CTF中Rsa常见攻击思路

最新推荐文章于 2023-07-03 17:04:17 发布
最新推荐文章于 2023-07-03 17:04:17 发布
阅读量2k 收藏 10
点赞数
分类专栏: CTF 文章标签: 安全 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Refrain_mh/article/details/127567095
版权

CTF中Rsa常见攻击思路

RSA简介

基本原理

1.选择两个不同的大质数,计算出模数 N = p * q

2.计算欧拉函数 φ(N) = φ§φ(q)=(p-1) * (q-1),然后选择一个e (1<e<φ),并且e和φ互质

3.取e的模反数d,计算方法为:e * d ≡ 1 (mod φ(N)) (模反元素:如果两个正整数e和n互质,那么一定可以找到整数d,使得 e * d - 1 被n整除,或者说e * d被n除的余数是1。这时,d就叫做e的模反元素

4.公钥(N,e),利用公钥对明文m进行加密:c = pow(m, e, N),可以得到密文c。
5.私钥(N,d),利用私钥对密文c进行解密:m = pow(c, d, N),可以得到明文m。

RSA常见攻击

模数相关攻击

暴力分解N
攻击条件

在 N 的比特位数小于 512 的时候,可以采用大整数分解的方法获取 p 和 q。

可以使用factor分解N
linux下命令
factor +n

安装factordb:

pip install factordb-pycli

也可以在线网站分解N
http://factordb.com/

共模攻击
攻击条件

当两个用户使用相同的模数 N、不同的私钥时,加密同一明文消息时即存在共模攻击。

攻击原理

当两个用户公钥分别为e1和e2,且两者互质,即gcd(e1,e2)=1 ,明文为m,密文消息分别为:

c1 = pow(m, e1, N)
c2 = pow(m, e2, N)

当攻击者截获c1和c2后,利用扩展的欧几里得算法 r* e1 + s *e2 = 1 mod n算出两个整数r和s,由此可得:

(c1 ** r)(c2 ** s) ≡  (m ** re1)(m ** se2)mod n
                   ≡  (m ** re1 + se2)mod n
                   ≡   m mod n

公钥指数相关攻击

小指数e攻击
攻击条件

如果RSA系统的公钥e选取较小的值,可以使得加密和验证签名的速度有所提高,但是如果e的选取太小,就容易受到攻击。
攻击者可以通过爆破得到m

攻击原理

假设用户使用的密钥 e=3。考虑到加密关系满足:
c ≡ m ** 3 mod n

m ** 3 = c + kn
攻击者可以从小到大枚举 k,依次开三次根,直到开出整数为止。

私钥指数相关攻击

小指数d攻击/Wiener’s Attack

在d比较小时(d < 1/3 * pow(n,1/4))
可使用算法从e中快速推断出d的值。

攻击原理

基于连分数的特殊攻击类型就可以危害 RSA 的安全
工具:

https://github.com/pablocelayes/rsa-wiener-attack

题目

分解N

yafu分解固然好用,思考一下其他解题思路

如果我们将它直接取平方根,然后取整之后的值一定在两个数之间,因为它们是通过next_prime连接的,所以可以断定它们之间一定没有质数,所以我们可以再直接通过一个next_prime得到较大的那个质数p,那么另一个质数q我们也就知道了。

import gmpy2
n = 149508848441616715934297319023960757580837139746636486446093766820602595577720613880522359931376776640771560399865570788752926866918099448386204160338951577084579042581094657939545555751085950319193925075988080113525569558968885659546782419751524189916167947489803707492932640059831396220643698853028753007377
tmp=gmpy2.iroot(n,2)[0]
p=gmpy2.next_prime(tmp)
q=n//p
print("p=",p)
print("q=",q)
共模攻击

自动随机生成例题

#coding:utf-8
import libnum
import gmpy2
#生成素数
p=libnum.generate_prime(1024)
q=libnum.generate_prime(1024)
e1=2333
e2=23333
m="flag{6ed4c74e022cb18c8039e96de93aa9ce}"
m=libnum.s2n(m)
n=p*q
#pow(x, y[, z])
#函数是计算 x 的 y 次方,如果 z 在存在,则再对结果进行取模
c1=pow(m,e1,n)
c2=pow(m,e2,n)
print("n1:",n)
print("e1:",e1)
print("c1:",c1)
print("n2:",n)
print("e2:",e2)
print("c2:",c2)

由题意可以判断,n1和n2相同,初步确认为共模攻击
尝试通过欧几里得算法来得到flag

WP
#coding:utf-8
import gmpy2
import libnum

n=10509135007927020910961570498020654777820601579825669027410027026173076573380693204454238919762243178647774720169342528691085983225219960236799370268896666867164869238677749575679762611540687182614629847614275763451130215062534086871119259415866636857654106010518677919485438729877453549868724935457349692430637646827845074169704597756894678350214029352130966923159025112991395150214022844221949818486992653054085916326074567355928744181958934887632087019273037034539054980148783728604561167417571308543568511557184742388987903995431328908643666134429145944816840592528868078022503367301892068877343146684216682292031
e1=2333
c1=7817747253100075445080016685151086112268236401548478039383697586624131257005712900744875480257235019856465005133060251952853265167801711501859975585492982445693865641552507292652891995513965716569403068769379922648392091598433743576490830481993190692094310002540291082497060442504191087716491306341060343322555758506922102525722142895936303098845293736052077805416603114326241892440936798612985329887620848022507113494020806335634837064221561034485913416272720657761870572787579710754920585427628542146537468299211892356070884683021760416483687996756045071803827949139730328011630778732391114457251096093112357217218
n2=10509135007927020910961570498020654777820601579825669027410027026173076573380693204454238919762243178647774720169342528691085983225219960236799370268896666867164869238677749575679762611540687182614629847614275763451130215062534086871119259415866636857654106010518677919485438729877453549868724935457349692430637646827845074169704597756894678350214029352130966923159025112991395150214022844221949818486992653054085916326074567355928744181958934887632087019273037034539054980148783728604561167417571308543568511557184742388987903995431328908643666134429145944816840592528868078022503367301892068877343146684216682292031
e2=23333
c2=4005739533838233872100900192412804692746056018222370689494999429600683965220671145551011781360384072398973847079099863801781412654844344905559510784496389730242858693821886631397324132791823439680955157172958658051082121321917953586754734740594115385719917993135141183252010390389651513644552790616554115701338569755344442572426665297172781226400939991451728779259308086811204397695171302495091439788703682660000347393283282772216143916787270940246611837483151694679246528820414931162726657909701256510917389048934521382784300651451892299324944208983841733409704979351560563883697858790944929943311340614454947233485


#共模攻击
#共模攻击函数
def rsa_gong_N_def(e1,e2,c1,c2,n):
    e1, e2, c1, c2, n=int(e1),int(e2),int(c1),int(c2),int(n)
    print("e1,e2:",e1,e2)
    print(gmpy2.gcd(e1,e2))
    s = gmpy2.gcdext(e1, e2)
    print(s)
    print(s[1])
    print(s[2])
    s1 = s[1]
    s2 = -s[2]

    if s1 < 0:
        s1 = - s1
        c1 = gmpy2.invert(c1, n)
        print(c1)
    elif s2 < 0:
        s2 = - s2
        c2 = gmpy2.invert(c2, n)
    #若s1<0,则c1^s1==(c1^-1)^(-s1),其中c1^-1为c1模n的逆元
    m = (pow(c1,s1,n) * pow(c2 ,s2 ,n)) % n
    return int(m)

m = rsa_gong_N_def(e1,e2,c1,c2,n)
print(m)
print(libnum.n2s(int(m)))
print(libnum.n2s(int(m)).decode())

在这里插入图片描述

小d改版

护网杯cry1

from Crypto import *
from gmpy2 import *
from random import *
from flag import flag

m = bytes_to_long(flag)

while True:
    try:
        p = getPrime(512)
        q = next_prime(p+2**420)
        n = p*q
        phi = (p-1)*(q-1)
        d = randint(0,n**0.32)
        e = inverse(d,phi)
        c = pow(m,e,n)
        break
    except:
        continue

print("e = %d"%e)
print("n = %d"%n)
print("c = %d"%c)

'''
e = 101684733522589049376051051576215902510166244234370429058800153902445053536138419222096346715560283781778705047246555278271919928248836576236044123786248907522717751222608113597458768397652361813688176017155353220911686089871315647328303370846954697334521948003485878793121446614220897034652783771882675756065
n = 106490064297459077911162044548396107234298314288687868971249318200714506925762583340058042587392504450330878677254698499363515259785914237880057943786202091010532603853142050802310895234445611880617572636397946757345480447391544962796834842717321639098108976593541239044249391398321435940436125823407760564233
c = 92367575354201067679929326801477992215675304496512806779109227230237905402825022908214026985431756172011616861246881703226244396008088878308925377019775353026444957454196182919500667632574210469783704454438904889268692709062013797002819384105191802781841741128273810101308641357704215204494382259638905571144
'''

首先分析一下题目,p是随机生成的大素数,q与p的关系为p+2** 420 附近的一个大素数,d为0到 n** 0.32的一个随机数,e为d的模反数。
明文为flag从字节转为整型,反之最终的flag为得到的明文转化为字节。
最终问题是根据题目提供的e,n,c计算出明文

从题目可以看出来 d为0到 n** 0.32
由题目给出的条件可以得到数量级大约在10**98
由于d和e的数量级太大,因此首先考虑的是小d攻击
尝试使用rsa-wiener-attack
破解无果

尝试转换思路
题目提供了p和q的关系,不同以往的题目,p,q随机生成
我们可以尝试利用他们的关系构造函数

使用SAGE自带的函数组合,通过构造一个一元多次方程,先得到一个符合p或q与n的一个近似值,然后通过realField函数进行数值分析进一步得到我们想要的符合p、q关系的数(Sage能够完成从12维物体到计算全球变暖效应数学模型中的降雨量的任何事情。Sage包含了从线性代数、微积分,到密码学、数值计算、组合数学、群论、图论、数论等各种初高等数学的计算功能。)

WP
#sage
import gmpy2
import libnum

n = 106490064297459077911162044548396107234298314288687868971249318200714506925762583340058042587392504450330878677254698499363515259785914237880057943786202091010532603853142050802310895234445611880617572636397946757345480447391544962796834842717321639098108976593541239044249391398321435940436125823407760564233
e = 101684733522589049376051051576215902510166244234370429058800153902445053536138419222096346715560283781778705047246555278271919928248836576236044123786248907522717751222608113597458768397652361813688176017155353220911686089871315647328303370846954697334521948003485878793121446614220897034652783771882675756065
c = 92367575354201067679929326801477992215675304496512806779109227230237905402825022908214026985431756172011616861246881703226244396008088878308925377019775353026444957454196182919500667632574210469783704454438904889268692709062013797002819384105191802781841741128273810101308641357704215204494382259638905571144
RF = RealField(512) #任意精度初始化(512位精度)
x = polygen(RF)
#x = polygen((RealField(1000), 'x'))
f = x * (x + 2**420) - n
p = int(f.roots()[1][0]) #一元二次方程,取正数
#f.roots()  
print(f"p = {p}") 
while n % p != 0:
    p = p - 1

q = n//p
print(f"p = {p}") 
print(f"q = {q}")
phi = (p-1)*(q-1)
d = gmpy2.invert(e,phi) # 求大整数e模phi的逆元y
m = pow(c,d,n)  #大整数c的d次幂模n取余
flag = libnum.n2s(int(m))
print(flag)

在这里插入图片描述

参考:
https://www.freebuf.com/articles/database/290623.html
https://blog.csdn.net/luochen2436/article/details/127012150
https://blog.csdn.net/baidu_36110484/article/details/106958538
https://blog.csdn.net/fengerxi33/article/details/123007358

重启艺术大师
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【愚公系列】2022年04月 密码学攻击-RSA小公钥指数
时光隧道
09-23 4万+
了解小公钥指数攻击的原理,获得flag 我们得到了两个密文和两个公钥,公钥的e分别是3和2,你能把他转换成私钥解密获得flag么 解密e=3的flag 解密e=2的flag 任务描述:了解小公钥指数攻击的原理,获得flag 首先我们来了解小公钥指数的原理,假设用户使用的密钥e=3,考虑到加密关系满足: 则 我们就可以从小到大枚举K,依次开三次根,直到开出整数为止。 那我们就可以根据原理来写我们的脚本 这里使用libnum库的s2n,n2s和gmpy2的iroot算根 首先我们打开题目3->小e
CTF-CRYPTO-RSA Polynomial
zippo1234的博客
11-17 2406
CTF-CRYPTO-RSA PolynomialRSA Polynomial题目分析开始1.题目2.分析(1)分解N(2)欧拉函数(3)提取多项式的参数3.上脚本4.get flag结语 每天一题,只能多不能少 RSA Polynomial 题目分析 polynomial多项式 基于多项式的RSA算法 开始 1.题目 encrypt.sage pri = 31337 R.<x> = PolynomialRing(GF(pri)) def gen_irreducable_poly(deg)
nssctf round#4
weixin_63231007的博客
08-21 1197
curl -v --path-as-is 目标地址:端口/icons/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd。怎么通过脚本直接修改这个phar文件里序列化好的数据来绕过wakeup这部分我不清楚,查看wp之后需要生成phar文件后,自己手动修改文件数据,用到脚本修改签名。文件的签名是第一次生成文件的时候自动生成的,所以当我们修改数据过后,由于签名错误,这个。
国剩余定理
qq_52193383的博客
08-12 698
国剩余定理: 设m1,…,mk是k个两两互素的正整数,则对任意的整数b1,…,bk,同余式组: x ≡ b1 (mod m1) …… …… …… x = bk (mod mk) 一定有解,且解是唯一的。 (1)若令m = m1*…*mk,m = mi * Mi, i = 1,…k 则同余式组的解可以表示为 x ≡ b1 * M1’ * M1 + … + bk * Mk’ * Mk (mod m) 其Mi’为Mi模mi的逆元,即Mi’ * Mi ≡ 1 (mod mi),i = 1,…,k (2)若令N
CTF RSA入门及ctfshow easyrsa1-8 WP
mumuzi的博客
02-27 9529
RSA入门
CTF RSA
qq_63603591的博客
07-03 471
2.Public Exponent这里要使用16进制的数,如果公钥e=17的话,就应该填入十六进制的11。4.给出的是n和e的话,输入n和e,点击Factor N(分解),得到p,q,再重复第3步就能得到d了。在一次RSA密钥对生成,假设p=473398607161,q=4511491,e=17。3.给出p,q,e的话直接填入,再点击Calc.D,获得d。注意e填进去是16进制,需要将17转hex得到11再填进去。1.Number Base 设置为十进制。求解出d作为flga提交。
轩禹CTF_RSA工具3.6.1.zip
最新发布
01-29
CTF常用工具集
CTF-RSA-tool-master.zip
01-19
针对CTFCRYPTO的RSA工具
CTF工具-轩禹CTF_RSA工具2.2
02-17
CTF工具,用于完成RSA的基础题目。包括共模攻击、广播攻击、维纳攻击、低加密指数攻击、费马分解、模不互素、NC不互素等常见攻击方式的解题。
CTF常见密码学攻击手法和实现.md
10-24
CTF-crypto-入门-密码学
CTF常见题型及解题思路.docx
10-22
**Web安全**是CTF常见的一个领域,主要关注的是基于HTTP协议的80端口上的网页应用漏洞。以下是一些关键知识点: 1. **基础爆破**:尝试常见的用户名和密码组合,以及默认的路径和配置,以获取未授权访问。 2. **...
小指数rsa 多线程版writeup
u014281987的博客
08-17 1018
下载flag.enc 和pubkey.pem文件 将pem文件拖入openssl得到n(modulus)和e(exponent)  openssl rsa -pubin -text -modulus -in pubkey.pem n=C09778534564847D8CC4B420E9335867EC783E6CF5F05CA03EEEDC2563D0EB2A9EBA8F1952A2670B
【密码学】RSA的攻与防_3.0
Mitchell_Donovan的博客
10-24 1749
利用RSA的性质:E(PU,M1)*E(PU,M2)=E(PU,[M1M2])PU是公钥,M是待加密内容。即利用CCA攻击,可以用如下方式解密:假定一攻击者截获密文C =M^emod n,此时无法解密M,但可以执行如下计算:(1)计算(2)将X作为选择明文提交,并收到Y =X^dmodn观察下面的等式:M^e*因此,所以可得到消息M1.2 防御措施解决办法是在明文加密前先对明文进行随机填充,让密文随机化,
buuctf——RSA2 维纳攻击
m0_46607055的博客
10-22 2062
题目信息 N = 1019918097775532534702767513992647401311576823292526735017921545070061584344320091419953672419625257059500462534001888846582624965347064387915150718858608975527366568995669157312972258172506398736433763101039921706469065572428328939149020535...
CTFRSA常见解题思路
weixin_52777165的博客
02-02 3055
1、 直接分解模数N 直接分解模数N是最直接的攻击方法,也是最困难的方法。具体的解析同上RSA安全性分析。 如果n小于256bit,可以使用本地工具进行暴力分解,列入windows平台的RSATool,可以在数分钟之内完成256bit的n的分解。如果n大于768bit,可以尝试利用在线网站http://factordb.com,这一类在线网站的原理ishi存储了部分n分解成功的值 2、 对RSA的公共模数攻击 适用于:使用相同的模数N、不同的私钥,加密同一明文消息 基本原理:假如采用两个或者两个以上的公钥(
CTF Crypto RSA算法 入门总结(全)
algae
08-06 7421
一、初步认识 https://www.bilibili.com/video/av73858330 二、简单理解 三、深入理解 1.阮一峰——RSA算法原理(一) 2.阮一峰——RSA算法原理(二)
【密码学】RSA的攻与防_1.0
Mitchell_Donovan的博客
10-16 3248
本文阐述了RSA密码体制存在的一些小问题,并且给出了相应的防御措施。
【密码学复习】第八讲 数字签名
weixin_62495164的博客
05-20 749
信息进行混合运算而形成的,用于标识签发者的身份以及签发者对电子文档的认可,并能被接收者用来验证该电子文档在传输过程是否被篡改或伪造。存在性伪造:攻击者可以生成一些消息的签名,但在伪造前对该消息一无所知.已知消息攻击攻击者拥有一些消息的合法签名,但是消息不由他选择.选择消息攻击攻击者可以自由选择消息并获取消息相应的签名.选择性伪造:攻击者可以对一个自己选取的消息伪造签名.在某一电子文档的一组特定的符号或代码,它是利用。一致伪造:攻击者对于任意消息可以伪造其签名.惟密钥攻击攻击者只有用户的公开密钥.
长度较短的rsa 2048证书_在Bleichenbacher '06 十年后 RSA签名伪造攻击仍然有效
weixin_39780255的博客
11-24 445
RSA签名,尤其是其PKCS#1 v1.5方案,被TLS的X.509证书以及SSH,DNSSEC和IKE等许多重要的网络安全协议广泛使用。不幸的是,当输入异常时,许多PKCS#1 v1.5 RSA签名验证的实现将错误地输出验证通过的结果。本白皮书将探讨该主题,回顾历史缺陷和已知攻击,讨论我们如何将动态符号执行应用于各种RSA签名验证实现并发现其多种实现仍然不能抵御多种类型的非正常验证通过攻击,...
轩禹ctf_rsa工具用法
10-16
轩禹ctf_rsa工具是一款用于RSA加密解密的工具,使用方法如下: 1. 生成RSA密钥对 使用命令 `python3 ctf_rsa.py genkey` 可以生成一对RSA密钥,公钥和私钥会保存在当前目录下的 `public.pem` 和 `private.pem` 文件。 2. RSA加密 使用命令 `python3 ctf_rsa.py encrypt -k public.pem -i plaintext.txt -o ciphertext.txt` 可以使用公钥对明文进行加密,加密后的密文会保存在 `ciphertext.txt` 文件。 3. RSA解密 使用命令 `python3 ctf_rsa.py decrypt -k private.pem -i ciphertext.txt -o plaintext.txt` 可以使用私钥对密文进行解密,解密后的明文会保存在 `plaintext.txt` 文件

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值