密码学学习-Hackergame2021 Easy RSA

已于 2023-04-11 10:56:20 修改
阅读量372 收藏 2
点赞数
文章标签: 密码学 学习 python
于 2023-04-11 10:48:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SCP000111/article/details/120999959
版权

密码学学习

Hackergame2021 Easy RSA

题目如下

import math
import sympy
from Crypto.Util.number import *

e = 65537


def get_p():
    x = 11124440021748127159092076861405454814981575144744508857178576572929321435002942998531420985771090167262256877805902135304112271641074498386662361391760451
    y = 11124440021748127159092076861405454814981575144744508857178576572929321435002942998531420985771090167262256877805902135304112271641074498386662361391661439
    value_p = sympy.nextprime((math.factorial(y)) % x)  # Hint:这里直接计算会溢出,请你仔细观察 x 和 y 的特征
    return value_p


def get_q():
    value = [getPrime(256)]
    for i in range(1, 10):
        value.append(sympy.nextprime(value[i - 1]))
    print("value[-1] = ", value[-1])
    # value[-1] = 80096058210213458444437404275177554701604739094679033012396452382975889905967
    n = 1
    for i in range(10):
        n = n * value[i]
    q = getPrime(512)
    value_q = pow(q, e, n)
    print("value_q = ", value_q)
    # value_q = 5591130088089053683141520294620171646179623062803708281023766040254675625012293743465254007970358536660934858789388093688621793201658889399155357407224541324547522479617669812322262372851929223461622559971534394847970366311206823328200747893961649255426063204482192349202005330622561575868946656570678176047822163692259375233925446556338917358118222905050574458037965803154233167594946713038301249145097770337253930655681648299249481985768272321820718607757023350742647019762122572886601905212830744868048802864679734428398229280780215896045509020793530842541217790352661324630048261329493088812057300480085895399922301827190211956061083460036781018660201163819104150988531352228650991733072010425499238731811243310625701946882701082178190402011133439065106720309788819
    return sympy.nextprime(q)

# this destroyes the rsa cryptosystem
p = get_p()
q = get_q()

m = int.from_bytes(open("flag.txt", "rb").read(), "big")
c = pow(m, e, p * q)
print("c = ", c)
# c = 110644875422336073350488613774418819991169603750711465190260581119043921549811353108399064284589038384540018965816137286856268590507418636799746759551009749004176545414118128330198437101472882906564195341277423007542422286760940374859966152871273887950174522820162832774361714668826122465471705166574184367478

分析得知,他是让我们求出q,p从而解RSA得到明文。

1、dir()查找库函数

首先我们解q,因为p还是不会。通过调试,了解到sympy这个库可以获得某质数的下一个质数例如sympy.nextprime(value[i - 1])得到第一个素数下面的素数。查看python某一库下所有函数我们这里选用dir(sympy)找到此函数

2、yafu分解与大数分解

尝试yafu分解的代码:.\yafu-x64.exe "factor(@)" -batchfile data.txt

大数分解的网站 这里

3、md数学公式文本编写超链接

学习如何插入公式 这里

4、百度函数学习

函数math.factorial(y)的意思是求阶乘,求y的阶乘

5、RSA大总结

c ≡ m e   ( m o d   n ) c\equiv m^e\ {(mod \ n)} cme (mod n)

m = pow(c,e,n)
m ≡ c d   ( m o d   n ) m\equiv c^d\ {(mod \ n)} mcd (mod n)
c = pow(m,d,n)对于超级幂取模后期可能会与gmpy2库的powmod()函数有关
ϕ ( n ) = ( p − 1 ) ∗ ( q − 1 ) \phi(n)=(p-1)*(q-1) ϕ(n)=(p1)(q1)

d ∗ e ≡ 1   ( m o d   ϕ ( n ) ) d*e\equiv1\ (mod\ \phi(n)) de1 (mod ϕ(n))
一般情况下求d。 d = libnum.invmod(e, (p - 1) * (q - 1))(这里是libnum库,gmpy2库也可以重点是**invmod()**函数,这是求逆元的函数)
d p ≡ d   ( m o d   ( p − 1 ) ) dp\equiv d \ (mod \ (p-1)) dpd (mod (p1))

d q ≡ d   ( m o d   ( q − 1 ) ) dq \equiv d\ (mod \ (q-1)) dqd (mod (q1))

RSA求解情况

c ≡ m e   ( m o d   n ) c\equiv m^e\ {(mod \ n)} cme (mod n)

1、m,e,n已知,求c

正常情况下m = pow(c,e,n)即可,如果遇到大数,就用m = gmpy2.powmod(c,e,m)这个快(gmpy2库)。

2、c,e,n已知,求m

一般情况下这个是解不出来的,这是RSA加密的基础,知道p,q后即可解出。解体模板如下

import libnum
from Crypto.Util.number import long_to_bytes
 
c = 
n = 
#n = int("",16)
e = 
#e = int("",16)
q = 
p = 
 
d = libnum.invmod(e, (p - 1) * (q - 1))
m = pow(c, d, n)   # m 的十进制形式
string = long_to_bytes(m)  # m明文
print(string)  # 结果为 b‘ m ’ 的形式
3、c,m,n已知,求e

求指数,离散对数攻击

from sympy.ntheory import discrete_log

n = 
m = 
c = 

flag = discrete_log(n,c,m) 

print(long_to_bytes(flag))
4、c,e,m已知,求n

在RSA中一般n是公钥,一般都会给的,如果没给,我在总结上来。

6、大数阶乘求模(威尔逊定理应用)

这里对应求get_p,威尔逊定理
( p − 1 ) ! ≡ − 1   ( m o d   p ) (p-1)!\equiv -1 \ (mod\ p) (p1)!1 (mod p)
前提p为素数

这里已经检验过x,y均为素数,而且他们相互特别接近。已经成功推理过了。这里不再赘述。

实现代码

import libnum
def decrypt(A,B):#A>B
    ans=1
    temp=pow(-1,1,A)
    for i in range(B+1,A):
        ans=(ans*libnum.invmod(i,A))%A
    return (ans*temp)%A
#decrypt(x,y) return的结果即为(math.factorial(y)) % x

7、欧拉函数求解

这里对应求get_q,欧拉函数
a ϕ ( m ) ≡ 1   ( m o d   m ) a^{\phi(m)}\equiv 1 \ (mod \ m ) aϕ(m)1 (mod m)

ϕ ( m ) = { m − 1 , m 为素数 m ( 1 − 1 p 1 ) ( 1 − 1 p 2 ) ( 1 − 1 p 3 ) . . . m = p 1 a 1 p 2 a 2 p 3 a 3 . . . \phi(m)=\begin{cases} m-1, & {m为素数} \\ m(1- \frac{1}{p_1} )(1- \frac{1}{p_2})(1- \frac{1}{p_3})...& {m = p{_1}{^{a_1}}p{_2}{^{a_2}}p{_3}{^{a_3}}...} \end{cases} ϕ(m)={m1,m(1p11)(1p21)(1p31)...m为素数m=p1a1p2a2p3a3...

p都是素数,整理后可以是以下形式
ϕ ( m ) = ( p 1 − 1 ) ( p 2 − 1 ) ( p 3 − 1 ) ( p 4 − 1 ) . . . . m = p 1 ∗ p 2 ∗ p 3 . . . . \phi(m)=(p_1-1)(p_2-1)(p_3-1)(p_4-1).... \\m=p_1*p_2*p_3.... ϕ(m)=(p11)(p21)(p31)(p41)....m=p1p2p3....
一般就是q,p(即2个),多素数分解情况下可以为以上表示。

8、一次同余式求解

即求解
a x ≡ b   ( m o d   m ) ax\equiv b\ (mod\ m) axb (mod m)

转换后,给出公式
x ≡ b a ϕ ( m ) − 1 ( m o d   m ) x\equiv ba^{\phi(m)-1}(mod \ m) xbaϕ(m)1(mod m)

9、最终解体脚本

import libnum
import math
import sympy
from Crypto.Util.number import *
e = 65537
def decrypt(A,B):#A>B
    ans=1
    temp=pow(-1,1,A)
    for i in range(B+1,A):
        ans=(ans*libnum.invmod(i,A))%A
    return (ans*temp)%A

value=[80096058210213458444437404275177554701604739094679033012396452382975889905967]
for i in range(1, 10):
    value.append(sympy.prevprime(value[i - 1]))
n=1
for i in range(10):
    n = n * value[i]
fn=1
for i in range(10):
    fn = fn * (value[i]-1)
value_q = 5591130088089053683141520294620171646179623062803708281023766040254675625012293743465254007970358536660934858789388093688621793201658889399155357407224541324547522479617669812322262372851929223461622559971534394847970366311206823328200747893961649255426063204482192349202005330622561575868946656570678176047822163692259375233925446556338917358118222905050574458037965803154233167594946713038301249145097770337253930655681648299249481985768272321820718607757023350742647019762122572886601905212830744868048802864679734428398229280780215896045509020793530842541217790352661324630048261329493088812057300480085895399922301827190211956061083460036781018660201163819104150988531352228650991733072010425499238731811243310625701946882701082178190402011133439065106720309788819
d = libnum.invmod(e, fn)
q = pow(value_q, d, n)
q = sympy.nextprime(q)
x = 11124440021748127159092076861405454814981575144744508857178576572929321435002942998531420985771090167262256877805902135304112271641074498386662361391760451
y = 11124440021748127159092076861405454814981575144744508857178576572929321435002942998531420985771090167262256877805902135304112271641074498386662361391661439
p = decrypt(x,y)
p = sympy.nextprime(p)
n = p * q
c = 110644875422336073350488613774418819991169603750711465190260581119043921549811353108399064284589038384540018965816137286856268590507418636799746759551009749004176545414118128330198437101472882906564195341277423007542422286760940374859966152871273887950174522820162832774361714668826122465471705166574184367478
d = libnum.invmod(e, (p - 1) * (q - 1))
m = pow(c, d, n)   # m 的十进制形式
string = long_to_bytes(m)  # m明文
print(string)  # 结果为 b‘ m ’ 的形式
Steins;G4te
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
yafu暴力分解
07-02
RSA中的n过于大并且在线的网站无法分解时,可以尝试一下用yafu。暴力分解n非常有效。方法:下载后运行yafu-x64.exe 然后输入factor(n),接下来就等着n被分解咯。
大整数因数分解工具——yafu
l2ohvef的博客
02-16 1562
可以将大整数放在一个新建文件中——data.txt,最后面一定要换行,不然会出现eof;done processing batchfile,运行命令。2.点击设置——系统——系统信息——高级系统设置——环境变量——点击PATH(上下都可以)——新建 添加yafu-x64.exe 所在路径——点击确定。,如果整数数过长,会出现错误mismatched parens;1.找到yafu-x64.exe 所在的文件路径。如果出现以下图像,说明配置成功。3.打开cmd,输入。
Hackergame 2020
自强不息
02-14 487
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
Hackergame 2021【web 卖瓜】
山至川的博客
10-27 2243
说实话 每次环境10分钟是真的恶心,这道题我记得因为时间截至大概在50次左右,独自解题解成了犊子。。。。。。 WP: 不接受小数,即使绕过了小数的限制但也会进入整数判断,四舍五入,换个方向考虑, 整数溢出。。。。 事实证明确实是整数溢出,经过摸索,9斤存在溢出点,说白了就是数组不再承载输入量,干脆瞎输出,主要原因是前端长度没有做严格过滤, 9223372036854775808 这段数值就是整数溢出值,输入会看到瓜的斤数直接变成了负数,负数,负数,负数,而且距离20斤有很大的一段插值,嗯...
Hackergame2020 wp
weixin_44145452的博客
11-15 443
https://github.com/ustclug/hackergame2020-writeups
easy-rsa-2.2.0.tar.gz
06-30
首先,我们需要从源代码包`easy-rsa-2.2.0.tar.gz`中解压并安装。这通常包括解压、进入目录、配置和编译过程。在Unix/Linux环境下,可以使用以下命令: ``` tar -zxvf easy-rsa-2.2.0.tar.gz cd easy-rsa-2.2.0 ./...
高级密码学报告------Hash算法与RSA算法分析与研究
12-12
在本报告中,我们将深入探讨两种重要的密码学技术:Hash算法与RSA算法,它们在数字签名、身份验证和数据完整性保护等方面发挥着关键作用。 一、古代加密方法 古代加密方法是密码学的起源,主要依赖于简单的替换和...
easy-rsa-old-master.zip
09-29
easy-rsa-old-master.zip . ├── configure.ac ├── COPYING ├── COPYRIGHT.GPL ├── distro │ ├── Makefile.am │ └── rpm │ ├── easy-rsa.spec.in │ └── Makefile.am ├── doc │ ...
教育科研-学习工具-RSA密钥对和证书的注入方法、架构及系统.zip
08-13
教育科研-学习工具-RSA密钥对和证书的注入方法、架构及系统.zip
homebrew-easy-rsa:Easy-rsa 的自制配方
05-29
安装 Tap brew tap riboseinc/easy-rsa安装easy-rsa brew install easy-rsa 如果公式与Homebrew/homebrew或其他水龙头中的公式冲突,您可以运行: brew install riboseinc/easy-rsa/easy-rsa 您也可以通过 URL 安装...
最新版yafu因式分解工具
12-22
这是现在的最新版本,1.34版本的,下载后解压到电脑目录下就可,通过批处理cmd运行。 yafu用于自动整数因式分解,使用yafu可以快速的把n值分解出p、q值。
yafu命令及使用方法
s_a2g1a3j1的博客
11-30 1755
大整数装进txt里方法(记得在txt里面复制粘贴完数字后回车)打开yafu文件夹,在文件夹内右键打开cmd。然后用以下办法来分解n。
yafu
IT
09-06 9231
下载地址 使用方式 1、使用cmd进入yafu的解压目录,输入yafu-x64进入命令行,最常用的命令是factor(n),将n值分解。 factor(需要分解的大数) 2、使用yafu的时候遇到mismatched parens //这是因为在命令行里不支持过长的位数。 新建一个文件p.txt,内容里写上n的值,最后面一定要换行。 然后运行命令为 yafu-x64 "f...
python gmpy2模块、yafu的简单学习记录(RSA向)
chneft的博客
11-30 1656
假设小红想传输一段信息给小白,她只需要用公钥对信息进行加密,然后把加密过的信息传给小白,由于有且仅有私钥才能对密文进行解密,即使在传输过程中密文被第三者截取,也不会导致信息泄露,从而只有私钥持有者小白和发送者小红才能知道原始信息。大概了解了rsa的加解密流程,来到做题的重点部分,往往题目会告诉解题人e和N以及密文s(告知其它值也同理),要得到原文m的话,需要知道私钥d,而欲解出d,得知道phi(N),进而通过ed mod(phi(N)) = 1得解d。,这里d定义为私钥,d又叫做e的逆元。
hackergame2023菜菜WP
博客地址 www.sec0nd.top
11-04 412
最近看到科大在举办CTF比赛,刚好我学校也有可以参加,就玩了玩。个人比较菜,下班时间玩了几天,感觉挺有趣也有难度,感觉偏学术和代码水平多一些吧,还是不错的官方也已经放出WP了,找时间好好研究一下题目说是会保存三个月,大家可以直接去练习的,wp里面有一个cookie,可以直接使用比赛平台我学校已经没什么人参加,总排名只有前100,也看不到我的进度,菜鸡就不配上总排名吗(恼。
yafu RSA 分解大整数
偷一个月亮
08-31 4745
D:\tools\toolssss\crypto\yafu-1.34 λ yafu-x64.exe factor(86934482296048119190666062003494800588905656017203025617216654058378322103517)
RSA因数分解工具yafu下载地址及使用方法介绍
热门推荐
dchua123的专栏
04-10 1万+
下载地址: 请注意,该工具不支持powershell,只支持CMD使用方法: 1、如果数比较小,进入该文件的目录后可以直接使用: yafu-x64 factor(23333333333333) 2、如果数比较大,那就需要将数保存成一个txt,然后使用: yafu-x64 "factor(@)" -batchfile n.txt 注意: (1)n为十进制 (2)txt文件结尾必须...
探索HackerGame:一个开源的网络安全学习平台
最新发布
gitblog_00082的博客
04-21 373
探索HackerGame:一个开源的网络安全学习平台 项目地址:https://gitcode.com/ustclug/hackergame HackerGame 是一个由USTCLUG (University of Science and Technology of China Linux User Group)开发并维护的开源项目,旨在提供一个安全攻防的学习和实践环境。它通过一系列精心设计的挑...
Buuctf RSA 题目总结
Ahuuua的博客
10-20 7560
1.RSA 题目: 在一次RSA密钥对生成中,假设p=473398607161,q=4511491,e=17 求解出d作为flga提交 首先: 学习RSAtool2的使用: 1.Number Base 设置为十进制 2.注意:Public Exponent这里要使用16进制的数,如果公钥e=17的话,就应该填入十六进制的11 3.给出p,q,e的话直接填入,再点击Calc.D,获得d 4.给出的是n和e的话,输入n和e,点击Factor N(分解),得到p,q,再重复第3步就能得到d了
可证安全密码学基础 - Shafi Goldwasser & Mihir Bellare
"可证安全密码学 - Shafi Goldwasser & Mihir Bellare" 是一份由两位知名密码学家Shafi Goldwasser和Mihir Bellare编写的关于可证安全密码学的课程笔记,内容源于他们在MIT和UCSD的授课。这本书探讨了可证安全的概念...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Steins;G4te

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值