crypto581-easywork(网鼎杯2022)

已于 2022-10-17 10:20:41 修改
阅读量470 收藏 1
点赞数
分类专栏: crypto 文章标签: python 密码学
于 2022-10-16 21:25:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/figfig55/article/details/127351971
版权

LCG题,整理一下做法。
题目源码如下:

from Crypto.Util.number import *
from random import *
import hashlib
from pwn import *
p = getPrime(128)
seed = randint(2, p - 1)
c = 114514
e = int(2e8)
class prng:
    n = p
    a,b = [randint(2, p - 1) for _ in range(2)]
    def __init__(self,seed):
        self.state = seed
    def next(self):
        self.state = (self.state * self.a + self.b) % self.n
        return self.state
def test():
    gen = prng(seed)
    print(seed)
    print(gen.next())
    print(gen.next())
    print(gen.next())
    print(gen.next())
    print(gen.next())
    print(gen.next())
def m_func(i):
    if i == 0: return 1
    return a*c**i+b*m_func(i-1)+n
def encrypt_flag(sol):
    sol = sol % (10**10000)
    sol = str(sol)
    sol_md5 = hashlib.md5(sol.encode()).hexdigest()
    return  xor(sol_md5.encode(),flag)

if __name__ == "__main__":
    test()
    sol = m_func(e)
    print(encrypt_flag(sol))


'''
150532854791355748039117763516755705063
335246949167877025932432065299887980427
186623163520020374273300614035532913241
215621842477244010690624570814660992556
220694532805562822940506614120520015819
17868778653481346517880312348382129728
160572327041397126918110376968541265339
b'UUV\x04H\x01T\x01P\x03\t\x04\t\x1fW\x00T\x02LRSPT\x1d\x02\x02^\x01N[\\R\x02\tSV\x07\x06P\x01QK'
'''

基本的逻辑是已知LCG随机数种子和前6个随机数,要反推参数a,b和p
然后根据sol的算法解出flag。
LCG反推部分主要参考这篇文章:
CTF中LCG算法总结
lcg-5这种情况,推演一下设 t n = X n + 1 − X n = ( a X n + b ) − ( a X n − 1 + b ) m o d    p t_n=X_{n+1}-X_n=(aX_n+b)-(aX_{n-1}+b) \mod p tn=Xn+1Xn=(aXn+b)(aXn1+b)modp

t n = a t n − 1 m o d    p ⟹ t n + 1 t n − 1 − t n t n = ( a a t n − 1 t n − 1 − a t n − 1 a t n − 1 ) = 0 m o d    p t_n=at_{n-1} \mod p \Longrightarrow t_{n+1}t_{n-1}-t_nt_n=(aat_{n-1}t_{n-1}-at_{n-1}at_{n-1})=0 \mod p tn=atn1modptn+1tn1tntn=(aatn1tn1atn1atn1)=0modp
T n = t n + 1 t n − 1 − t n t n T_n=t_{n+1}t_{n-1}-t_nt_n Tn=tn+1tn1tntn p p p的倍数, p = g c d ( T n , T n − 1 ) p=gcd(T_n,T_{n-1}) p=gcd(Tn,Tn1)
再根据 X n + 2 − X n + 1 = a X n + 1 + b − a X n − b m o d    p = a ( X n + 1 − X n ) m o d    p X_{n+2}-X_{n+1}=aX_{n+1}+b-aX_{n}-b \mod p=a(X_{n+1}-X_n) \mod p Xn+2Xn+1=aXn+1+baXnbmodp=a(Xn+1Xn)modp
得到
a = ( X n + 2 − X n + 1 ) ( X n + 1 − X n ) − 1 m o d    p a=(X_{n+2}-X_{n+1})(X_{n+1}-X_n)^{-1} \mod p a=(Xn+2Xn+1)(Xn+1Xn)1modp
最后计算
b = X n + 1 − a X n m o d    p b=X_{n+1}-aX_{n} \mod p b=Xn+1aXnmodp

套脚本:

from math import gcd
from gmpy2 import invert

x = [150532854791355748039117763516755705063,
335246949167877025932432065299887980427,
186623163520020374273300614035532913241,
215621842477244010690624570814660992556,
220694532805562822940506614120520015819,
17868778653481346517880312348382129728,
160572327041397126918110376968541265339]

t = [x[i+1] - x[i] for i in range(len(x)-1)]

def f(i):
    return t[i]*t[i+2]-t[i+1]*t[i+1]

p = gcd(f(0), f(1))
print('p=',p)
a = invert(x[1]-x[0], p)
a = a * (x[2]-x[1]) % p
print('a=',a)
b = (x[1] - x[0] * a) % p
print('b=',b)

求出a,b,p后问题就变为解决my_func()函数递归时间复杂度的问题。
主要用到矩阵快速幂算法,参考
矩阵快速幂详解
写成 f ( i ) = a c i + b f ( i − 1 ) + p f(i)=ac^i+bf(i-1)+p f(i)=aci+bf(i1)+p
进一步构造转移矩阵:
[ f ( i ) c i p ] = [ b a c 1 0 c 0 0 0 1 ] ∗ [ f ( i − 1 ) c i − 1 p ] \left[\begin{array}{ccc} f(i)\\ c^i\\ p\\ \end{array}\right] =\left[\begin{array}{ccc} b & ac & 1 \\ 0 & c & 0 \\ 0 & 0 & 1 \\ \end{array}\right] *\left[\begin{array}{ccc} f(i-1) \\ c^{i-1} \\ p \\ \end{array}\right] f(i)cip = b00acc0101 f(i1)ci1p
右侧展开:
[ f ( i ) c i p ] = [ b a c 1 0 c 0 0 0 1 ] i ∗ [ f ( 0 ) c 0 p ] \left[\begin{array}{ccc} f(i)\\ c^i\\ p\\ \end{array}\right] =\left[\begin{array}{ccc} b & ac & 1 \\ 0 & c & 0 \\ 0 & 0 & 1 \\ \end{array}\right]^{i} *\left[\begin{array}{ccc} f(0) \\ c^{0} \\ p \\ \end{array}\right] f(i)cip = b00acc0101 i f(0)c0p

上exp:

from hashlib import md5
from Crypto.Util.strxor import *

p= 339088189917874808463944743121467561531
a= 259086495324961642923203668736965982268
b= 121870392737324465817476070178603827899
c = 114514
e = int(2e8)

mod=10 ** 10000

M=matrix(Zmod(mod),[[b,a*c,1],[0,c,0],[0,0,1]])
C=matrix(Zmod(mod),[[1,1,p]])
C=C.T #matrix transpose
s=(M^e)*C
sol = str(s[0])[1:10001] #注意去掉前后括号

enc=b'UUV\x04H\x01T\x01P\x03\t\x04\t\x1fW\x00T\x02LRSPT\x1d\x02\x02^\x01N[\\R\x02\tSV\x07\x06P\x01QK'
sol_md5 = md5(sol.encode()).hexdigest()

print(strxor((2*sol_md5.encode())[:42],enc))
山猪儿烦不得
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF-Crypto 出题思路与解题思路
Jang2023的博客
06-30 3476
ctf 夺旗赛解题思路 crypto密码学
ctflcg算法
热门推荐
superprintf的博客
10-08 1万+
线性同余方法(LCG)是一种产生伪随机数的方法。 线性同余法最重要的是定义了三个整数,乘数 a、增量 b和模数 m,其中a,b,m是产生器设定的常数。 为了方便理解,我打个比方 假设现在有随机数X1=1234,乘数a=2,增量b=3,模数m=1000 那么下一个随机数X2=(2*1234+3)%1000=2471%1000=471 解题用到的公式: Xn=(a-1 (Xn+1 - b))%n a=((Xn+2-Xn+1)(Xn+1-Xn)-1)%n b=(Xn+1 - aXn)%n 好了,然后根据lcg
2023 金砖ctf 密码wp
2202_75413341的博客
11-24 711
重点在于这个,hint = powmod(2023 * q + 231103, p, n)分析题目显然的第一段flag使用了lcg加密,套个模板脚本即可解密。由于p和q都是512为所以遍历一下即可的q,r自然就可以求出。题目的核心在于将这些式子联立,最终与n进行gcd 求出p。所以可得gcd((a-(c-e)^e),n)=p。所以得gcd(h-(231103)^n,n)=q。由于p已经求出 可得q=k*p+(c-e)%p。最后即可正常的求出rsa解密即可。因为模n和模p一定是同余的。(从别的师傅那问的)
NewStarCTF公开赛week4密码学前两道题的wp
Altering_Ji的博客
12-23 702
因为week4也只能看明白前两道题,所以整理两道题的wp,涉及LCG和在Python中调用扩展欧几里得函数gcdext帮助解题。
流密码:线性同余生成器 LCG
m0_62506844的博客
07-27 1525
在介绍流密码之前,我们先引入OTP(One-timePassword,一次性密码)这样一个概念。所谓一次性密码,是一次加密使用一次密钥,这次加密过程中使用的密钥不能在下一次加密中继续使用,密钥是一次性的,使用一次当即作废。例如我们想加密abcdefg这串字符。想要加密所有明文,就要用与明文等长的密钥来加密。比如利用密钥1234567加密,1代表在字母表的顺序向后移动一位,2代表移动2位,等等,和凯撒的原理相同,只不过这里使用了多个密钥。...
[第一届 帕鲁杯 CTF挑战赛 2024] Crypto/PWN/Reverse
weixin_52640415的博客
04-22 1768
最大不可能K=mp+nq=phi-1 LCG样式a=2,b=0,有限域一元二次多项式求解 HGCD p|q,p&q分解n
LCG入门
刘十三t的博客
09-14 2486
这里,讲一下我的做法。前面已经说过,本题进行了两轮加密,所给输出是间隔的。这里还定义了三个整数:a乘数、b增量、m模数,是产生器设定的常数。LCG属于PRNG(伪随机数生成器)和stream cipher(流密码)的一种,是一种产生伪随机数的方法。1、m是随机序列的模数,必须一个大于0的正整数。一般是一个比较大的素数或者是2的幂,以便提供较长的周期长度。LCG的性质与参数的选择密切相关,不同的参数可能导致不同的随机序列。3、b是增量,也必须是一个与m互素的正整数。2、a是乘数,必须是一个与m互素的正整数。
2022网鼎杯crypto583-linear-homework题目附件
10-19
【标题】"2022网鼎杯crypto583-linear-homework题目附件"涉及到的是一个加密解密挑战,可能是一场网络安全竞赛——网鼎杯中的加密技术问题。"crypto583-linear_homework"可能指的是比赛的一个特定环节,其中583可能...
2022年第三届“网鼎杯”网络安全大赛(朱雀组)部分题目附件
09-11
2022年第三届“网鼎杯”网络安全大赛(朱雀组)部分题目附件
crypto-js.4.0.0
01-15
此资源为构建好的crypto-js.4.0.0版本,下载后可直接使用Script标签引入所需加密算法。支持:MD5 SHA-1 SHA-256 AES Rabbit MARC4 HMAC HMAC-MD5 HMAC-SHA等算法
Safe3WVS_10.1_Crack_By_Lkou[LCG]
01-08
Safe3 Web Vul Scanner 是保护伞网络推出的网站安全性检测工具。不要用于非法用途,否则后果自负。
LCG:线性同余生成器(LCG)工具
05-16
液化天然气 线性同余生成器(LCG)工具 线性同余生成器(LCG)的编译,该算法是一种算法,可产生使用不连续分段线性方程式计算的伪随机数序列。 该方法代表了最古老和最著名的伪随机数生成器算法之一。 它们背后的理论相对容易理解,并且易于实现和快速实现,特别是在可以通过存储位截断提供模运算的计算机硬件上。
crypto-js-4.0.0.tar.gz
07-20
《深入理解crypto-js 4.0.0:加密与安全的基石》 在现代网络环境中,数据的安全传输和存储已经成为至关重要的议题。crypto-js作为一款强大的JavaScript加密库,为开发者提供了丰富的加密算法和功能,使得在浏览器端...
commons-crypto-1.0.0-API文档-中文版.zip
05-02
赠送jar包:commons-crypto-1.0.0.jar; 赠送原API文档:commons-crypto-1.0.0-javadoc.jar; 赠送源代码:commons-crypto-1.0.0-sources.jar; 赠送Maven依赖信息文件:commons-crypto-1.0.0.pom; 包含翻译后的API...
crypto-babyLCG(NPUCTF2020)
耐酸碱高温固化材料近距离传输研究
11-30 1271
显然如果要解密出flag明文那必须要反推出最初的seed参数,将后面产生的随机数全部复原。的原因是为了保持向量各个数值bit位保持一致(关于格密码基础概念推荐这篇。因为前20个随机数的高位是已知的,接下来思路是针对这个式子做变形。其中A,B均可通过a,b,h推出。现在将以上关系式写成矩阵形式。由于h均为已知,那么现在找到低位l递推的关系式,又因为。近期研究格密码过程中遇到的一个很好的题目,记录一下。则可以推出所有低位l与l1的关系式,简写为。构造lattice,最后一项取2。将s拆分为高位h和低位l变为。
lcg随机数破解
weixin_44159598的博客
11-08 4587
题目链接 根据线性同余生成器lcg可得:lcg=(a*x+c)%m 根据题目,当输入数字时,可以得到多个连续随机数,根据伪随机数生成的机制,可以了解到,随机数的生成只要知道随机数种子就可以破解 类推到线性同余方程组,也就是说当知道a,c,m时即可知道随机数的整个序列 例如:假设我们知道lcg0,那么lcg1=(alcg0+c)%m,同理lcg2=(alcg1+c)%m 此时我们随意提交多次,可以从中得到连续的随机数,类比于lcg0,lcg1,lcg2的关系 lcg0=32081 lcg1=2381
A立方CTF部分wp
weixin_45883223的博客
01-10 914
A立方CTF部分wpeasycpt1cpt2cpt3cpt4cpt5 easy 修复zip头部,stegdetect,发现是jphide,key是另一个文件里的md5在线网站解密 cpt1 把key用base64解密,再维吉尼亚,再base32 cpt2 from Crypto.Util.number import * import gmpy2 msg1 = '**********************************' msg2 = '*****************************
VolgaCTF2015之lcg的writeup
HappyOrange2014的专栏
05-04 1595
题目描述: VolgaCTF2015中简单解密题lcg的解题思路。
CTF-Crypto 2021-10-4 记录
m0_56897090的博客
10-04 845
文章目录基础知识CBC翻转攻击BASE64基本加密原理SpecialLCG分析EXPbabyLCG分析[ACTF新生赛2020]crypto-aes题目描述分析EXPStandardCBC题目描述分析EXP额外知识 基础知识 CBC翻转攻击 简介: 当我们的一个值C是由A和B异或得到 C = A XOR B 那么 A XOR B XOR C很明显是=0的 当我们知道B和C之后,想要得到A的值也很容易 A = B XOR C 因此,A XOR B XOR C等于0。有了这个公式,我们可以在XOR运算的末尾处
crypto-js-sm4
最新发布
06-29
npm install crypto-js crypto-js-sm4 ``` 然后,在 JavaScript 中导入并使用 SM4 加密: ```javascript // 引入 CryptoJS 和 SM4 const CryptoJS = require('crypto-js'); const SM4 = require('crypto-js-sm4'); ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值