Luiino的博客

ecb模式下的aes加密，cipher = AES.new(key, AES.MODE_ECB, "")这样写在python3里不支持，ecb模式里没有初始化向量IV。

分析：整体观察一下，发现是CBC模式下的AES。key是32字节(256bits)，iv是16字节(128bits)，所以两者异或的结果其实是key的低128bits与iv异或，再加上key的高128bits。即输出结果的高128bits就是key的高128bits，从而能得到key。得到了key之后，取低128bits再与输出结果的低128bits进行异或得到iv。

思路：看到dp的范围，1到1

翻别人博客学习，偶然翻到了一道题，与之前写的一道题类似，记录一下。

暗示与费马定理有关。看p、q的生成过程，可以大概猜出pq是相近的，至于obfuscate里while循环里的内容看不太懂。用yafu工具试着分解一下n，就得到了。再用基础方法解rsa，得到m。由费马定理可以推出x = p-1，故把上面得到的m与。水平太烂，只能搞出来一道题。

最后一步没搞出来，勉强就会这一道了（看了wp的情况下）。就是把flag截取成前一部分和后一部分。解出n_1，发现可以分解，有三个因数，那。对m进行随机数取余，在进行rsa基础加密。n2：取flag第20位字节之后的部分。传的参数是m2，即flag的后一部分。，解得k2 = 0，即m2 = m。n1：将flag右移200比特。看起来逻辑一样，基础rsa加密。得到了flag的前一部分。于是在模n_3的域上构造。

用基础方法解不出来，原因是e与phi_n不互素，又phi_n = (p-1)*(q-1)，求gcd(e,(p-1))和gcd(e,(q-1))，发现e与p-1互素。choice用法：从非空序列中随机选取一个数据并带回，该序列可以是list、tuple、str、set。，计算delt + N是否为完全平方数，如果为完全平方数，那么delt + N =Wilson定理：如果p是素数，则(p − 1)!可以知道p、q相近，则|p-q|很小，进而。因此，我们可以爆破差值delt，即。与 N 相差很小，从而。

最终是要得到1到2021之间的最短路径，显然1是无法直接到达2021，因为题目规定两节点的差的绝对值大于21就没有边，故我们要找到那个和1有边的且路径最短的结点，所以dp[i]就可以表示结点i到结点1的最短距离，即最终要求dp[2021]。dp[j] = min(dp[j],dp[i]+lcm(i,j))，dp[j]表示之前计算的，当前节点到i的最短路径（没有赋值前是无穷大），dp[i]+lcm(i,j)则表示dp[i]与能够有边的结点的最短路径。2、找出数组元素间的关系式。1、定义数组元素的含义。

利用维纳攻击脚本解出d，之后就是基础的rsa解密。签名的相关攻击，注意到本题两次签名使用了相同的k。块密码，把加密的过程逆过来。

解释：当一个数能够开方时，即得到的两个因子相同，想要一个因子增大，另一个因子就必须减小，这样一来一个因子就会一直小于int(n**0.5)+1，故在1到int(n**0.5)+1里求一个因子，再用整除求出另一个因子即可，这样速度比一般方法要快些。观察题目给的例子可以知道，我们只需要求出n所有的因子即可，然后枚举出合适的L、W、H即可。

且n =fac[0]*fac[1]*fac[2]*(((fac[0]+fac[1]+fac[2])

思路： 因为1是最先用的，故1肯定也是最先用完的，当1用完时，即1出现的次数大于2021时，说明此时的数不能被拼出来，设为x，则最大能拼出的数为x-1。在统计当前数1的出现次数时，可用到str(x).count('1')，将该数转为字符串后，统计字符'1'的出现次数即可。

1 mod p*q，满足gcd (a,p*q) = 1。mod p*q，只需求出p*q整体即可。- a = k*p*q，又n =* q ，故p*q = gcd(

加密脚本看不太懂，结合output文件，大致意思是，形成32个多项式，每个多项式均有-，需要你解出-，最终的flag提示你将-全加起来，在进行md5加密。如此多的等式、变量，以及这么大的系数，单纯去解是不太现实的。题目提示去用Sage解，去搜了搜相关方法：解出-刚开始做，没做任何分析，直接从part1准备开解，然后发现part1就给了n和e，n还无法分解，让我无法下手。

第二步，一开始以为是摩斯，就 这 ¿和不 会 吧？代表.和-，但每个字符间都有空格，经大佬提示才知道是阴阳怪气编码，确实够阴阳怪气的，长见识了。注意%u7b代表"{"，%u7d代表"}"，即得到：0W_1QIN4WN_D_FR{DL1C_JYLPDNA3GCY}X1S3J。去提交却不对，怎么也搞不懂，难道和密文格式有关？第三步，摩斯密码，空格作为分隔符。

byteorder='little'，表示高位在前，低位在后，s = '\xf1\xff'，'\x'表示16进制，而f1是低位，ff是高位，故把ff放前面，f1放后面。如果byteorder='big'，则是正常顺序，低位在前，高位在后。函数格式：int.from_bytes(bytes, byteorder, *, signed=False)，bytes为输入的变量，byteorder有'big'和'little'，signed有'True'和'False'。再看signed=True。

对于此题给了Pk = 523798549，即公钥n = 523798549，密文c = 162853095，以及二进制校验码110001，应该是用于在最后4个明文中筛选用的。Rabin加密是非对称加密，和RSA相似，感觉是RSA里的一个特例。在Rabin加密中e = 2，根据RSA加密过程，可以知道加密公式为：c =这道题之前写过，雷宾加密算法，但忘记的差不多了，当时也没怎么学，今天深入学习并记录一下。首先分解n得到p、q，然后依次计算。通过扩展欧几里得算法解。* q = 1，得到。，其它的都能直接解了。

之前学到的RSA加密是非对称加密，而AES则是对称加密，区分点在于AES加密解密过程中用的密钥是相同的。这里记明文为P，密文为C，密钥为K。支持的密钥K的长度有128位，192位，256位。加密：C = E(P,K)，E为加密函数解密：P = D(C,K)，D为解密函数AES加密过程使用的是分组加密，即把明文P分成n组，对n组明文分别使用密钥K加密得到n组密文，将n组密文组合就得到了最终的密文C。且对每一组明文有长度要求，即128bit位（16个字节，每个字节8位）。可以知道，加密得到的每一组密文的长度也是

第一部分，e与phi_n不互素，gcd(e,phi_n) == 4，此时e对phi_n没有逆元，但gcd(e//t,phi_n) == 1。mod n，由上面的for循环可以知道M与初始m的关系：M = m * (p-q-1)!对n进行分解，得到p、q，小的是q。记print(pow(m,e,n))里的m为M，故有c2 =第三部分， 看到M = 2022 * m * 1011 * p，又n = p*q，且c =记两输出结果分别为c1、c2，由print(pow(2,e,n))可以得到：c1 =

先试试n能不能分解，发现可以，得到p、q。利用try来防止e与phi_n没有逆元而导致报错的情况，得到：这样一来就与A没什么关系了。。。