前言
ctfshow
—单身杯 TooYoungRSA
一、题目分析
nc之后题目给出了个随机数(小于n)加密后的值ck,以及ck经过sha256之后的hex编码(key),后面用到这个key对flag进行AES加密,AES加密部分很好处理,但是关键在于不知道前面RSA加密部分的n和e。根据源码后面我们知道了,我们可以一直输入内容,然后函数返回相同的n和e加密后的值,这里我们可以进行选择明文攻击,得到n和e。
二、公式推导
由题知:
k ^ e ≡ c1(mod n)
此时假设我们再输入k^2,得到:
(k^2) ^ e ≡ c2 (mod n)
(k^e) ^ 2 ≡ c2 (mod n)
(((k^e)modn) ^ 2) ≡ c2(mod n)
即 c1 ^ 2 ≡ c2(mod n)
也就是说我们输入a 在输入a^2他们的密文也具有这样的关系,化简恒等式后我们可以得到:
kn = (c1 ^ 2) - c2
通过构造几组这样的数据,求最大公约数即可得到n
然后e通过在Zmod(n)上求解离散对数即可得到
2.读入数据
代码如下(示例):
from hashlib import sha256