crypto-babyLCG(NPUCTF2020)

最新推荐文章于 2024-04-27 08:00:00 发布
最新推荐文章于 2024-04-27 08:00:00 发布
阅读量1.2k 收藏 6
点赞数 7
分类专栏: crypto 文章标签: 密码学 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/figfig55/article/details/128069624
版权

近期研究格密码过程中遇到的一个很好的题目,记录一下。
题目源码:

from Crypto.Util.number import *
from Crypto.Cipher import AES
from secret import flag

class LCG:
    def __init__(self, bit_length):
        m = getPrime(bit_length)
        a = getRandomRange(2, m)
        b = getRandomRange(2, m)
        seed = getRandomRange(2, m)
        self._key = {'a':a, 'b':b, 'm':m}
        self._state = seed
        
    def next(self):
        self._state = (self._key['a'] * self._state + self._key['b']) % self._key['m']
        return self._state
    
    def export_key(self):
        return self._key


def gen_lcg():
    rand_iter = LCG(128)
    key = rand_iter.export_key()
    f = open("key", "w")
    f.write(str(key))
    return rand_iter


def leak_data(rand_iter):
    f = open("old", "w")
    for i in range(20):
        f.write(str(rand_iter.next() >> 64) + "\n")
    return rand_iter


def encrypt(rand_iter):
    f = open("ct", "wb")
    key = rand_iter.next() >> 64
    key = (key << 64) + (rand_iter.next() >> 64)
    key = long_to_bytes(key).ljust(16, b'\x00')
    iv = long_to_bytes(rand_iter.next()).ljust(16, b'\x00')
    cipher = AES.new(key, AES.MODE_CBC, iv)
    pt = flag + (16 - len(flag) % 16) * chr(16 - len(flag) % 16)
    ct = cipher.encrypt(pt.encode())
    f.write(ct)


def main():
    rand_iter = gen_lcg()
    rand_iter = leak_data(rand_iter)
    encrypt(rand_iter)


if __name__ == "__main__":
    main()

输出内容:

#key
{'b': 153582801876235638173762045261195852087, 'a': 107763262682494809191803026213015101802, 'm': 226649634126248141841388712969771891297}

#old
7800489346663478448
11267068470666042741
5820429484185778982
6151953690371151688
548598048162918265
1586400863715808041
7464677042285115264
4702115170280353188
5123967912274624410
8517471683845309964
2106353633794059980
11042210261466318284
4280340333946566776
6859855443227901284
3149000387344084971
7055653494757088867
5378774397517873605
8265548624197463024
2898083382910841577
4927088585601943730


#ct十六进制显示
00000000h: E0 E0 70 2C B7 D6 FC 19 AC E7 29 BE FC A4 0A F5 ; ààp,·Öü.¬ç)¾ü¤.õ
00000010h: 01 23 F7 A6 ED E1 F3 AE 4B 3A 2A CD 7B 1D D8 37 ; .#÷¦íáó®K:*Í{.Ø7
00000020h: 14 73 10 58 86 AF D1 57 73 44 1F A0 6C 65 6A D6 ; .s.X.¯ÑWsD..lejÖ

大概分析一下逻辑

  • 首先调用genlcg方法生成了一个LCG加密类,参数m为128bit随机素数,a, b, seed均为随机整数,2<a,b,seed<m,key文件中给出了a, b, m参数值,可以认为是公钥
  • 然后调用leakdata方法,生成20个位数小于128bit随机数,生成算法为 s k + 1 = a s k + b m o d    m s_{k+1}=as_{k}+b \mod m sk+1=ask+bmodmold文件中给出每个随机数低位64bit被隐去
  • 再生成三个关键的LCG随机数,用AES加密flag的变形,key由前两个随机数组成,分别取第一个随机数高位和第二个随机数的低位拼起来,iv由第三个随机数组成

显然如果要解密出flag明文那必须要反推出最初的seed参数,将后面产生的随机数全部复原。

因为前20个随机数的高位是已知的,接下来思路是针对这个式子做变形
s k + 1 = a s k + b m o d    m s_{k+1}=as_{k}+b \mod m sk+1=ask+bmodm
将s拆分为高位h和低位l变为
h k + 1 + l k + 1 = a ( h k + l k ) + b m o d    m h_{k+1}+l_{k+1}=a(h_{k}+l_{k})+b \mod m hk+1+lk+1=a(hk+lk)+bmodm
⇒ l k + 1 = a l k + ( a h k + b − h k + 1 ) m o d    m \Rightarrow l_{k+1}=al_{k}+(ah_{k}+b-h_{k+1}) \mod m lk+1=alk+(ahk+bhk+1)modm
由于h均为已知,那么现在找到低位l递推的关系式,又因为
l 2 = a l 1 + ( a h 1 + b − h 2 ) m o d    m l_{2}=al_{1}+(ah_{1}+b-h_{2}) \mod m l2=al1+(ah1+bh2)modm
l 3 = a l 2 + ( a h 2 + b − h 3 ) m o d    m l_{3}=al_{2}+(ah_{2}+b-h_{3}) \mod m l3=al2+(ah2+bh3)modm
⇒ l 3 = a 2 l 1 + a ( a h 1 + b − h 2 ) + ( a h 2 + b − h 3 ) m o d    m \Rightarrow l_{3}=a^2l_{1}+a(ah_{1}+b-h_{2})+(ah_{2}+b-h_{3}) \mod m l3=a2l1+a(ah1+bh2)+(ah2+bh3)modm
则可以推出所有低位l与l1的关系式,简写为
l k + 1 = A k l 1 + B k m o d    m l_{k+1}=A_{k}l_{1}+B_{k} \mod m lk+1=Akl1+Bkmodm
⇒ l k + 1 = A k l 1 + B k + z k m \Rightarrow l_{k+1}=A_{k}l_{1}+B_{k} + z_km lk+1=Akl1+Bk+zkm

其中A,B均可通过a,b,h推出。现在将以上关系式写成矩阵形式。
构造lattice,最后一项取264的原因是为了保持向量各个数值bit位保持一致(关于格密码基础概念推荐这篇Lattice学习笔记
M = [ m m ⋱ m A 1 A 2 ⋯ A 19 1 B 1 A 3 ⋯ B 19 0 2 64 ] M= \begin{bmatrix} m \\ & m \\ & & \ddots \\ & & & m \\ A_1 & A_2 & \cdots & A_{19} & 1 \\ B_1 & A_3 & \cdots & B_{19} & 0 & 2^{64} \\ \end{bmatrix} M=mA1B1mA2A3mA19B1910264

[ z 1 z 2 ⋯ z 19 l 1 1 ] M = [ l 2 l 3 ⋯ l 20 l 1 2 64 ] \begin{bmatrix} z_1 & z_2 & \cdots & z_{19} & l_1 & 1\end{bmatrix} M =\begin{bmatrix} l_2 & l_3 & \cdots & l_{20} & l_1 & 2^{64}\end{bmatrix} [z1z2z19l11]M=[l2l3l20l1264]
于是对M使用LLL算法求出随机数低位,sage exp:

#sage 9.4
a=107763262682494809191803026213015101802
b=153582801876235638173762045261195852087
m=226649634126248141841388712969771891297
h = [0,7800489346663478448,11267068470666042741,5820429484185778982,6151953690371151688,548598048162918265,1586400863715808041,7464677042285115264,4702115170280353188,5123967912274624410,8517471683845309964,2106353633794059980,11042210261466318284,4280340333946566776,6859855443227901284,3149000387344084971,7055653494757088867,5378774397517873605,8265548624197463024,2898083382910841577,4927088585601943730]
for i in range(len(h)):
    h[i] <<= 64
A = [1]
B = [0]
for i in range(1, len(h)-1):
    A.append(a*A[i-1] % m)
    B.append((a*B[i-1]+a*h[i]+b-h[i+1]) % m)
A = A[1:]
B = B[1:]

M = matrix(ZZ, 21, 21)
for i in range(19):
    M[i, i] = m
    M[19, i] = A[i]
    M[20, i] = B[i]
    M[i, 19] = M[i, 20] = 0
M[19, 19] =  1
M[20, 20] = 2^64
M[19, 20]= 0

ll = M.LLL()[0]
l1 = ll[-2]
h1 = h[1]
s1 = l1+h1
#for s1=a*seed+b%m
seed = ((s1-b)*inverse_mod(a,m))%m
print(seed)

#73991202721494681711496408225724067994

得到seed之后就比较简单了,修改一下加密逻辑及得到解密后的结果:

from Crypto.Util.number import *
from Crypto.Cipher import AES

class LCG:
    def __init__(self, bit_length):
        b = 153582801876235638173762045261195852087
        a = 107763262682494809191803026213015101802
        m = 226649634126248141841388712969771891297
        seed = 73991202721494681711496408225724067994
        self._key = {'a':a, 'b':b, 'm':m}
        self._state = seed

    def next(self):
        self._state = (self._key['a'] * self._state + self._key['b']) % self._key['m']
        return self._state

    def export_key(self):
        return self._key


def gen_lcg():
    rand_iter = LCG(128)
    key = rand_iter.export_key()
    f = open("key", "w")
    f.write(str(key))
    return rand_iter


def leak_data(rand_iter):
    f = open("old", "w")
    for i in range(20):
        f.write(str(rand_iter.next() >> 64) + "n")
    return rand_iter

def decrypt(rand_iter):
    #from ct
    flag=b'\xe0\xe0p,\xb7\xd6\xfc\x19\xac\xe7)\xbe\xfc\xa4\n\xf5\x01#\xf7\xa6\xed\xe1\xf3\xaeK:*\xcd{\x1d\xd87\x14s\x10X\x86\xaf\xd1WsD\x1f\xa0lej\xd6'
    key = rand_iter.next() >> 64
    key = (key << 64) + (rand_iter.next() >> 64)
    key = long_to_bytes(key).ljust(16, b'\x00')
    iv = long_to_bytes(rand_iter.next()).ljust(16, b'\x00')
    cipher = AES.new(key, AES.MODE_CBC, iv)
    ct = cipher.decrypt(flag)
    print(ct)


def main():
    rand_iter = gen_lcg()
    rand_iter = leak_data(rand_iter)
    decrypt(rand_iter)


if __name__ == "__main__":
    main()
山猪儿烦不得
关注
  • 7
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
crypto-js4.1.1版本,js在crypto-js文件夹里面
03-10
《深入理解crypto-js4.1.1:JavaScript加密库在前端安全中的应用》 在现代Web开发中,数据安全已经成为至关重要的环节。特别是在JavaScript环境中,由于其代码的开放性,如何保护用户信息不被窃取或篡改成为了一个...
小程序 crypto-js下载
02-24
小程序 crypto-js。 CryptoJS是谷歌开发的一个纯javascript写的前端加密类库插件。 目前crypto-js已支持的算法有:MD5、SHA-1、SHA-256、AES、RSA、Rabbit、MARC4、HMAC、HMAC-MD5、HMAC-SHA1、HMAC-SHA256、PBKDF2...
ctf之lcg算法
热门推荐
superprintf的博客
10-08 1万+
线性同余方法(LCG)是一种产生伪随机数的方法。 线性同余法最重要的是定义了三个整数,乘数 a、增量 b和模数 m,其中a,b,m是产生器设定的常数。 为了方便理解,我打个比方 假设现在有随机数X1=1234,乘数a=2,增量b=3,模数m=1000 那么下一个随机数X2=(2*1234+3)%1000=2471%1000=471 解题用到的公式: Xn=(a-1 (Xn+1 - b))%n a=((Xn+2-Xn+1)(Xn+1-Xn)-1)%n b=(Xn+1 - aXn)%n 好了,然后根据lcg
流密码:线性同余生成器 LCG
m0_62506844的博客
07-27 1525
在介绍流密码之前,我们先引入OTP(One-timePassword,一次性密码)这样一个概念。所谓一次性密码,是一次加密使用一次密钥,这次加密过程中使用的密钥不能在下一次加密中继续使用,密钥是一次性的,使用一次当即作废。例如我们想加密abcdefg这串字符。想要加密所有明文,就要用与明文等长的密钥来加密。比如利用密钥1234567加密,1代表在字母表的顺序向后移动一位,2代表移动2位,等等,和凯撒的原理相同,只不过这里使用了多个密钥。...
每天一题crypto(5)--RSA基础
最新发布
2301_80284843的博客
04-27 215
rsa
密码学知识点-Lcg入门
m0_51198141的博客
11-29 190
其中$ a^{-1} $表示的是a相对于模数m的乘法逆元,即为题中的a相对于n的乘法逆元,这里使用gmpy2模块中的invert函数进行计算。通过分析代码可知这个程序是将flag进行转换后通过循环取模的方式对flag加密。循环中的公式是标准的lcg(线性同余方法)的形式。逆推公式的推导过程为。故该公式的逆推公式为。
[NPUCTF2020]Baby Obfuscation
m0_46296905的博客
05-02 603
题目:[NPUCTF2020]Baby Obfuscation 64位无壳程序 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax int v4; // ebx int v5; // esi int v6; // ebx int v7; // ebx int v8; // esi int v9; // ebx int v10; // ebx int v11;
BUUCTF之BabySQli[GXYCTF2019]
金 帛的博客
05-06 561
BUUCTF的WP
[NPUCTF2020]Baby Obfuscation 题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-17 5137
buuctf-[NPUCTF2020]Baby Obfuscation 题解
crypto-js.4.0.0
01-15
此资源为构建好的crypto-js.4.0.0版本,下载后可直接使用Script标签引入所需加密算法。支持:MD5 SHA-1 SHA-256 AES Rabbit MARC4 HMAC HMAC-MD5 HMAC-SHA等算法
crypto-js-4.0.0.tar.gz
07-20
《深入理解crypto-js 4.0.0:加密与安全的基石》 在现代网络环境中,数据的安全传输和存储已经成为至关重要的议题。crypto-js作为一款强大的JavaScript加密库,为开发者提供了丰富的加密算法和功能,使得在浏览器端...
sm-crypto-master.zip
12-17
国密算法SM2公私钥加解密及签名验签以及前端js sm-crypto,附件说明及参考及测试方法;
LCG入门
刘十三t的博客
09-14 2486
这里,讲一下我的做法。前面已经说过,本题进行了两轮加密,所给输出是间隔的。这里还定义了三个整数:a乘数、b增量、m模数,是产生器设定的常数。LCG属于PRNG(伪随机数生成器)和stream cipher(流密码)的一种,是一种产生伪随机数的方法。1、m是随机序列的模数,必须一个大于0的正整数。一般是一个比较大的素数或者是2的幂,以便提供较长的周期长度。LCG的性质与参数的选择密切相关,不同的参数可能导致不同的随机序列。3、b是增量,也必须是一个与m互素的正整数。2、a是乘数,必须是一个与m互素的正整数。
关于BUUCTF 之bjdctf_2020_babyrop的wp的最实在解释
Probeginner的博客
11-26 768
from os import system from pwn import* context.log_level='debug' p=remote('node4.buuoj.cn',25535) libc_ = ELF('./libc-2.23.so') elf = ELF('./2020') puts_plt = elf.plt['puts'] puts_got = elf.got['puts'] #p.recvuntil("Pull up your sword and tell me u story!"
LitCTF Crypto(除了ACM题目外)
Jasonxjyee的博客
05-15 253
LitCTF Crypto全解(除ACM)
格两例12345
weixin_52640415的博客
03-04 457
lcg值部分泄露 ,x+ay+c=0
crypto581-easywork(网鼎杯2022)
耐酸碱高温固化材料近距离传输研究
10-16 470
求出a,b,p后问题就变为解决my_func()函数递归时间复杂度的问题。基本的逻辑是已知LCG随机数种子和前6个随机数,要反推参数a,b和p。然后根据sol的算法解出flag。lcg-5这种情况,推演一下设。LCG题,整理一下做法。
Crypto--格密码(一)
刘十三t的博客
07-15 2420
记录格密码的一些题
Crypto-RSA-wp
qq_43647197的博客
10-15 181
1.首先通过hint n构造f(x) = hint^512-1 = kn,将n的分解转移到多项式f(x)的分解上。故,从0开始到999999遍历一遍m,把符合情况的m记录下来,不足六位高位补充0再拼接在一起即可得解。题目考点:1. 多项式上n的分解 2. benaloh cryptosystem。于是我们对clist里参数使用gcd,即可求出pow(u,r,n)又知道y、n,且m最多为六位整数(后来看wp上的预期解、分享一下。可知u、r、n都是常数,所以。
已知有个vue文件需要用到crypto-js下的core.js crypto-js/enc-base64.js crypto-js/cipher-core.js crypto-js/mode-ecb.js crypto-js/aes.js 等文件,如何导包?
12-06
你可以使用以下方式导入crypto-js库中的文件: ```javascript // 导入core.js import CryptoJS from 'crypto-js/core'; // 导入enc-base64.js import 'crypto-js/enc-base64'; // 导入cipher-core.js import 'crypto-js/cipher-core'; // 导入mode-ecb.js import 'crypto-js/mode-ecb'; // 导入aes.js import 'crypto-js/aes'; ``` 以上代码中,我们首先导入了crypto-js库的core.js文件,然后分别导入了enc-base64.js、cipher-core.js、mode-ecb.js和aes.js等文件。在导入enc-base64.js、cipher-core.js、mode-ecb.js和aes.js等文件时,我们并没有将它们赋值给任何变量,而是直接导入它们,这是因为这些文件并没有导出任何变量或函数,它们只是向全局对象CryptoJS添加了一些方法和属性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值