XCTF-4th-QCTF-2018-babyrsa

已于 2022-03-18 00:06:00 修改
阅读量628 收藏
点赞数 3
分类专栏: 密码学 python 笔记 文章标签: python 安全 算法 学习
于 2022-03-17 20:24:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZoeMG/article/details/123559712
版权
密码学 同时被 3 个专栏收录
20 篇文章 0 订阅
订阅专栏
笔记
20 篇文章 1 订阅
订阅专栏
python
18 篇文章 0 订阅
订阅专栏
本文详细讲述了如何通过 BabyRSA 的 RSA 奇偶性 Oracle 机制,利用大整数加密和指数运算,通过二分法逐步缩小明文范围,最终找到明文。关键步骤包括选择合适的加密策略和服务器交互,利用模运算的性质进行奇偶性判断。
摘要由CSDN通过智能技术生成

题目

Baby RSA
e = 0x10001
n = 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
c = 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

题目很简单,然后这个n是一个长2048位的大整数且n为奇数

通过factordb以及yafu.factor()等都无法将其直接分解。

题目中还给到一个服务端口,访问一下试试看。

┌──(mangofeng㉿kali)-[~]
└─$ nc 111.200.241.244 55759                                                                 1----------------------------- baby rsa -----------------------------
Come and Decode your data
If you give me ciphertext, I can tell you whether decoded data is even or odd
You can input ciphertext(hexdecimal) now

大致意思为:

通过输入一个加密的密文,服务器会告诉你用私钥d解密该密文后,所得的明文结果是even偶数还是odd奇数

转换成数学表达就是:

I n p u t :    c ≡ m e ( m o d n )    O u t p u t : P a r i t y ( m ≡ c d ( m o d n ) ) = o d d   o r   e v e n Input:\ \ c\equiv m^e\pmod{n} \ \ Output: Parity(m\equiv c^d\pmod{n})=odd \ or\ even Input:  cme(modn)  Output:Parity(mcd(modn))=odd or even

通过这种机制,我们可以向服务器传入的值进行一些修改操作

例如:

我们传入 2 e ∗ c 即 为 ( 2 m ) e , 而 服 务 器 会 将 ( 2 m ) e 解 密 成 2 m 后 告 诉 我 们 其 模 下 的 奇 偶 性 . 2^e*c即为(2m)^e,而服务器会将(2m)^e解密成2m后告诉我们其模下的奇偶性. 2ec(2m)e,(2m)e2m.

我们知道任意一个自然数m,其与2的乘积一定为偶数

所 以 在 m o d ( n ) 下 : 所以在mod(n)下: mod(n):

若 2 m < n , 即 解 密 后 的 传 入 参 数 没 有 经 过 取 模 操 作 的 话 , 那 么 其 奇 偶 性 一 定 为 e v e n , 因 为 2 m 为 偶 数 若2m<n,即解密后的传入参数没有经过取模操作的话,那么其奇偶性一定为even,因为2m为偶数 2m<n,even2m

若 2 m > n , 即 解 密 后 的 传 入 参 数 经 过 了 取 模 操 作 , 那 么 其 奇 偶 性 一 定 为 o d d , 因 为 2 m 为 偶 数 , n 为 奇 数 若2m>n,即解密后的传入参数经过了取模操作,那么其奇偶性一定为odd,因为2m为偶数,n为奇数 2m>n,odd,2m,n

根据上面两点我们可以得到以下结论:

若返回了even,我们可以得到 0 < 2 m < n ⇒ 0 < m < n 2 0<2m<n\Rightarrow 0<m<\frac{n}{2} 0<2m<n0<m<2n

若返回了odd,我们可以得到 n < 2 m < 2 n ⇒ n 2 < m < n n<2m<2n\Rightarrow \frac{n}{2}<m<n n<2m<2n2n<m<n

通过返回的结果,我们可以将明文所在的缩小到原来范围的二分之一。

若我们继续将 2 2 e ∗ c 即 4 e ∗ c 传 入 , 即 可 将 范 围 缩 小 到 四 分 之 一 2^{2e}*c即4^e*c传入,即可将范围缩小到四分之一 22ec4ec

如 此 进 行 下 去 , 我 们 只 需 要 l o g 2 n 次 就 可 以 找 出 明 文 如此进行下去,我们只需要log_2^n次就可以找出明文 log2n

Solve

e = 0x10001
n = 0x0b765daa79117afe1a77da7ff8122872bbcbddb322bb078fe0786dc40c9033fadd639adc48c3f2627fb7cb59bb0658707fe516967464439bdec2d6479fa3745f57c0a5ca255812f0884978b2a8aaeb750e0228cbe28a1e5a63bf0309b32a577eecea66f7610a9a4e720649129e9dc2115db9d4f34dc17f8b0806213c035e22f2c5054ae584b440def00afbccd458d020cae5fd1138be6507bc0b1a10da7e75def484c5fc1fcb13d11be691670cf38b487de9c4bde6c2c689be5adab08b486599b619a0790c0b2d70c9c461346966bcbae53c5007d0146fc520fa6e3106fbfc89905220778870a7119831c17f98628563ca020652d18d72203529a784ca73716db
c = 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
from pwn import *
from tqdm import tqdm
from Crypto.Util.number import *
left=0
right=n
num=0
import gmpy2
for find in tqdm(range(len(bin(n)[2:]))):# 加一个进度条,让人很安心
    num+=1
    tmp=gmpy2.powmod(2,num*e,n)
    senddata=hex((c*tmp)%n)[2:]
    io=remote('111.200.241.244',64931)# 将该连接放入循环是因为 他连接一次只能给你判断一次parity 然后断开
    io.recv()
    io.sendline(senddata)
    ans=io.recvline().decode()[:-1]
    print(ans)
    if ans=='odd': #当返回为奇时,证明经过了取模,范围取大的那部分,即左边区间left向右移动
        left=(left+right)//2 if (left+right)%2==0 else (left+right)//2+1
    else: #当返回为偶时,证明没经过取模,范围取小的那部分,即右边区间right向左移动
        right=(left+right)//2 if (left+right)%2==0 else (left+right)//2+1
    print(right-left)# 不断夹逼(二分)当log n次以后,right与left会确定下明文
print((left,right))
with open(r"D:\\Mango\\babyrsa\\output.txt",'w')as f:
    f.write((left,right)) # 有时候一跑完然后结束之后全是连接服务的断开提醒,次数太多直接刷屏,所以记录下来
    f.close()
import gmpy2
for i in tqdm(range(left-2**10,right+2**10)): # 为了计算进误差,在最后left与right左右两边2^10为范围寻找明文
    if(gmpy2.pow(i,e,n)==c):
        print(i)
        print(number.long_to_bytes(i))
        break
    else:
        continue

总结:对密文乘(2^e%n)操作,再解密的时候,如果为偶数,说明明文再(0, n/2)之间,否则在(n/2, n)之间

如此迭代操作,只需要log n的次数就可以知道明文

(慎重调试!!!!每次调一次想看一看结果会怎么变化,你就要等差不多40分钟才能跑出结果来,复现这道题我大概跑了六次吧)

image-20220317201456459

odd
6
100%|█████████████████████████████████████████████████████████████████████████████▉| 2045/2048 [06:01<00:00,  5.77it/s][x] Opening connection to 111.200.241.244 on port 64931
[x] Opening connection to 111.200.241.244 on port 64931: Trying 111.200.241.244
[+] Opening connection to 111.200.241.244 on port 64931: Done
odd
3
100%|█████████████████████████████████████████████████████████████████████████████▉| 2046/2048 [06:02<00:00,  5.88it/s][x] Opening connection to 111.200.241.244 on port 64931
[x] Opening connection to 111.200.241.244 on port 64931: Trying 111.200.241.244
[+] Opening connection to 111.200.241.244 on port 64931: Done
odd
1
100%|█████████████████████████████████████████████████████████████████████████████▉| 2047/2048 [06:02<00:00,  5.96it/s][x] Opening connection to 111.200.241.244 on port 64931
[x] Opening connection to 111.200.241.244 on port 64931: Trying 111.200.241.244
[+] Opening connection to 111.200.241.244 on port 64931: Done
odd
0
100%|██████████████████████████████████████████████████████████████████████████████| 2048/2048 [06:02<00:00,  5.65it/s]
(560856645743734814774953158390773525781916094468093308691660509501812376, 560856645743734814774953158390773525781916094468093308691660509501812376)
  0%|                                                                                         | 0/2048 [00:00<?, ?it/s]560856645743734814774953158390773525781916094468093308691660509501812349
b'QCTF{RSA_parity_oracle_is_fun}'
 49%|████████████████████████████████████▉                                       | 997/2048 [00:00<00:00, 13114.39it/s]

参考

https://ctf-wiki.org/crypto/asymmetric/rsa/rsa_chosen_plain_cipher/

[https://blog.csdn.net/weixin_44110537/article/details/108956759](

Mango|Feng
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF [QCTF2018]babyre
weixin_53349587的博客
01-05 1645
1.拿到文件,发现是Rust逆向,特点是主函数无法进行反编译,只能通过汇编语言逆向求解,通过搜索字符串,找到关键函数: 2.理清逻辑关系,找到关键判断: 其中的cmp判断输入的长度是否为20h,也就是32位,也就是说,需要我们输入的字符为32位。 3.动态调试: 我们输入abcdefghijklmnopqrstuvwxyzABCDEF,F8单步运行,中间的函数和过程不用看,一直动调看输入的字符串怎么变化的。 第一次变化: 四个一组,位置发生了变化。 第二次变化: 通过..
攻防世界-PWN进阶区-Noleak(XCTF 4th-QCTF-2018)
weixin_44145820的博客
03-01 879
本题主要考察对堆的利用,需要有一定的背景知识,本文也参考了几篇大佬的Writeup,让本文尽可能详细。 题目分析 checksec: 本题的RELRO是完全开启的,意味着我们不能通过修改GOT表来进行攻击 以下是源代码: main函数 delete函数: 这里可以看到free之后没有把指针置空,可能有UAF或者Dubble Free edit函数: 在本函数中,没有检测大小就直接写入,明显...
XCTF 4th-QCTF-2018 dice_game
qq_43409582的博客
10-23 730
首先开一下保护除了canary什么都开了。。。 然后就打开ida分析: read函数造成了栈溢出漏洞。 继续审代码,发现是一个游戏。该程序首先让输入name,并且使用read来读入数据,故而此处存在栈溢出漏洞。下方看见程序使用seed、srand生成随机数。当我们猜对50次随机数时程序会调用sub_B28函数,从而得到flag. 这个随机数咋办呢,,有栈溢出漏洞可以利用,所以就想着能不能将seed...
XCTF 4th-QCTF-2018 babyheap
qq_41071646的博客
07-28 1839
这几天做pwn题做的很恶心了,,等下个星期想去继续肝内核pwn。。 先看一下这个题目的保护 基本该有的保护都有了 然后先看一下这个题 ida里面分析 发现了 程序没有给我们堆块修改的功能 这里可以通过 堆块合并 /重叠 然后申请达到修改堆块还有泄露堆块的目的 这里我们发现了 off by null 然后这里的思路 exp 来源于 https://www.xct...
No leak XCTF 4th-QCTF-2018
qq_41071646的博客
07-25 662
这个题真的很好玩 先看一下保护 PIE 和 NX没开 那么我们可以 用shellcode 来写这一道题 先用ida 看一下题目 会发现 没有show 也就是输出函数 但是 dele 函数确实能够 安排很多东西 UAF 等等 而且我们发现 edit 可以自己定size 那么 就可以堆溢出 但是有一点就是 由于指针没有清0 如果我们不自己清0...
[QCTF2018]babyre
qq_37439229的博客
05-07 596
一道一般般的题。。。 打开ida,调试到这里 发现长度为0x20,于是输入“ABCDEFGHIJKLMNOPQRSTUVWXYZ[]^-`” 第一个函数 打乱我的输入顺序,第二个函数从第三个数开始,每四个为一组分别加一些数,第三个函数从第9个开始,每四个一组进行一些位运算 写出脚步 flag=[0xda,0xd8,0x3d,0x4c,0xe3,0x63,0x97,0x3d,0xc1,0x91,...
XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
XCTF-RE】新手练习区-csaw2013reversing2.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ova41g
XCTF-HW-pipeline附件
最新发布
11-09
附件
XCTF-Mobile】新手练习区-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
NewsCenter
06-23
自己做的系统,运行没什么问题,页面不是很多,主要有有添加新闻、删除新闻、查看新闻、修改新闻等操作。是三层架构。
XCTF 4th-QCTF-2018 Confusion1
feng的博客
10-31 700
知识点 SSTI模板注入 猜图(狗头) WP 进入环境可以发现啥都没有,重要的是这个图: 想办法联想到这个: 知道和python相关。。。(狗头) 首先访问login.php和register.php,发现都是404。经过一系列尝试,发现这个网站只有index.php,但是404的页面响应头里有这个: <!--Flag @ /opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt--> 因此知道了flag文件的位置,但是不知道怎么去读取这个文件。 其
XCTF 4th-QCTF-2018——Noleak分析
Eagle_hwei的博客
02-14 604
Noleak的题目分析 2020-02-1321:52:33 by hawkJW 题目附件、ida文件及wp链接   这道题考察的比较综合,设置到方方面面的知识点,这里记录一下   1.  程序流程总览 首先,还是老规矩,看一下保护情况   可以看到,RELRO保护全开,则没有办法修改got表了,同时开启了Canary保护,栈溢出可能也有一定困难;但是我们看到,有NX没有开启,...
Crypto(6)攻防世界-babyrsa
m0_66039322的博客
10-28 228
参考文章:[攻防世界adworld] Crypto - babyrsa - 知乎 (zhihu.com)涉及到的RSA知识点:
BUUCTF [NCTF2019]babyRSA解题思路
weixin_45441024的博客
11-29 2575
BUUCTF [NCTF2019]babyRSA 这是一道RSA的题目,前几天看祥云杯的RSA做到自闭,做点简单的题转换一下心情。 下载文件之后是一个压缩包,里面有一个py文件,题目如下: from Crypto.Util.number import * from flag import flag def nextPrime(n): n += 2 if n & 1 else 1 while not isPrime(n): n += 2 return n p
[De1CTF2019]babyrsa(比较综合的rsa类型题目)
weixin_44110537的博客
07-18 3572
encrypt import binascii from data import e1,e2,p,q1p,q1q,hint,flag n = [20129615352491765499340112943188317180548761597861300847305827141510465619670536844634558246439230371658836928103063432870245707180355907194284861510906071265352409579441048101084995
baby——web】攻防世界
m0_62788453的博客
03-14 336
baby—web】攻防世界
攻防世界之baby_web
weixin_44632787的博客
07-24 168
攻防世界之baby_web 打开挑战页面发现就只有HELLO WORLD,其它什么也没有。。。 但是题目有给我们提示这个,所以访问一下index.php看看有没有什么 但是访问index.php页面后,它又返回到原来的那个页面。所以猜测这里有问题! 于是就用BurpSuite抓包看看,flag就出来了 其实一开始并没有看到,后来找了很久才注意到。果然要细心细心。。。。 ...
guess-xsctf
07-28
根据提供的引用内容,我无法确定问题"guess-xsctf"的具体含义。请提供更多的信息或者明确你的问题,我将尽力回答。 #### 引用[.reference_title] - *1* [xctf攻防世界 REVERSE 高手进阶区 Guess-the-Number](https://blog.csdn.net/l8947943/article/details/124064262)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [攻防世界 xctf -Guess writeup](https://blog.csdn.net/haodeshua/article/details/96317161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值