-1\over 2}也与n互素\\
&m^{φ(n)\over4}=(m^{p-1 \over 2})^{q-1\over 2}≡±1.即φ(n)\%4==0.\\
&所以m^{φ(n)\over2}=(m^{φ(n)\over4})^2≡1(mod\quad n).&
\end{flalign}
\]
这里在证明的时候还引发了一下思考,即对于欧拉定理,两边对于n的幂运算是成立的,但是对于1/n的幂运算是否成立,在下面进行一下探讨。
\[\begin{flalign}
&gcd(a,m)=1,则a^{φ(m)}≡1(mod\quad m)\\
&易证明a^{k*φ(m)}≡1(mod \quad m)\\
&但是,这里我们来探讨一下,若p|φ(m),是否有a^{φ(m)\over p}≡1(mod\quad m).\\
&首先,对于m(m≠2,3),2|φ(m),那么我们对同余式两边同时开方,那么得到的就应该时±1.\\
&a^{φ(m)\over 2}≡±1,对于m本身是个素数的情况下,也就是说pow(a,{φ(m)\over 2},m)=1或m-1.\\
&起初就这么觉得理所当然了,后面发现了一组若3|m,顺着这个思路走,3次方开出来结果只能是1.\\
&但结果并非如此:pow(3,1,13)=3,pow(3,3,13)=1.也就是说我们如果已知a^3≡1(mod \quad p),并不能说明a≡1(mod\quad p)\\
&这是因为2的时候a^2-1=kφ(m),多项式可以拆成(a+1)(a-1)-1=kφ(m).\\
&也就是说a+1和a-1中一定有一个模m与1同余,这也就是解出来的结果是±1的原因.\\
&但是同样的结果来到3这里.a^3-1=kφ(m).(a-1)(a^2+a+1)=kφ(m),并不一定是a-1=k_1φ(m).所以就出现了上面的情况.\\
&p更大时,我们就可以从多项式的角度分析,欧拉定理在于有限域内,并不一定满足同余式的{1\over n}的幂运算了.\\
&但是上面也证明了为什么n=pq时,a^{φ(m)\over2}模m一定能与1同余了。&
\end{flalign}
\]
exp:
from gmpy2 import gmpy2
from sympy import *
from Crypto.Util.number import *
from gmpy2 import *
n = 17083941230213489700426636484487738282426471494607098847295335339638177583685457921198569105417734668692072727759139358207667248703952436680183153327606147421932365889983347282046439156176685765143620637107347870401946946501620531665573668068349080410807996582297505889946205052879002028936125315312256470583622913646319779125559691270916064588684997382451412747432722966919513413709987353038375477178385125453567111965259721484997156799355617642131569095810304077131053588483057244340742751804935494087687363416921314041547093118565767609667033859583125275322077617576783247853718516166743858265291135353895239981121
gift = 2135492653776686212553329560560967285303308936825887355911916917454772197960682240149821138177216833586509090969892419775958406087994054585022894165950768427741545736247918410255804894522085720642952579638418483800243368312702566458196708508543635051350999572787188236243275631609875253617015664414032058822919469443284453403064076232765024248435543326597418851751586308514540124571309152787559712950209357825576896132278045112177910266019741013995106579484868768251084453338417115483515132869594712162052362083414163954681306259137057581036657441897428432575924018950961141822554251369262248368899977337886190114104
c = 3738960639194737957667684143565005503596276451617922474669745529299929395507971435311181578387223323429323286927370576955078618335757508161263585164126047545413028829873269342924092339298957635079736446851837414357757312525158356579607212496060244403765822636515347192211817658170822313646743520831977673861869637519843133863288550058359429455052676323196728280408508614527953057214779165450356577820378810467527006377296194102671360302059901897977339728292345132827184227155061326328585640019916328847372295754472832318258636054663091475801235050657401857262960415898483713074139212596685365780269667500271108538319
phi = gift * 2
e = 54722
d = inverse(e//2,phi)
print(long_to_bytes(gmpy2.iroot(pow(c,int(d),n),2)[0]))
# NPUCTF{diff1cult_rsa_1s_e@sy}
exp(plus):
注意:遍历过程中不是所有的值都符合条件,可能会报ZeroDivisionError,因此需要加异常处理.
from sympy import *
from Crypto.Util.number import *
from gmpy2 import *
n = 17083941230213489700426636484487738282426471494607098847295335339638177583685457921198569105417734668692072727759139358207667248703952436680183153327606147421932365889983347282046439156176685765143620637107347870401946946501620531665573668068349080410807996582297505889946205052879002028936125315312256470583622913646319779125559691270916064588684997382451412747432722966919513413709987353038375477178385125453567111965259721484997156799355617642131569095810304077131053588483057244340742751804935494087687363416921314041547093118565767609667033859583125275322077617576783247853718516166743858265291135353895239981121
gift = 2135492653776686212553329560560967285303308936825887355911916917454772197960682240149821138177216833586509090969892419775958406087994054585022894165950768427741545736247918410255804894522085720642952579638418483800243368312702566458196708508543635051350999572787188236243275631609875253617015664414032058822919469443284453403064076232765024248435543326597418851751586308514540124571309152787559712950209357825576896132278045112177910266019741013995106579484868768251084453338417115483515132869594712162052362083414163954681306259137057581036657441897428432575924018950961141822554251369262248368899977337886190114104
c = 3738960639194737957667684143565005503596276451617922474669745529299929395507971435311181578387223323429323286927370576955078618335757508161263585164126047545413028829873269342924092339298957635079736446851837414357757312525158356579607212496060244403765822636515347192211817658170822313646743520831977673861869637519843133863288550058359429455052676323196728280408508614527953057214779165450356577820378810467527006377296194102671360302059901897977339728292345132827184227155061326328585640019916328847372295754472832318258636054663091475801235050657401857262960415898483713074139212596685365780269667500271108538319
phi = 1
for k in range(20):
phi = gift * k
try:
e = 54722
d = inverse(e//2,phi)
print(long_to_bytes(iroot(pow(c,int(d),n),2)[0]))
except ZeroDivisionError:
continue
# NPUCTF{diff1cult_rsa_1s_e@sy}
接下来就验证了前面所说的遍历爆破必要性不大的原因.无需考虑gcd(p-1,q-1)是否真的是2来考虑,也就是说我们通过2gift得到虽说(p-1)(q-1)的一个因数,但完成解密已经足够了,后续再继续剖析一下具体是为何,我认为是d=inverse(e,phi)中的ed-1=k*phi中的k和刚刚讨论的一个2弥补了我们这里(p-1)(q-1)与2gift之间的倍数关系。
'''
from Crypto.Util.number import *
p = []
q = []
gcd_p_q = []
for _ in range(10):
p_ = getPrime(1024)
q_ = getPrime(1024)
if GCD(p_-1,q_-1) != 2:
p.append(p_)
q.append(q_)
gcd_p_q.append(GCD(p_-1,q_-1))
print(p)
print(q)
print(gcd_p_q)
'''
def Decry(c,gift,n):
phi = gift * 2
e = 54722
d = inverse(e // 2, phi)
print(long_to_bytes(iroot(pow(c, int(d), n), 2)[0]))
from Crypto.Util.number import *
from gmpy2 import *
flag = b"NPUCTF{diff1cult_rsa_1s_e@sy}"
m = bytes_to_long(flag)
e = 54722
p = [165769529982557110338607340915156100801098416130997439576334379508821440848971174760048158587119547406635600893637841681086158438768213772214517750339428677315490555160942003232596459062054959738891686870233195536532370860140063189202797190059610081047576305497597409561188937939408990727950563176781704539297, 116343395174340190092069503777310556723178648009455212305248936396963169816077553838209612655736616510743366230652670832031080277340066999260068760526903315620866319662209329442140259409352974980517540228598521026450329104744230723749861337620234549111269789911144248755958059375257103021764571856195434301387, 146568701354861789150883161023275226504781623545753594360497139291866572700518772979039334432548181398117756736230748400100137433915940836998928478273562599500891612293792908778898338203112830493255218572714331970616169322682552907753048099396156540995404910656800648470192680527779367214626376302869837925939, 150341231289414416060634578191054813824878951723964362268322860494417549544786593982620701089756170421851522916910605706843581797034345010775524379791837772220498032814311641041106375055871308744692823800173809715197258287370221884954687753741599202758781471611242752026561882594616146654392958052627699225601, 106076318345280302832178114745987989092752970236833697669940616165610071852837660365905689921882465580551218479519413505153944238605510532770399306387751379357148388328037897750411868377806232012937141988679989359139482214257132906339735969578486791176650914341348176150226323174041636877671233002119978031669, 105604279265427565452784118653427605131869284838204225350681729287773965522475641691360342432073291656216393802493324304950298647313986478535009569011980897388663221571514270675630511922377073557285084679790187942469615294088901857815697983385152465218065868867750466181794105118546299757138223330343840032793, 93461576609835033605841101610168486628467197777335704657201919738990521241395464464813394887787310854994148413440260042145048542049122223105918837508753060849466078866306710557442859628055523948192545184001155472371548703547381150198215470590756627123249322868496934135361879230778639538190555630569027015027]
q = [108823859720471012173859316048546486537605945743756768449486042387362076763659513042206041025307864534414461851677011129643485898990309713140498018701189709479388344757525159178073567582542321101894872647005875743761477642752627748557958295757092892949897539046285604738634618096724444489959674986804408405589, 98651309624762006732009418081168299907808810489731365996737381459105046257489514199375204345329804376405214839618499854678499333910197962963306321825212413280039614793177543713663142246649256980173494716800539140045333936791697405139355963022199838362955049004395658761432730207589497047658551199605843578677, 118497423490194307284667137560978387533828136098350298237667801667211096542290588421970801995534170030924197735729685080089566186235395734834105747074635659555988817969591461732245846129805235021246178123746536160807552040539922343021226938305514790846947175156522351695247300716962588618737255280374838470673, 169026359117248311582306387124537343617148374820940677616896541363508993960327728685474790595428505958840154541840299526497201613942229579631943668376733101180289467189938895824249369799047985645964616955947624305635837546080656702779444534113838191372360932135630458061515401181264664654344208446693023810783, 126621763227970282639222137762233004110489598214753251715370483441342903102762962410133600810641899016780733163603742410095606748821254051407116388029355612083698051982893487748415364927499079910760259387069256653163463477570668804168818601031632313723907641322622465172365124656602068677472129669290980808429, 128031097611979910338887890267118733772342943653310373203139494323767039137385085548810399689985515037564508637801856790178090230653485425614914876104489201056405851326219927796063889341663918612504780090694590641843228352622249272140010929258747701816194142886683076766214320361472812362106745670373358014033, 161468293916232629321247821135558960374709304686863679248094593079628805462576454755913841143624642702650211054408188808724989182603135707534064363489671879058378037440674418421271485450016802827437648624225238515539548800930850552361454242042394619838900742476102363197669558270443253409133122593563224964113]
gcd_p_q = [4, 6, 6, 1186, 12, 24, 6]
counter = 0
gcd_n_flag = []
for i in range(len(p)):
n = p[i] * q[i]
gcd_n_flag.append(GCD(n, m))
c = pow(m,e,n)
gift = lcm(p[i]-1,q[i]-1)
Decry(c,gift,n)
print(gcd_n_flag)
'''
b'NPUCTF{diff1cult_rsa_1s_e@sy}'
b'NPUCTF{diff1cult_rsa_1s_e@sy}'
b'NPUCTF{diff1cult_rsa_1s_e@sy}'
b'NPUCTF{diff1cult_rsa_1s_e@sy}'
b'NPUCTF{diff1cult_rsa_1s_e@sy}'
b'NPUCTF{diff1cult_rsa_1s_e@sy}'
b'NPUCTF{diff1cult_rsa_1s_e@sy}'
[1, 1, 1, 1, 1, 1, 1]
'''
这道题收益颇多,如有错误,还请各位师傅斧正。
[MRCTF2020]babyRSA
task:
import sympy
import random
from gmpy2 import gcd, invert
from Crypto.Util.number import getPrime, isPrime, getRandomNBitInteger, bytes_to_long, long_to_bytes
from z3 import *
flag = b"MRCTF{xxxx}"
base = 65537
def GCD(A):
B = 1
for i in range(1, len(A)):
B = gcd(A[i-1], A[i])
return B
def gen_p():
P = [0 for i in range(17)]
P[0] = getPrime(128)
for i in range(1, 17):
P[i] = sympy.nextprime(P[i-1])
print("P_p :", P[9])
n = 1
for i in range(17):
n *= P[i]
p = getPrime(1024)
factor = pow(p, base, n)
print("P_factor :", factor)
return sympy.nextprime(p)
def gen_q():
sub_Q = getPrime(1024)
Q_1 = getPrime(1024)
Q_2 = getPrime(1024)
Q = sub_Q ** Q_2 % Q_1
print("Q_1: ", Q_1)
print("Q_2: ", Q_2)
print("sub_Q: ", sub_Q)
return sympy.nextprime(Q)
if __name__ == "__main__":
_E = base
_P = gen_p()
_Q = gen_q()
assert (gcd(_E, (_P - 1) * (_Q - 1)) == 1)
_M = bytes_to_long(flag)
_C = pow(_M, _E, _P * _Q)
print("Ciphertext = ", _C)
'''
P_p : 206027926847308612719677572554991143421
P_factor : 213671742765908980787116579976289600595864704574134469173111790965233629909513884704158446946409910475727584342641848597858942209151114627306286393390259700239698869487469080881267182803062488043469138252786381822646126962323295676431679988602406971858136496624861228526070581338082202663895710929460596143281673761666804565161435963957655012011051936180536581488499059517946308650135300428672486819645279969693519039407892941672784362868653243632727928279698588177694171797254644864554162848696210763681197279758130811723700154618280764123396312330032986093579531909363210692564988076206283296967165522152288770019720928264542910922693728918198338839
Q_1: 103766439849465588084625049495793857634556517064563488433148224524638105971161051763127718438062862548184814747601299494052813662851459740127499557785398714481909461631996020048315790167967699932967974484481209879664173009585231469785141628982021847883945871201430155071257803163523612863113967495969578605521
Q_2: 151010734276916939790591461278981486442548035032350797306496105136358723586953123484087860176438629843688462671681777513652947555325607414858514566053513243083627810686084890261120641161987614435114887565491866120507844566210561620503961205851409386041194326728437073995372322433035153519757017396063066469743
sub_Q: 168992529793593315757895995101430241994953638330919314800130536809801824971112039572562389449584350643924391984800978193707795909956472992631004290479273525116959461856227262232600089176950810729475058260332177626961286009876630340945093629959302803189668904123890991069113826241497783666995751391361028949651
Ciphertext = 1709187240516367141460862187749451047644094885791761673574674330840842792189795049968394122216854491757922647656430908587059997070488674220330847871811836724541907666983042376216411561826640060734307013458794925025684062804589439843027290282034999617915124231838524593607080377300985152179828199569474241678651559771763395596697140206072537688129790126472053987391538280007082203006348029125729650207661362371936196789562658458778312533505938858959644541233578654340925901963957980047639114170033936570060250438906130591377904182111622236567507022711176457301476543461600524993045300728432815672077399879668276471832
'''
analysis:
首先我们拿到加密源文件,分析各个函数的功能。
GCD(A)函数,接收一个列表A,以B为中间值列表A中两个相邻的元素之间的最大公因数。
gen_p()函数,通过创建一个列表P,P中储存了预先生成的一个128bit的素数,之后逐个添加下一个素数,共17个,以这17个小素数对p进行RSA加密,此后返回p(1024bit)的下一个素数。
gen_q()函数,通过建立一个sub_Q,Q_1,Q_2,之后返回nextprime(pow(sub_Q,Q2,Q1))
此后就是以gen_p()和gen_q()的返回值作为p,q对明文进行加密,我们要做的就是逆向还原p,q即可。
exp:
from Crypto.Util.number import *
from sympy import *
from gmpy2 import *
P_p = 206027926847308612719677572554991143421
P_factor = 213671742765908980787116579976289600595864704574134469173111790965233629909513884704158446946409910475727584342641848597858942209151114627306286393390259700239698869487469080881267182803062488043469138252786381822646126962323295676431679988602406971858136496624861228526070581338082202663895710929460596143281673761666804565161435963957655012011051936180536581488499059517946308650135300428672486819645279969693519039407892941672784362868653243632727928279698588177694171797254644864554162848696210763681197279758130811723700154618280764123396312330032986093579531909363210692564988076206283296967165522152288770019720928264542910922693728918198338839
Q_1 = 103766439849465588084625049495793857634556517064563488433148224524638105971161051763127718438062862548184814747601299494052813662851459740127499557785398714481909461631996020048315790167967699932967974484481209879664173009585231469785141628982021847883945871201430155071257803163523612863113967495969578605521
Q_2 = 151010734276916939790591461278981486442548035032350797306496105136358723586953123484087860176438629843688462671681777513652947555325607414858514566053513243083627810686084890261120641161987614435114887565491866120507844566210561620503961205851409386041194326728437073995372322433035153519757017396063066469743
sub_Q= 168992529793593315757895995101430241994953638330919314800130536809801824971112039572562389449584350643924391984800978193707795909956472992631004290479273525116959461856227262232600089176950810729475058260332177626961286009876630340945093629959302803189668904123890991069113826241497783666995751391361028949651
Ciphertext = 1709187240516367141460862187749451047644094885791761673574674330840842792189795049968394122216854491757922647656430908587059997070488674220330847871811836724541907666983042376216411561826640060734307013458794925025684062804589439843027290282034999617915124231838524593607080377300985152179828199569474241678651559771763395596697140206072537688129790126472053987391538280007082203006348029125729650207661362371936196789562658458778312533505938858959644541233578654340925901963957980047639114170033936570060250438906130591377904182111622236567507022711176457301476543461600524993045300728432815672077399879668276471832
e = 65537
q = nextprime(pow(sub_Q,Q_2,Q_1))
p_factor = [P_p]
n = P_p
temp = P_p
for i in range(9):
temp = prevprime(temp)
p_factor.append(temp)
n *= temp
for i in range(7):
P_p = nextprime(P_p)
p_factor.append(P_p)
n *= P_p
phi = 1
for factor in p_factor:
phi *= factor - 1
p = nextprime(pow(P_factor,inverse(e,phi),n))
d = inverse(e,(p - 1) *(q - 1))
print(long_to_bytes(pow(Ciphertext,d,p * q)))
# MRCTF{sti11_@_b@by_qu3st10n}
谨以此文记录BUUCTF的刷题之路,持续更新ing.
