crypto-haystack(BSidesSF ctf 2020)

最新推荐文章于 2024-07-25 18:55:58 发布
最新推荐文章于 2024-07-25 18:55:58 发布
阅读量484 收藏
点赞数
分类专栏: crypto 文章标签: python 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/figfig55/article/details/128334148
版权

re和crypto结合的一题,记录一下。

This vendor claims they have figured out a way to preserve the integrity and confidentiality of a message using signing instead of encryption. We only have a binary pycache file and a message off the wire – can you find the content of the message?

大概的意思是本题是关于某种签名算法。
题目本身没有源代码,反编译pyc可执行程序以后可以得到以下代码:

# uncompyle6 version 3.7.4
# Python bytecode 3.7 (3394)
# Decompiled from: Python 3.8.7 (tags/v3.8.7:6503f05, Dec 21 2020, 17:59:51) [MSC v.1928 64 bit (AMD64)]
# Embedded file name: /home/david/Projects/BSidesCTF/2020/challenges/haystack/challenge/chaffing.py
# Compiled at: 2020-01-22 09:37:26
# Size of source mod 2**32: 2094 bytes
import hmac, hashlib, random, struct
CHAFF_SIZE = 32
SIG_SIZE = 16
ALL_BYTES = set((c for c in range(256)))
KEY = 'af5f76f605a700ae8c0895c3e6175909'

def byte(v):
    return bytes([v])


def sign_byte(val, key):
    return hmac.new(key,
      val, digestmod=(hashlib.sha256)).digest()[:SIG_SIZE]


def chaff_byte(val, key):
    msgs = {}
    msgs[val[0]] = sign_byte(val, key)
    while len(msgs) < CHAFF_SIZE:
        vals = list(ALL_BYTES - set(msgs.keys()))
        c = random.choice(vals)
        if c == val:
            raise ValueError('Chose duplicate!')
        fake_sig = bytes(random.choices((list(ALL_BYTES)), k=SIG_SIZE))
        msgs[c] = fake_sig

    pieces = []
    for k, v in msgs.items():
        pieces.append('%s%s' % (byte(k), v))

    random.shuffle(pieces)
    return ''.join(pieces)


def chaff_msg(val, key):
    if not isinstance(val, bytes):
        val = val.encode('utf-8')
    msg_out = []
    for b in val:
        msg_out.append(chaff_byte(byte(b), key))

    outval = ''.join(msg_out)
    return struct.pack('>I', len(val)) + outval


def winnow_msg(val, key):
    if not isinstance(val, bytes):
        val = val.encode('utf-8')
    msglen = struct.unpack('>I', val[:4])[0]
    val = val[4:]
    chunk_len = (SIG_SIZE + 1) * CHAFF_SIZE
    expected_len = chunk_len * msglen
    if len(val) != expected_len:
        raise ValueError('Expected length %d, saw %d.' % (expected_len, len(val)))
    pieces = []
    for c in range(msglen):
        chunk = val[chunk_len * c:chunk_len * (c + 1)]
        res = winnow_byte(chunk, key)
        pieces.append(res)

    return ''.join(pieces)


def winnow_byte(val, key):
    while val:
        c = byte(val[0])
        sig = val[1:SIG_SIZE + 1]
        if sign_byte(c, key) == sig:
            return c
        val = val[SIG_SIZE + 1:]

    raise ValueError('No valid sig found!')


def main():
    inp = 'This is a test message!'
    msg = chaff_msg(inp, KEY)
    ret = winnow_msg(msg, KEY)
    if inp != ret:
        print('Wrong ret: %s' % ret)


if __name__ == '__main__':
    main()
# okay decompiling chaffing.pyc

另外题目还提供了一个pcap抓包文件,里面有两个tcp流,将比较大的流内容二进制stream.raw保存下来待用。wireshark保存raw数据的方法参考这里

题目分析

加密部分
  1. 消息通过chaff_msg进行加密,对明文的每个字节进行chaff_byte操作
  2. 每个字节进行一次 sha256 带密钥key的签名,取签名结果前16字节保存在msgs集合中
  3. 然后取另外31个随机字节,每个随机字节生成一个随机假签名也保存在msgs集合中
  4. 最后32对 字节+签名 组合进行随机打乱顺序,输出成为密文
解密部分
  1. 解析出32对 字节+签名 组合
  2. 针对每一对组合,计算当前字节对应的sha256签名,如果计算结果与保存签名不一致的说明不是真实字节值

解题思路

在破译过程中我们不掌握sha256签名时用的key值,所以不能直接计算每个字节的签名值。但是在每个明文字符加密的过程中,特定字符例如字符 a 的签名结果 sig(a) 是不变的,而其他的 假签名 值是完全随机的。
于是我们可以将抓包获取的 字节+签名 组合情况进行统计,真实字符和签名值出现的比例肯定显著高于假字符签名组合。

所以可以用以下方法将每个32对 字节+签名 组合解析出来:

def extract(val):
    if not isinstance(val, bytes):
        val = val.encode('utf-8')
    msglen = struct.unpack('>I', val[:4])[0]
    val = val[4:]
    chunk_len = (SIG_SIZE + 1) * CHAFF_SIZE
    expected_len = chunk_len * msglen
    if len(val) != expected_len:
        raise ValueError('Expected length %d, saw %d.' % (expected_len, len(val)))
    pieces = []
    for c in range(msglen):
        chunk = val[chunk_len * c:chunk_len * (c + 1)]
        res = extract_byte_sig_pairs(chunk)
        pieces.extend(res)
    return pieces
def extract_byte_sig_pairs(val):
    res = []
    while val:
        c = byte(val[0])
        sig = val[1:SIG_SIZE + 1]
        res.append((c, sig))
        val = val[SIG_SIZE + 1:]
    return res

然后取所有组合中出现比例最高的256组,作为真实的 字节+签名 组合对照表:

msg = open('data.bin', 'rb').read()
ret = extract(msg)
c = Counter(ret)
real = c.most_common(256)
print(real)

接下来解密逻辑就很简单了。
构造一个映射关系 d = {s: b for (b, s), c in real} 从32对 字节+签名 中选择真实的一对:

def decode(val, d):
    if not isinstance(val, bytes):
        val = val.encode('utf-8')
    msglen = struct.unpack('>I', val[:4])[0]
    val = val[4:]
    chunk_len = (SIG_SIZE + 1) * CHAFF_SIZE
    expected_len = chunk_len * msglen
    if len(val) != expected_len:
        raise ValueError('Expected length %d, saw %d.' % (expected_len, len(val)))
    pieces = []
    for c in range(msglen):
        chunk = val[chunk_len * c:chunk_len * (c + 1)]
        res = decode_byte(chunk, d)
        pieces.append(res)
    return b''.join(pieces)
def decode_byte(val, d):
    while val:
        c = byte(val[0])
        sig = val[1:SIG_SIZE + 1]
        if sig in d and d[sig] == c:
            return c
        val = val[SIG_SIZE + 1:]
    raise ValueError("WTF")

最终exp:

#20221216
import hmac, hashlib, random, struct
from collections import Counter
CHAFF_SIZE = 32
SIG_SIZE = 16
ALL_BYTES = set((c for c in range(256)))
def extract(val):
    if not isinstance(val, bytes):
        val = val.encode('utf-8')
    msglen = struct.unpack('>I', val[:4])[0]
    val = val[4:]
    chunk_len = (SIG_SIZE + 1) * CHAFF_SIZE
    expected_len = chunk_len * msglen
    if len(val) != expected_len:
        raise ValueError('Expected length %d, saw %d.' % (expected_len, len(val)))
    pieces = []
    for c in range(msglen):
        chunk = val[chunk_len * c:chunk_len * (c + 1)]
        res = extract_byte_sig_pairs(chunk)
        pieces.extend(res)
    return pieces


def extract_byte_sig_pairs(val):
    res = []
    while val:
        c = (val[0])
        sig = val[1:SIG_SIZE + 1]
        res.append((c, sig))
        val = val[SIG_SIZE + 1:]
    return res

msg = open('stream.raw', 'rb').read()
ret = extract(msg)
c = Counter(ret)
real = c.most_common(256)
print(real)


def decode(val, d):
    if not isinstance(val, bytes):
        val = val.encode('utf-8')
    msglen = struct.unpack('>I', val[:4])[0]
    val = val[4:]
    chunk_len = (SIG_SIZE + 1) * CHAFF_SIZE
    expected_len = chunk_len * msglen
    if len(val) != expected_len:
        raise ValueError('Expected length %d, saw %d.' % (expected_len, len(val)))
    pieces = []
    for c in range(msglen):
        chunk = val[chunk_len * c:chunk_len * (c + 1)]
        res = decode_byte(chunk, d)
        pieces.append(res)
    return ''.join(chr(i) for i in pieces)


def decode_byte(val, d):
    while val:
        c = (val[0])
        sig = val[1:SIG_SIZE + 1]
        if sig in d and d[sig] == c:
            return c
        val = val[SIG_SIZE + 1:]
    raise ValueError("WTF")

d = {s: b for (b, s), c in real}
print('\n')
print('\n')
print('\n')
print(d)
print(decode(msg,d))
山猪儿烦不得
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf-2017-release:BSidesSF CTF 2017版本
05-28
2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于HTTP的挑战从...
crypto-js.4.0.0
01-15
此资源为构建好的crypto-js.4.0.0版本,下载后可直接使用Script标签引入所需加密算法。支持:MD5 SHA-1 SHA-256 AES Rabbit MARC4 HMAC HMAC-MD5 HMAC-SHA等算法
[BUUCTF-pwn] bssidessf_ctf_2020_adding_machine
weixin_52640415的博客
01-05 448
难度不大,要求输入n个数,但栈空间只能放127个数,要求输入数<127但可以输入负数,其它地址在输入debug时可以全部得到。 这里由于没有中途退出机制,需要精确的输入一个负数表示执行次数 v6 = get_long("Number of numbers to add"); if ( v6 <= 127 ) { get_data(v8, (unsigned __int8)v6); // 输入负数里,在这里用int8转成正数 v7 = add_n
CTF逆向总结(二)
沐一 · 林 的博客
10-21 5975
CTF 逆向总结 非预期行为: 指解题中出现与预想结果不符合的一系列非预期行为,这基本说明了在中间或前面存在其他自己还没分析的操作。 不同系统的特殊数: 指解题中遇到考察特定位数系统中特定的数的真实值的时候,需要辨认出对应的值才能继续解题。如:32位系统中100000000就是0了 冗余中锁定关键代码: 从后往前看,就是确定比较关键对象,从该对象开始排除其他无关变量,一步步找出与该对象有关的其它变量,最后串起找到的所有相关变量,然后开始逆向分析。 题目类型总结: 题目描述
[第一届 帕鲁杯 CTF挑战赛 2024] Crypto/PWN/Reverse
weixin_52640415的博客
04-22 1778
最大不可能K=mp+nq=phi-1 LCG样式a=2,b=0,有限域一元二次多项式求解 HGCD p|q,p&q分解n
第二届强网杯Web Writeup
dengzhasong7076的博客
03-27 638
By: l3m0n@Syclover WEB 签到 http://39.107.33.96:10000 右键源码可获得提示 第一层用数组 param1[]=1&param2[]=a 第二层依旧是用数组 param1[]=1&param2[]=a 第三层参考文章 https://crypto.stackexchange.com/questions/1434/are-ther...
信息安全学习1
Liu__159的博客
02-02 1287
在这个例子中,客户端能够接受的请求头中的内容类型首选是"text/html",然后是"application/xhtml+xml"、"application/xml",最后是"image/webp",如果服务器没有提供以上类型,则可以接受任意类型"在这个例子中,客户端首选的语言是"zh-CN"(简体中文),然后是"zh"(中文),接下来是"zh-TW"(繁体中文),"zh-HK"(香港中文),最后是"en-US"(美式英语)和"en"(英语)。字段来判断请求来源的客户端类型和版本,从而做出相应的响应。
小程序 crypto-js下载
02-24
小程序 crypto-js。 CryptoJS是谷歌开发的一个纯javascript写的前端加密类库插件。 目前crypto-js已支持的算法有:MD5、SHA-1、SHA-256、AES、RSA、Rabbit、MARC4、HMAC、HMAC-MD5、HMAC-SHA1、HMAC-SHA256、PBKDF2...
crypto-js4.1.1版本,js在crypto-js文件夹里面
03-10
《深入理解crypto-js4.1.1:JavaScript加密库在前端安全中的应用》 在现代Web开发中,数据安全已经成为至关重要的环节。特别是在JavaScript环境中,由于其代码的开放性,如何保护用户信息不被窃取或篡改成为了一个...
crypto-js-4.0.0.tar.gz
07-20
《深入理解crypto-js 4.0.0:加密与安全的基石》 在现代网络环境中,数据的安全传输和存储已经成为至关重要的议题。crypto-js作为一款强大的JavaScript加密库,为开发者提供了丰富的加密算法和功能,使得在浏览器端...
随机数种子的作用
帆的博客
07-23 807
设置随机数种子(random seed)的目的是为了确保随机数生成器在每次运行时产生相同的随机数序列,从而保证实验结果的一致性。随机数种子通过初始化随机数生成器的内部状态,使得在相同的种子值下,随机数生成器每次调用时生成的序列是相同的。
Java-Lambda
lizhiwei21的博客
07-21 460
lambda表达式可以理解为对匿名内部类的一种简化 , 但是本质是有区别的面向对象思想 :强调的是用对象去完成某些功能函数式编程思想 :强调的是结果 , 而不是怎么去做。
使用9种方法隐藏和显示元素
lulei5153的博客
07-21 188
【代码】使用9种方法隐藏和显示元素。
提取autocad2024图形中图块的属性的代码-统计选中图块长度属性的总长度
VB973490770的专栏
07-24 102
阀门位号:XV-123。
Python数据增强】图像数据集扩充
最新发布
阿齐Archie
07-25 492
该脚本用于图像数据增强,特别是目标检测任务中的图像和标签数据增强。通过应用一系列数据增强技术(如旋转、平移、裁剪、加噪声、改变亮度、cutout、翻转等),生成多样化的图像数据集,以提高目标检测模型的鲁棒性和准确性。
python获取剪切板内容
cuisidong1997的博客
07-21 253
python获取剪切板内容在Python中,可以使用第三方库clipboard获取剪切板的内容。以下是两种不同的实现方法:方法一:使用clipboard库。
Python编程防止计算机休眠,保持唤醒状态
anyes的博客
07-21 199
该库提供了一个名为 moveTo() 的函数,可以移动鼠标指针,防止计算机进入睡眠状态或锁定屏幕。为了使计算机保持唤醒状态,不自动进入睡眠模式,可以使用 mouse 库,该库提供了一个名为 move() 的函数,可以移动鼠标指针,通过不断将鼠标指针移动到屏幕上的不同位置,防止计算机进入睡眠状态或锁定屏幕。使用 mouse 的 move() 函数,每隔 5 秒,将鼠标指针移动到屏幕上的指定位置。如果临时需要保持计算机的唤醒状态,可以使用 python 编写程序,保持计算机的唤醒状态。
已知有个vue文件需要用到crypto-js下的core.js crypto-js/enc-base64.js crypto-js/cipher-core.js crypto-js/mode-ecb.js crypto-js/aes.js 等文件,如何导包?
12-06
你可以使用以下方式导入crypto-js库中的文件: ```javascript // 导入core.js import CryptoJS from 'crypto-js/core'; // 导入enc-base64.js import 'crypto-js/enc-base64'; // 导入cipher-core.js import '...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值