babyRSA GWCTF 2019

Involved Knowledge

• RSA
• Adjacent Element

Description

encrypt.py

import hashlib
import sympy
from Crypto.Util.number import *

flag = 'GWHT{******}'
secret = '******'

assert(len(flag) == 38)

half = len(flag) / 2

flag1 = flag[:half]
flag2 = flag[half:]

secret_num = getPrime(1024) * bytes_to_long(secret)

p = sympy.nextprime(secret_num)
q = sympy.nextprime(p)

N = p * q

e = 0x10001

F1 = bytes_to_long(flag1)
F2 = bytes_to_long(flag2)

c1 = F1 + F2
c2 = pow(F1, 3) + pow(F2, 3)
assert(c2 < N)

m1 = pow(c1, e, N)
m2 = pow(c2, e, N)

output = open('secret', 'w')
output.write('N=' + str(N) + '\n')
output.write('m1=' + str(m1) + '\n')
output.write('m2=' + str(m2) + '\n')
output.close()

secret

N = 6365851495945747469090301601826908662229092...

m1 = 900099743414522432169869380283712...

m2 = 487443985757405173426628188375657117604235507...

Analyze

half = len(flag) / 2

flag1 = flag[:half]
flag2 = flag[half:]

这里将flag分为了长度相等的两半，每段长度为19

secret_num = getPrime(1024) * bytes_to_long(secret)

p = sympy.nextprime(secret_num)
q = sympy.nextprime(p)

通过这部分我们可以得到p和q相邻，因为q是p的下一个质数

F1 = bytes_to_long(flag1)
F2 = bytes_to_long(flag2)

将两部分flag转成数值

c1 = F1 + F2
c2 = pow(F1, 3) + pow(F2, 3)
assert(c2 < N)

c1为F1与F2的和

c2为F1与F2的立方和

并且保证c2<N

m1 = pow(c1, e, N)
m2 = pow(c2, e, N)

\(c1^e ≡ m1 (mod N)\)

\(c2^e ≡ m2 (mod N)\)

也就是我们得到的m1与m2

以上就是题目加密的一个思路，涵盖的知识点是RSA，且p与q相邻

我们逆着题目加密的过程进行解密

• 首先通过m1 , m2得到c1 , c2

\(m1^d ≡ c1 (mod N)\)

\(m2^d ≡ c2(mod N)\)

即pow(m1 , d , N) pow(m2 , d , N)

接着我们可以通过z3来对F1F2进行求解

\(F1 + F2 = c1\)

\(F_1^3 + F_2^3 = c2\)

得到F1F2后，就相当于得到flag的两部分了

GWHT