buu [NPUCTF2020]共 模 攻 击 1

已于 2023-06-02 17:06:36 修改
阅读量843 收藏 2
点赞数 1
文章标签: python 密码学 安全
于 2023-05-23 21:31:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XiongSiqi_blog/article/details/130835128
版权

题目描述:

task:

hint: 

题目分析:

  •  先看hint(提示)这一部分,标题已经提示了是共模攻击,看到有e1,e2,c1,c2,n也可以想到是共模攻击,之后得到c,继续往下做

c = m^{256} mod p

  • 此时有点不知如何下手,e = 256 = 2^{8}

并且

gcd(e // 4,p-1) = 4

gcd(e // 4 // 4,p-1) = 4

gcd(e // 4 // 4 // 4,p-1) = 4

啊这......(这怎么去做)

  • 看到别人写的,用sympy库中的nthroot_mod(c,e,n)函数可以做出来 ,目前第一次用此函数,还没什么经验,也不好多分享什么,大家多摸索吧
  •  hint部分的解题代码
p = 107316975771284342108362954945096489708900302633734520943905283655283318535709
n = 6807492006219935335233722232024809784434293293172317282814978688931711423939629682224374870233587969960713638310068784415474535033780772766171320461281579
e1 = 2303413961
c1 = 1754421169036191391717309256938035960912941109206872374826444526733030696056821731708193270151759843780894750696642659795452787547355043345348714129217723
e2 = 2622163991
c2 = 1613454015951555289711148366977297613624544025937559371784736059448454437652633847111272619248126613500028992813732842041018588707201458398726700828844249
import gmpy2
from Crypto.Util.number import *
from sympy import *
s,s1,s2 = gmpy2.gcdext(e1,e2)
c = pow(c1,s1,n) * pow(c2,s2,n)%n
e = 256
m = nthroot_mod(c,e,p)
print(long_to_bytes(m))
# b'm.bit_length() < 400'
  • 这里也可以直接在sage中解,代码如下: 
    from Crypto.Util.number import *
c = 19384002358725759679198917686763310349050988223627625096050800369760484237557
p = 107316975771284342108362954945096489708900302633734520943905283655283318535709
# c = m ^ 256 mod p
P.<x> = Zmod(p)[]
f = x ^ 256 - c
a = f.roots()
for i in a:
    print(long_to_bytes(int(i[0])))
     得到:

 

知道了m的比特位小于400位

  • 接下来看task,显然,根据提示,可以尝试使用coppersmith定理

 '''构造关于m的同余式,已知的模数是n,所以要尽量让构造出的m的等式是n的倍数(也就是模n等于0)当然也可以是余数不等于0的情况但是一定要已知余数是多少(这里似乎没有什么数学定理可以应用,大概率就是直接构造一个等式等于n的倍数即可)'''

  •  代码如下:
# sage

from Crypto.Util.number import *
n = 128205304743751985889679351195836799434324346996129753896234917982647254577214018524580290192396070591032007818847697193260130051396080104704981594190602854241936777324431673564677900773992273463534717009587530152480725448774018550562603894883079711995434332008363470321069097619786793617099517770260029108149
c1 = 96860654235275202217368130195089839608037558388884522737500611121271571335123981588807994043800468529002147570655597610639680977780779494880330669466389788497046710319213376228391138021976388925171307760030058456934898771589435836261317283743951614505136840364638706914424433566782044926111639955612412134198
c2 = 9566853166416448316408476072940703716510748416699965603380497338943730666656667456274146023583837768495637484138572090891246105018219222267465595710692705776272469703739932909158740030049375350999465338363044226512016686534246611049299981674236577960786526527933966681954486377462298197949323271904405241585
sum = c1 + c2
mult = c1 * c2
PR.<x> = PolynomialRing(Zmod(n))
# R.<x> = PolynomialRing(Zmod(n),implementation = 'NTL')
# R.<x> = Zmod(n)[]
# 上面三个都行
f = x ^ 2 + mult - sum * x
flag = f.small_roots(X = 2 ^ 400)[0] # 2 ^ 400是根的上界
print(flag)
# print(long_to_bytes(flag)
flag = 4242839043019782000788118887372132807371568279472499477998758466224002905442227156537788110520335652385855
print(long_to_bytes(flag))

收获与体会:

  • 以后遇到e还算小的可以尝试用sympy.nthroot_mod(),感觉这东西还挺🐂的,哈哈哈
m = nthroot_mod(c,256,p,all_roots=True) # 所有根,列表中
print (m)
for i in m:
    print (i)
    hint = long_to_bytes(i)
    print (hint)

  •  以上copper法值得收藏(求m,m位数已知,并且c1 = m^p mod n, c2 = m^q mod n)

以下三个可以互换使用,目前还没看到局限(可能是做题少了吧)

PR.<x> = PolynomialRing(Zmod(n))
R.<x> = PolynomialRing(Zmod(n),implementation = 'NTL')
R.<x> = Zmod(n)[]

Emmaaaaaaaaaa
关注
[NPUCTF2020]
2er0!=O的博客
08-01 997
[NPUCTF2020] 附件: hint.py: from gmpy2 import * from Crypto.Util.number import * from secret import hint m = bytes_to_long(hint) p = getPrime(256) c = pow(m, 256, p) print(p) p, q = getPrime(256), getPrime(256) n = p * q e1, e2 = getPrime(32), getP
BUUCTF [NPUCTF2020]芜湖
weixin_53349587的博客
01-09 3062
这道题是一个base64隐写,我们要先提取出所有的base加密值,然后用base隐写提取的函数,把flag提取出来,就得到了flag。 1.提取base值 本来想着用ida动调一下,应该可以提出来,结果值在堆上面,ida动调只能看到一半的base值,一点用也没有,没办法,就用pwn的pwndbg查看堆: 接下来就一直单步s运行下去,一个一个把base值提取出来,得到最终的base值: "55y85YmN6YeN5aSN55qE6aOO5pmvLG==", "5riQ5riQ5qih57OK5L
BUU [NPUCTF2020]
MikeCoke的博客
10-07 1260
题目 hint 是的老套路了,用扩展欧几里得算法就能解出来。 解出来得到的提示为:m.bit_length() < 400 task 这里放上大佬写的博客 链接 这里的 m2 - (c1 + c2)m + c1 * c2 = ijn ≡ 0 mod n 是通过公式化简,得到一个关于未知量 m 的多项式,然后用sage解多项式求根就能得到 flag 了。 我写的代码: from gmpy2 import* from libnum import* from sympy import*
Crypto_[NPUCTF2020]
M3ng@L的博客
11-21 3392
[NPUCTF2020] 题目描述: hint文件: from gmpy2 import * from Crypto.Util.number import * from secret import hint m = bytes_to_long(hint) p = getPrime(256) c = pow(m, 256, p) print(p) p, q = getPrime(256), getPrime(256) n = p * q e1, e2 = getPrime(32), getP
RSA的--[BUUCTF]-RSA3
rang的博客
11-08 3740
假设有一条信息m,由两个不同的用户使用公钥进行加密(两个用户的e一般不同,数n一般相同) c1 = m^e1 mod n c2 = m^e2 mod n 得到了两个不同的密文c1,c2 因为公钥是公开的(e1,e2,n)已知 那么者一知道如下信息 gcd(e1, e2) = 1 m = c1^d1 mod n m = c2^d2 mod n 若两个秘钥e互素根据扩展的欧几里得算法则存在s1,s2有:e1s1+e2s2=1 所以 c1^s1 mod n=m^(e1*s1) mod n c2^s2
Crypto(10)BUUCTF-RSA3()
最新发布
m0_66039322的博客
11-24 744
好奇一个问题,即有什么现实意义?发现也没有什么现实意义,因为(n,e)是已知的,通常每个用户的n是不同的,除非特殊情况吧。
[NPUCTF2020]Classical Cipher
2er0!=O的博客
07-23 1173
[NPUCTF2020]Classical Cipher 附件: key.txt: 解密后的flag请用flag{}包裹 压缩包密码:gsv_pvb_rh_zgyzhs 对应明文: ***_key_**_****** 词频分析 得到压缩包密码: 第一个尝试无果,发现第二个才是正确的密码: the_key_is_atbash 猪圈加动物???? 解密得到flag: classicalcode 根据题目要求套上flag提交即可! ...
[NPUCTF2020]认清形势,建立信心
2er0!=O的博客
08-01 587
[NPUCTF2020]认清形势,建立信心 附件task.py: from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(p
[NPUCTF2020]EzRSA
2er0!=O的博客
07-25 575
[NPUCTF2020]EzRSA 附件: from gmpy2 import lcm , powmod , invert , gcd , mpz from Crypto.Util.number import getPrime from sympy import nextprime from random import randint p = getPrime(1024) q = getPrime(1024) n = p * q gift = lcm(p - 1 , q - 1) e = 54722 fla
BUUCTF 打卡7
qq_52193383的博客
08-27 561
1.[NPUCTF2020] 给出两个代码。先解hint.py(毕竟解出来的东西是提示)。可以看出这里面含有,解出c之后,我们就掌握了密文c,数p,指数(256),再利用sympy.nthroot_mod(c,256,p)解出明文m。 import sympy,gmpy2 from Crypto.Util.number import * p = 1073169757712843421083629549450964897089003026337345209439052836552833
matlab学习日志20210812
Airuiruia的博客
08-12 202
fix函数:向零取整函数。 floor函数:向负无穷取整。 ceil函数:向正无穷取整。 rand函数:四舍五入函数,rand(pi,3)π取三位有效数字取整。 mod函数:取余数函数,mod(13,3)13除3的余数。rem同。 sign函数:将所有整数返回1,所有负数返回-1.(NaN与0返回原来的数) sqrt函数:求根函数(平方根)。 nthroot函数:求根函数。例:nthroot(2,3)表示2的三次方根。 sind函数:其中d表角度。 ...
BuuCTF_crypto(2021.10.8新-->旧)
zihuocc的博客
10-08 703
题目[GKCTF 2021]XOR 参考文章[GKCTF 2021]XOR_m0_57291352的博客-CSDN博客[GKCTF 2021]XOR题目from Crypto.Util.number import *from hashlib import md5a = getPrime(512)b = getPrime(512)c = getPrime(512)d = getPrime(512)d1 = int(bin(d)[2:][::-1] , 2)n1 = a*bx1 = a^bn2 = c*dx.
[NPUCTF2020] (sage解方程)
weixin_44110537的博客
08-06 2268
encrypt hint: from gmpy2 import * from Crypto.Util.number import * from secret import hint m = bytes_to_long(hint) p = getPrime(256) c = pow(m, 256, p) print(p) p, q = getPrime(256), getPrime(256) n = p * q e1, e2 = getPrime(32), getPrime(32) c1, c2 = po
buuoj Crypto
qq_41071646的博客
02-03 1289
最近准备刷buuoj 刷的部分是 pwn re 还有crypto 然后打算做一个项目 放到github 当成毕业设计,,,,, md5 这个题目在md5解密网站解一下就出来了 二踢腿 这个题目。。。 就是偏移13的凯撒密码,, 直接解开就好 url解码 直接url 解码就好。。 一眼就解密 直接base64解密就好 摩丝密码 解密一下就好http://www.zhon...
强网杯2019 Copperstudy
m0_57291352的博客
08-13 1105
强网杯2019 Copperstudy 靶机:node4.buuoj.cn:25381
buu [HDCTF2019]together
shshss64的博客
10-21 504
7.6每日三题
PUTAOAO的博客
07-06 306
Fast from Crypto.Util.number import * from secret import flag p = getPrime(1024)106417460801952098564106499070151038873024911455536068339939244771790540941720274028587207976808157868694798197258813111268537142798255715538795631061310640662123200632946626
RSA已知高位
m0_57291352的博客
10-09 9442
背景: rsa解密,已知e,n,c(其中n太大,分解不了),和p的高位或m的高位或d的高位 工具: sage (没下载的话,有个在线网站可用:https://sagecell.sagemath.org/) 基础知识: PR.<x> = PolynomialRing(Zmod(n)) 用于生成一个以x为符号的一元多项式环 f = x + p4 定义求解的函数 roots = f.small_roots(X=2^kbits, beta=0.4) 多项式小值根求解及因子分解,其中X表示求解根的上
BUUCTF Crypto题目记录
Vigorousy的博客
11-12 3709
MD5 e00cf25ad42683b3df678c61f42c6bda 进行MD5加密 flag{admin1} Url编码 %66%6c%61%67%7b%61%6e%64%20%31%3d%31%7d flag{and 1=1} 看我回旋踢 synt{5pq1004q-86n5-46q8-o720-oro5on0417r1} 观察已知字符串已经存在flag雏形,猜测为凯撒密码 flag{5cd1004d-86a5-46d8-b720-beb5ba0417e1} 一眼就解密 ZmxhZ3t
BUU BRUTE 1 1
09-18
BUU BRUTE 1是一个爆破任务,根据引用所述,首先尝试爆破用户名,可以选择一个适合的字典进行爆破。接着,根据引用所述,可以切换到密码爆破式,使用适当的字典或数字列表进行爆破。最后,根据引用所述,通过查看...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值