adworld-crypto-equation-2

最新推荐文章于 2022-02-17 16:36:48 发布
最新推荐文章于 2022-02-17 16:36:48 发布
阅读量334 收藏 2
点赞数
分类专栏: crypto
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bunner_/article/details/109188837
版权

参考:大佬的题解
拿到了一张上半部分被遮掉的RSA的私钥照片,以及一份密文

openssl私钥结构
version | pad | n | pad | e | pad | d | pad | p | pad | q | pad | x1 | pad | x2 | pad | x3

其中 pad 表示填充信息,用来表示接下来的大数所占字节数等信息
pad 以 '\x02’开头,后接信息有两种情况

  • ‘\x81’或’\x82’ + length表示接下来的length所占字节数为1或2,length表示后面的数据所占字节数,例如’\x02\x81\x30’,表示后面的大数占用0x30个字节
  • length,例如’\x02\x30’,表示后面的大数占用0x30个字节

x 1 = d    %    ( p − 1 ) x_1 = d\; \%\;(p-1) x1=d%(p1)
x 2 = d    %    ( q − 1 ) x_2 = d\; \%\;(q-1) x2=d%(q1)
x 3 = q − 1    %    p x_3=q^{-1}\;\%\;p x3=q1%p,大佬的题解中这一块似乎写的不对

利用已知信息恢复私钥

已知信息

Os9mhOQRdqW2cwVrnNI72DLcAXpXUJ1HGwJBANWiJcDUGxZpnERxVw7s0913WXNtV4GqdxCzG0pG5EHThtoTRbyX0aqRP4U/hQ9tRoSoDmBn+3HPITsnbCy67VkCQBM4xZPTtUKM6Xi+16VTUnFVs9E4rqwIQCDAxn9UuVMBXlX2Cl0xOGUF4C5hItrX2woF7LVS5EizR63CyRcPovMCQQDVyNbcWD7N88MhZjujKuSrHJot7WcCaRmTGEIJ6TkU8NWt9BVjR4jVkZ2EqNd0KZWdQPukeynPcLlDEkIXyaQx

将其用base64解码后得到:

b':\xcff\x84\xe4\x11v\xa5\xb6s\x05k\x9c\xd2;\xd82\xdc\x01zWP\x9dG\x1b
\x02A\x00\xd5\xa2%\xc0\xd4\x1b\x16i\x9cDqW\x0e\xec\xd3\xddwYsmW\x81\xaaw\x10\xb3\x1bJF\xe4A\xd3\x86\xda\x13E\xbc\x97\xd1\xaa\x91?\x85?\x85\x0fmF\x84\xa8\x0e`g\xfbq\xcf!;\'l,\xba\xedY
\x02@\x138\xc5\x93\xd3\xb5B\x8c\xe9x\xbe\xd7\xa5SRqU\xb3\xd18\xae\xac\x08@ \xc0\xc6\x7fT\xb9S\x01^U\xf6\n]18e\x05\xe0.a"\xda\xd7\xdb\n\x05\xec\xb5R\xe4H\xb3G\xad\xc2\xc9\x17\x0f\xa2\xf3
\x02A\x00\xd5\xc8\xd6\xdcX>\xcd\xf3\xc3!f;\xa3*\xe4\xab\x1c\x9a-\xedg\x02i\x19\x93\x18B\t\xe99\x14\xf0\xd5\xad\xf4\x15cG\x88\xd5\x91\x9d\x84\xa8\xd7t)\x95\x9d@\xfb\xa4{)\xcfp\xb9C\x12B\x17\xc9\xa41'

以上信息是我已经将\x02分出来之后的信息

我们会发现最后一段里面含有’\x02’,为什么它不能作为pad呢?
该’\x02’后接了’i’
‘i’ 的 ascii 码为105,意味着后面大数所占字节数为105,然后后面的数据长度不足105,所以该’\x02’并不是pad

那么根据上面的信息,我们已经得出来了x1, x2, x3

d ∗ e ≡ 1    %    ( p − 1 ) ( q − 1 ) d * e \equiv 1\;\%\;(p-1)(q-1) de1%(p1)(q1)
d ∗ e ≡ 1    %    ( p − 1 ) d*e \equiv 1\;\%\;(p-1) de1%(p1)
d ∗ e ≡ 1    %    ( q − 1 ) d*e \equiv 1\;\%\;(q-1) de1%(q1)
x 1 ∗ e ≡ 1    %    ( p − 1 ) x_1*e \equiv 1\;\%\;(p-1) x1e1%(p1), 因为 x 1 = d    %    ( p − 1 ) x_1=d\;\%\;(p-1) x1=d%(p1)
x 1 ∗ e − 1 = r 1 ∗ ( p − 1 ) x_1*e - 1 = r_1*(p-1) x1e1=r1(p1)
因为 x 1 < p − 1 x_1<p-1 x1<p1,所以近似的 r 1 < e r_1 < e r1<e
同理可得 r 2 < e r_2 < e r2<e
那么有 p = ( x 1 ∗ e − 1 ) / r 1 + 1 p = (x_1*e-1)/r_1+1 p=(x1e1)/r1+1, q = ( x 2 ∗ e − 1 ) / r 2 + 1 q = (x_2*e-1)/r_2+1 q=(x2e1)/r2+1
且要保证 x 3 = q − 1    %    p x_3 = q^{-1}\;\%\;p x3=q1%p

e的常见值有3, 65537。
这里若是e=3的话,情况太少,所以选择e=65537试探

import gmpy2
import base64
import sys

from Crypto.Util.number import isPrime, inverse
from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_v1_5


# sys.stdout = open('./data/x.txt', 'w')


# s = 'Os9mhOQRdqW2cwVrnNI72DLcAXpXUJ1HGwJBANWiJcDUGxZpnERxVw7s0913WXNtV4GqdxCzG0pG5EHThtoTRbyX0aqRP4U/hQ9tRoSoDmBn+3HPITsnbCy67VkCQBM4xZPTtUKM6Xi+16VTUnFVs9E4rqwIQCDAxn9UuVMBXlX2Cl0xOGUF4C5hItrX2woF7LVS5EizR63CyRcPovMCQQDVyNbcWD7N88MhZjujKuSrHJot7WcCaRmTGEIJ6TkU8NWt9BVjR4jVkZ2EqNd0KZWdQPukeynPcLlDEkIXyaQx'
# print(base64.b64decode(s.encode('utf8')))

# Crypto自带的bytes_to_long一直报错,就自己写了一个 
def bytes_to_int(x):
    ans = 0
    for data in x:
        ans <<= 8
        ans += ord(data)
    return ans

x1 = bytes_to_int('\xd5\xa2%\xc0\xd4\x1b\x16i\x9cDqW\x0e\xec\xd3\xddwYsmW\x81\xaaw\x10\xb3\x1bJF\xe4A\xd3\x86\xda\x13E\xbc\x97\xd1\xaa\x91?\x85?\x85\x0fmF\x84\xa8\x0e`g\xfbq\xcf!;\'l,\xba\xedY')
x2 = bytes_to_int('\x138\xc5\x93\xd3\xb5B\x8c\xe9x\xbe\xd7\xa5SRqU\xb3\xd18\xae\xac\x08@ \xc0\xc6\x7fT\xb9S\x01^U\xf6\n]18e\x05\xe0.a"\xda\xd7\xdb\n\x05\xec\xb5R\xe4H\xb3G\xad\xc2\xc9\x17\x0f\xa2\xf3')
x3 = bytes_to_int('\xd5\xc8\xd6\xdcX>\xcd\xf3\xc3!f;\xa3*\xe4\xab\x1c\x9a-\xedg\x02i\x19\x93\x18B\t\xe99\x14\xf0\xd5\xad\xf4\x15cG\x88\xd5\x91\x9d\x84\xa8\xd7t)\x95\x9d@\xfb\xa4{)\xcfp\xb9C\x12B\x17\xc9\xa41')

def genKey(x1, x2, x3):
    e = 65537
    n1 = x1 * e - 1
    n2 = x2 * e - 1
    p = 0; q = 0
    # 尝试求 r1
    for r in range(e - 1, 0, -1):
        if n1 % r == 0:
            p = (n1 // r) + 1
            if gmpy2.is_prime(p):
                break
    # 尝试求 r2
    for r in range(e - 1, 0, -1):
        if n2 % r == 0:
            q = (n2 // r) + 1
            if gmpy2.is_prime(q):
                break
    print(p)
    print(q)
    n = p * q
    phi = (p - 1) * (q - 1)
    d = inverse(e, phi)
    assert inverse(q, p) == x3
    return RSA.construct((n, e, int(d), p, q))

def solve():
    rsa_key = genKey(x1, x2, x3)
    key = PKCS1_v1_5.new(rsa_key)
    with open('./data/flag.enc', 'rb') as fp:
        return key.decrypt(fp.read(), '')
    
if __name__ == "__main__":
    print(solve())
bunner_
关注
专栏目录
攻防世界CRYPTO
qq_44813849的博客
10-06 853
1、easy_RSA RSA的计算过程是: 任选两个大质数p和q,p!=q,计算N=pq 计算N的欧拉函数r(n)=(p-1)(q-1) 任选一个e满足 1<e<r(n) ,且e与r(n)互质 找到d,使ed/r(n)=x……1(x是多少不重要,重要的是余数为1) 至此(n,e)为公钥,(n,d)为私钥 加密:C=Me(mod n);解密:M=Cd(mod n) 这一题只需要计算出私...
adworld-crypto-cr2-many-time-secrets
bunner_的博客
10-21 361
题目信息没给全,看了别人的博客才发现还有一段描述 This time Fady learned from his old mistake and decided to use onetime pad as his encryption technique, but he never knew why people call it one time pad! Flag will start with ALEXCTF{. 从上面这段描述来看,Fady 使用 OTP(一次性密码本) 来加密他的文件,但是他不
[攻防世界crypto]equation-2
JURUO222的博客
09-24 1070
参考RSA的pem文件结构 图片中信息 Os9mhOQRdqW2cwVrnNI72DLcAXpXUJ1HGwJBANWiJcDUGxZpnERxVw7s0913WXNtV4GqdxCzG0pG5EHThtoTRbyX0aqRP4U/hQ9tRoSoDmBn+3HPITsnbCy67VkCQBM4xZPTtUKM6Xi+16VTUnFVs9E4rqwIQCDAxn9UuVMBXlX2Cl0xOGUF4C5hItrX2woF7LVS5EizR63CyRcPovMCQQDVyNbcWD7N88MhZjujKuS
xctf攻防世界 CRYPTO高手进阶区 equation-2
l8947943的博客
02-17 1115
0x01. 进入环境,下载附件 题目给的两个文件,一个enc加密文件,一个是一张图片,如图: 0x02. 问题分析 0x02_1. 对应字段 我们可以看到,整个私钥的上半段被加密了,只给了后半段。看到这里,我们首先必须了解私钥文件pem的结构类型,参考链接:http://blog.sina.com.cn/s/blog_4fcd1ea30100yh4s.html。如图: 其次,我们将图片所给的字段内容给拷贝出来,内容如下: Os9mhOQRdqW2cwVrnNI72DLcAXpXUJ1HGwJBANWi
攻防世界 Crypto高手进阶区 4分题 equation-2
闵行小鱼塘
12-16 1043
继续ctf的旅程,攻防世界Crypto高手进阶区的4分题,本篇是equation-2的writeup
adworld-crypto-enc
bunner_的博客
10-21 213
拿到题目用cat命令看一下,发现全是’ZERO’, ‘ONE’ 于是转成01串,再转成16进制串,再转成字符串,变成了这样: Li0gLi0uLiAuIC0uLi0gLS4tLiAtIC4uLS4gLSAuLi4uIC4tLS0tIC4uLi4uIC0tLSAuLS0tLSAuLi4gLS0tIC4uLi4uIC4uLSAuLS0uIC4uLi0tIC4tLiAtLS0gLi4uLi4gLiAtLi0uIC4tLiAuLi4tLSAtIC0tLSAtIC0uLi0gLQ== 用 base64 解码一下
adworld-crypto-onetimepad
bunner_的博客
10-25 393
有限域GF,本原多项式P GF上的加法为异或运算 GF上的减法为异或运算 GF上的乘法为移位异或,且乘法群为循环群 GF上的除法即为乘上逆元 有限域上的运算实现 拿到题目,给了三段密文和一段加密代码 af3fcc28377e7e983355096fd4f635856df82bbab61d2c50892d9ee5d913a07f 630eb4dce274d29a16f86940f2f35253477665949170ed9e8c9e828794b5543c e913db07cbe4f433c7cde.
adworld-crypto-RSA_gcd
bunner_的博客
10-21 691
给定两个不同的n的时候一定要看看n1,n2有没有最大公约数(素数),如果有,那么该最大公约数就是两者共同的p 给定两个相同的n的时候,那就要考虑共模攻击了 拿到题目,有两个文件,里面分别有n,e,c 看了一下两份文件的e相同,n不同 题目的名字是RSA_gcd,自然想到了求n1n_1n1​,n2n_2n2​的最大公约数 求出的最大公约数若为素数的话,那么它就是p,题目自然就解出来了 import gmpy2 def get_p(n1, n2): p = gmpy2.gcd(n1, n2)..
adworld-wargame:我对https://adworld.xctf.org.cntask上的pwn挑战的利用
02-13
在这个"adworld-wargame"挑战中,我们可能需要分析提供的Python代码,寻找可能导致任意代码执行或缓冲区溢出的漏洞。 Python作为一个高级解释型语言,通常被认为比C/C++等低级语言更安全,因为它具有自动内存管理...
adworld攻防世界-pwn-新手区-wp
令则
03-05 1194
adworld-pwn-新手区 tcl 到现在才算是正经昨晚攻防世界的pwn新手区, 整理wp: 题目文件: https://www.jianguoyun.com/p/DSZC7xcQg9bmBxjp5eoC (访问密码:emFwst) 这其中利用到的相关漏洞: 格式化字符串、栈溢出、伪随机数覆盖种子、整数溢出 另外由于自己的exp设置好模板等, 基本都是一个比较大的框架里,每个exp都比较...
fanny equation 2---ms09-025漏洞利用实现
pureman_mega的博客
08-20 359
(代码逻辑是从fanny.dll中扣出来的,可以在内核执行代码,没有实现完整的利用链,下面的代码只实现到在r0输出信息,没有修改NtShutdownSystem及后续流程)。 代码环境:vc 6.0, 32位 系统环境:vista sp2 用法:直接运行编译好的exe 结果图: #include<stdio.h> #include<windows.h> #define WindowName L"h" #define ClassName L"STATIC" #de..
【XCTF 攻防世界】CRYPTO 密码学 新手练习区 幂数加密
weixin_45844670的博客
08-07 642
题目链接:https://adworld.xctf.org.cn/task/answer?type=crypto&number=5&grade=0&id=5120&page=1 下载附件,得到一串数字。没有头绪。查看wp 得知这是 二进制幂数加密法 百度链接: 二进制幂数加密法 从给出的一串字符可以看出,除第一组以外,每一个以0分隔的一组排列的数字都是从小到大 那么可以确定,以0分隔的每一组都是一个字符 不明白的可以举个例子: 那么我们直接用python脚本跑一下,可以得到
CTF竞赛技术 - CRYPTO从入门到放弃
JacobTsang的博客
10-20 3535
CTF竞赛技术 - CRYPTO从入门到放弃 CRYPTO是CTF中常见的一种题型,一般包括各种类型的密码学、编码、编程语言加密等知识点,有时候也会包含一些考验选手脑洞的题目。 不常见的密码学知识 文本加密方法 栅栏密码(Rail-fence Cipher) 栅栏密码(Rail-fence Cipher)就是把要加密的明文分成N个一组,然后把每组的第1个字符组合,每组第2个字符组合…每组的第N...
XCTF之web2(解密)解题代码
克格莫(有需要的私信)
12-24 2388
题目给出加密代码如下: <?php $miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; function encode($str){ $_o=strrev($str); // echo $_o; for($_0=0;$_0<strlen(...
【XCTF 攻防世界】CRYPTO 密码学 新手练习区 easychallenge
weixin_45844670的博客
08-09 734
题目链接:https://adworld.xctf.org.cn/task/answer?type=crypto&number=5&grade=0&id=5119 下载附件,得到一个pyc文件 有关pyc文件的介绍:https://www.jianshu.com/p/7a3a547952c0 那么我们反编译一下看看它的源码是什么 在线反编译:在线pyc反编译 得到以下代码: #! /usr/bin/env python 2.7 (62211) #coding=utf-8 # Comp
攻防世界crypto进阶区equation-2
博客
08-23 346
题目: Here is a RSA private key with its upper part masked. Can your recover the private key and decrypt the file? 这是一个上面部分被屏蔽的RSA私钥。您可以恢复私钥并解密文件吗? RSA!!! OPENSSL中RSA私钥文件(PEM格式) 解题过程: 下载题目附件—解压zip 得到一个flag流量包和一个mask图片 打开mask.png发现是私钥编码的图片 裂开,就只能看见最后5行… 参考一篇b
攻防世界crypto
newly00的博客
02-28 1927
1.告诉你个秘密 题目给了这样一串字符: 乍一看看不出什么,那就边猜边试吧。 既有数字又有字母,且字符个数是2的倍数,可能是十六进制吧。 那就将其转换成十进制,再根据asc码转化成字符。 cjV5RyBscDlJIEJqTSB0RmhC VDZ1aCB5N2lKIFFzWiBiaE0g 还是看不出来flag是什么样子的。 难道方法不对吗? 再试一次吧,再用base64解码,出现了这样的结果 r5...
攻防世界 Crypto高手进阶区 3分题 streamgame1
闵行小鱼塘
12-09 789
继续ctf的旅程,攻防世界Crypto高手进阶区的3分题,本篇是streamgame1的writeup
基于MATLAB图像平滑处理代码面板GUI.zip
最新发布
11-02
c
Adworld2012互联网营销大会PPT资源:新媒体运营、移动营销解析
"Adworld2012互联网营销世界大会PPT下载" 本次Adworld2012互联网营销世界大会汇集了众多业界专家和企业代表,共同探讨了互联网营销的前沿趋势和策略。会议涵盖的主题广泛,包括新媒体运营、体育营销、移动营销创新...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值