ctfshow NOeasyRSA

最新推荐文章于 2024-05-08 11:48:26 发布
最新推荐文章于 2024-05-08 11:48:26 发布
阅读量661 收藏 6
点赞数 24
分类专栏: ctfshow刷题记录 文章标签: 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ly7334/article/details/135636120
版权

题目附件:

from Crypto.Util.number import long_to_bytes
from Crypto.Util.strxor import strxor
from random import randint
from flag import FLAG
 
def f(x, n):  
    return (pow(u,n,p)*x + v*(1-pow(u,n,p))*pow(1-u, -1, p)) % p  
 
p = 97201997431130462639713476119411091922677381239967611061717766639853376871260165905989218335681560177626304205941143288128749532327607316527719299945637260643711897738116821179208534292854942631428531228316344113303402450588666012800739695018334321748049518585617428717505851025279186520225325765864212731597
u = 14011530787746260724685809284106528245188320623672333581950055679051366424425259006994945665868546765648275822501035229606171697373122374288934559593175958252416643298136731105775907857798815936190074350794406666922357841091849449562922724459876362600203284195621546769313749721476449207319566681142955460891977927184371401451946649848065952527323468939007868874410618846898618148752279316070498097254384228565132693552949206926391461108714034141321700284318834819732949544823937032615318011463993204345644038210938407875147446570896826729265366024224612406740371824999201173579640264979086368843819069035017648357042
v = 16560637729264127314502582188855146263038095275553321912067588804088156431664370603746929023264744622682435376065011098909463163865218610904571775751705336266271206718700427773757241393847274601309127403955317959981271158685681135990095066557078560050980575698278958401980987514566688310172721963092100285717921465575782434632190913355536291988686994429739581469633462010143996998589435537178075521590880467628369030177392034117774853431604525531066071844562073814187461299329339694285509725214674761990940902460186665127466202741989052293452290042871514149972640901432877318075354158973805495004367245286709191395753
w = 30714296289538837760400431621661767909419746909959905820574067592409316977551664652203146506867115455464665524418603262821119202980897986798059489126166547078057148348119365709992892615014626003313040730934533283339617856938614948620116906770806796378275546490794161777851252745862081462799572448648587153412425374338967601487603800379070501278705056791472269999767679535887678042527423534392867454254712641029797659150392148648565421400107500607994226410206105774620083214215531253544274444448346065590895353139670885420838370607181375842930315910289979440845957719622069769102831263579510660283634808483329218819353
a = randint(0, 2**2048)
b = randint(0, 2**2048)
A = f(w, a)
B = f(w, b)
key = long_to_bytes(f(B, a))[:len(FLAG)]
enc = strxor(FLAG, key)
print(f"{A = }")
print(f"{B = }")
print(f"{enc = }")
 
"""
A = 19000912802080599027672447674783518419279033741329820736608320648294849832904652704615322546923683308427498322653162857743332527479657555691849627174691056234736228204031597391109766621450008024310365149769851160904834246087493085291270515883474521052340305802461028930107070785434600793548735004323108063823
B = 73344156869667785951629011239443984128961974188783039136848369309843181351498207375582387449307849089511875560536212143659712959631858144127598424003355287131145957594729789310869405545587664999655457134475561514111282513273352679348722584469527242626837672035004800949907749224093056447758969518003237425788
enc = b'\xfd\xc1\xb7\x9d"$\xc2\xb0\xb5\xee\xf89\xa4V\x8e\x17\x01K9\xbc.\x92=\x85\x80\xd4\x03\xefAl"\xbd\x8b\xcdL\xb5\xa3!'
"""

当时看到这题的时候,一直想利用关于a,b的两个方程组求解,没有结果。看了wp后,决定复盘一下。

代码审计:

def f(x, n):  
    return (pow(u,n,p)*x + v*(1-pow(u,n,p))*pow(1-u, -1, p)) % p  
a = randint(0, 2**2048)
b = randint(0, 2**2048)
A = f(w, a)
B = f(w, b)
key = long_to_bytes(f(B, a))[:len(FLAG)]
enc = strxor(FLAG, key)

我们分析关键的代码,这里定义了一个函数f(x,n)=(pow(u,n,p)*x + v*(1-pow(u,n,p))*pow(1-u, -1, p)) % p ,

A=f(w,a),B=f(w,b),

a和b都是0~2048位的二进制数

key是对f(B,a)转长字节

enc是FLAG和key异或的结果

已知条件:

p,u,v,w,A,B,enc

思路:

首要目的是求key也就是f(B,a),所以我们重点分析

f(x,n)= (pow(u,n,p)*x + v*(1-pow(u,n,p))*pow(1-u, -1, p)) mod p

加号为分界,左边式子的pow(u,n,p)右边式子也有,不同的是右边有一个pow(1-u,-1,p),(1-u)modp的逆元,很奇怪,所以我们尝试等式两边同时乘以(1-u),因为等式两边都有modp。

然后我们就可以得到

f(x,n)*(1-u)= (pow(u,n,p)*x(1-u) + v*(1-pow(u,n,p))) mod~ p\\=((x-xu-v)*pow(u,n,p)+v)mod~p

wp上说看实际的函数调用

A = f(w, a)
B = f(w, b)
key = f(B, a)
因为我们已经知道了B,所以B对f(B,a)的值并无多大影响,重点是看a
列出A和key的方程:
A:A*(1-u)=((w-wu-v)*pow(u,a,p)+v)mod~p\\ key:key*(1-u)=((B-Bu-v)*(pow(u,a,p)+v)mod~p
因为这两个等式都有pow(u,a,p)这一项,所以我们把A的式子进行转换,得到
pow(u,a,p) = ( (A * (1 - u) - v) * pow(w - wu - v, -1, p) ) % p
然后再将其代入key中,就可以求解key

再将key和enc异或一下就可以得到flag了

附上某位大佬的代码

from Crypto.Util.number import *
enc = b'\xfd\xc1\xb7\x9d"$\xc2\xb0\xb5\xee\xf89\xa4V\x8e\x17\x01K9\xbc.\x92=\x85\x80\xd4\x03\xefAl"\xbd\x8b\xcdL\xb5\xa3!'

A = 19000912802080599027672447674783518419279033741329820736608320648294849832904652704615322546923683308427498322653162857743332527479657555691849627174691056234736228204031597391109766621450008024310365149769851160904834246087493085291270515883474521052340305802461028930107070785434600793548735004323108063823
B = 73344156869667785951629011239443984128961974188783039136848369309843181351498207375582387449307849089511875560536212143659712959631858144127598424003355287131145957594729789310869405545587664999655457134475561514111282513273352679348722584469527242626837672035004800949907749224093056447758969518003237425788

p = 97201997431130462639713476119411091922677381239967611061717766639853376871260165905989218335681560177626304205941143288128749532327607316527719299945637260643711897738116821179208534292854942631428531228316344113303402450588666012800739695018334321748049518585617428717505851025279186520225325765864212731597
u = 14011530787746260724685809284106528245188320623672333581950055679051366424425259006994945665868546765648275822501035229606171697373122374288934559593175958252416643298136731105775907857798815936190074350794406666922357841091849449562922724459876362600203284195621546769313749721476449207319566681142955460891977927184371401451946649848065952527323468939007868874410618846898618148752279316070498097254384228565132693552949206926391461108714034141321700284318834819732949544823937032615318011463993204345644038210938407875147446570896826729265366024224612406740371824999201173579640264979086368843819069035017648357042
v = 16560637729264127314502582188855146263038095275553321912067588804088156431664370603746929023264744622682435376065011098909463163865218610904571775751705336266271206718700427773757241393847274601309127403955317959981271158685681135990095066557078560050980575698278958401980987514566688310172721963092100285717921465575782434632190913355536291988686994429739581469633462010143996998589435537178075521590880467628369030177392034117774853431604525531066071844562073814187461299329339694285509725214674761990940902460186665127466202741989052293452290042871514149972640901432877318075354158973805495004367245286709191395753
w = 30714296289538837760400431621661767909419746909959905820574067592409316977551664652203146506867115455464665524418603262821119202980897986798059489126166547078057148348119365709992892615014626003313040730934533283339617856938614948620116906770806796378275546490794161777851252745862081462799572448648587153412425374338967601487603800379070501278705056791472269999767679535887678042527423534392867454254712641029797659150392148648565421400107500607994226410206105774620083214215531253544274444448346065590895353139670885420838370607181375842930315910289979440845957719622069769102831263579510660283634808483329218819353

modinv = pow(1-u, -1, p)
ap = ((A * ((1 - u) % p) - v) * pow(w - w * u - v, -1, p)) % p
k = (ap * B + v * (1 - ap) * (modinv)) % p
k = long_to_bytes(k)[:len(enc)]
def strxor(a, b):
    res = b''
    for i in range(len(a)):
        res += (a[i] ^ b[i]).to_bytes(1, 'big')
    return res
print(strxor(enc, k))
#ctfshow{This_Is_Really_Not_So_Smooth!}

如果有写错的地方,麻烦指正,谢谢啦

kkagu
关注
  • 24
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
CTFshow之36Dweb做题记录
bmth666的博客
08-08 2158
WEB_给你shell 打开题目首先F12,得到信息 那么?view_source=flag.txt得到了源码: <?php //It's no need to use scanner. Of course if you want, but u will find nothing. error_reporting(0); include "config.php"; if (isset(...
CTF攻防世界密码学
苏生要努力
02-17 1049
观察题目,发现byte_to_long后的key右移12位后得2669175714787937,即0x97B99E652B261,共13位数字,转二进制就是52位,52+12 = 64 bits = 8 bytes,与原题key=os.urandom(8)对应。将文章中的所有大写字母提取出来,得到一串全部由ZERO与ONE组成的字符串,ZERO替换为数字0,ONE替换为数字1,从而得到一个二进制表示的数,再将此数转换为字符串即可。所以只要将a中的数字剑减3,换成asc||字符,得到字符串。
CTFshow-pwn入门-前置基础
akdelt的博客
01-15 523
esi 存储的是 msg 的地址,然后寄存器间接寻址把 msg 地址的内容拿出来给 eax 了。我们直接用 ida 看看 080490E8 地址上的值就行了。:运行此文件,将得到的字符串以ctfshow{xxxxx}提交。计算一下 eax 寄存器的值就行了(好臭的 flag,悲。所以我们把下载好的 elf 文件拿去执行即可。:寄存器间接寻址方式结束后eax寄存器的值为?: 立即寻址方式结束后eax寄存器的值为?:寄存器寻址方式结束后edx寄存器的值为?:直接寻址方式结束后ecx寄存器的值为?
[ctfshow]NOeasyRSA
m0_66879478的博客
01-18 567
[ctfshow]NOeasyRSA
CTFSHOW WEB入门
qq_51558360的博客
10-11 4164
----------信息搜集---------- 源码泄露 查看源码即可 前台JS绕过 直接开发者工具查看源码 当然也可以抓包查看 也可以禁用js查看源码 协议头信息泄露 或者抓一下包也可 robots后台泄露 phps源码泄露 根据题目猜测输入index.phps 下载到一个index.phps打开得到flag 源码压缩包泄露 访问www.zip 没有flag,尝试访问fl000g.txt 版本控制泄露源码 Git是一个开源的分布式版本控制系统 git代码泄露,git上传代码会在目录创
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
ctfshow web185 正则爆破脚本
10-21
ctfshow web185 正则爆破脚本,以true拼接形成数字,实现ascii代替数字、字母和特殊符号
ctf之crypto练习二
渗透测试研究中心
01-16 7344
一、js代码分析之编码转换writeup:打开index.html<script src="script-min.js"></script> //首先调用.js脚本 <script type="text/javascript"> var ic = false; #默认ic值为false var ...
ctf.show 愚人杯
Welcome To Myon'Blog !
04-02 2504
愚人杯,ctf.show,MISC,WEB,base编码,PHP伪协议,010editor,zip伪加密,png
网络安全之密码学技术
缘友一世的博客
04-29 1452
在DES算法中,明文按64位进行分组(块),密钥长度也是64位,(事实上只有56位参与DES运算,第8、16、24、32、40、48、56、64位是校验位, 使DES的每个密钥都有奇数个1),分组后的每64位明文组(块)分别与56位密钥进行多轮置换(按位替代/交换),最后生成64位的密文组(块)。RSA密钥是(公钥+模值)、(私钥+模值)成组分发的,单独一个公钥或私钥是没有用处,所以所谓的“密钥”其实是它们两者中的一个。IDEA是作为迭代的分组密码实现的,使用128位的密钥和8个循环。
斯坦福大学的在线密码学课程
最新发布
mseoffice的博客
05-08 469
课程首先将详细讨论当强大的对手窃听和篡改流量时,拥有共享密钥的双方如何进行安全通信。在整个课程中,学员将接触到该领域许多令人兴奋的公开问题,并参与有趣的(可选的)编程项目。在第二门课程(密码 II)中,我们将介绍更高级的密码任务,如零知识、隐私机制和其他形式的加密。斯坦福的密码学课程[good] btw,最近山东大学的王美琴老师主编的《密码分析学》出版了,很赞,方法梳理得很系统。流密码在语义上是安全的 [可选]•10 分钟。来自密码和 MAC 的构造•20 分钟。来自 PRG 的分组密码•11 分钟。
零知识证明与同态加密:隐私计算的双剑
PrimiHub的博客
04-29 907
在数字时代,隐私保护已成为全球关注的焦点。隐私计算作为解决数据隐私问题的关键技术,其核心目标是在不泄露个人或敏感信息的前提下,实现数据的计算和分析。在这一领域,零知识证明和同态加密扮演着至关重要的角色。本文将深入探讨这两种技术如何在隐私计算中发挥作用,以及它们之间的异同。
学习《现代密码学——基于安全多方计算协议的研究》 第二章
weixin_67944207的博客
05-07 658
内容探讨了现代密码学中常用的数学基础知识,包括素数、模运算和群论等概念。此外,还介绍了密码学中的困难性假设,如大数分解困难性假设、离散对数困难性假设以及Diffie-Hellman问题。
《现代密码学——基于安全多方计算协议的研究》 第二章中Diffie-Hellman问题深入探讨
weixin_67944207的博客
05-07 371
其中, (p ) 是一个大质数,而 (g ) 是 (p ) 的一个原根,也就是 (g ) 的幂按模 (p ) 可以得到从1到 (p-1 ) 所有整数的集合。现在,Alice 和 Bob 都得到了相同的共享密钥 (K = 2 ),并且其他人很难通过公开的值 (A )、 (B ) 和 (p )、 (g ) 推断出这个密钥。4. 交换公开值 (A ) 和 (B ) :Alice和Bob交换他们计算出的公开值 (A ) 和 (B )。
密码学《图解密码技术》 记录学习 第十一章
weixin_67944207的博客
05-06 673
密码的本质就是将较长的秘密-—消息-—变成较短的秘密-—密钥
ctfshow sql
08-03
回答: 要在ctfshow数据库中执行SQL查询和获取数据,可以使用sqlmap工具。首先,使用以下命令查询ctfshow_user表的列名:python ./sqlmap.py -u "http://ef1aabd2-a275-40df-8ad4-99e7563322f8.challenge.ctf.show/api/?id=" --user-agent=sqlmap --referer=ctf.show -D ctfshow_web -T ctfshow_user --columns。[1]接下来,使用以下命令来查询和获取ctfshow_user表中的数据:python ./sqlmap.py -u "http://ef1aabd2-a275-40df-8ad4-99e7563322f8.challenge.ctf.show/api/?id=" --user-agent=sqlmap --referer=ctf.show -D ctfshow_web -T ctfshow_user --dump。[2]如果你只想直接获取最后一步的数据,可以使用以下命令:python sqlmap.py -u "http://b794446b-7f11-4600-beba-3de5961369b7.challenge.ctf.show/api/" --data="id=1" --user-agent=sqlmap --referer=ctf.show -D ctfshow_web -T ctfshow_user --dump。[3]这些命令将帮助你在ctfshow数据库中执行SQL查询和获取数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值