Hgame-2019几道有趣的RSA

最新推荐文章于 2023-08-29 17:19:42 发布
最新推荐文章于 2023-08-29 17:19:42 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: Writeup 文章标签: Crypto Writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gar_denia/article/details/88088708
版权

babyRSA

e = 12
p = 58380004430307803367806996460773123603790305789098384488952056206615768274527
q = 81859526975720060649380098193671612801200505029127076539457680155487669622867
ciphertext = 206087215323690202467878926681944491769659156726458690815919286163630886447291570510196171585626143608988384615185921752409380788006476576337410136447460
算出的m转化成字符串

说实话这题本来以为很简单的,想直接求私钥,直接求解,没想到算出来φ(n)和e=12不互素,无法求出e对应的公钥,所以直接解是没有办法的;

解法如下:

kquFSI.md.jpg

解题脚本如下:

#coding:utf-8
import gmpy2
import math
def rabin_decrypt(c, p, q, e=2):
    n = p * q
    mp = pow(c, (p + 1) / 4, p)
    mq = pow(c, (q + 1) / 4, q)
    yp = gmpy2.invert(p, q)
    yq = gmpy2.invert(q, p)
    r = (yp * p * mq + yq * q * mp) % n
    rr = n - r
    s = (yp * p * mq - yq * q * mp) % n
    ss = n - s
    return (r, rr, s, ss)

def main():
	e = 12
	p = 58380004430307803367806996460773123603790305789098384488952056206615768274527
	q = 81859526975720060649380098193671612801200505029127076539457680155487669622867
	ciphertext = 206087215323690202467878926681944491769659156726458690815919286163630886447291570510196171585626143608988384615185921752409380788006476576337410136447460
	n=p*q
	ol=(p-1)*(q-1)
	d=gmpy2.invert(3,ol)
	ciphertext1=pow(ciphertext,d,n)
	ans=rabin_decrypt(ciphertext1,p,q,e=2)
	for i in ans:
		temp=rabin_decrypt(i,p,q,e=2)
		for x in temp:
			flag='{:x}'.format(x).decode('hex')
			if 'hgame' in flag:
				print flag


if __name__ == '__main__':
	main()

easy_rsa

m为17位十进制数,提交格式hgame{m}

e1:0x33240

e2:0x3e4f

n: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

c1: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

c2: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

c1=pow(m, e1, n)
c2=pow(m, e2, n)

先转化为10进制,发现e1=209472,e2=15951,e1,e2不互素,最大公因数为3;本想用共模攻击,但是e1和e2不互素,没办法达到共模攻击的条件,但是仔细推来发现:

gcd(e1,e2)=3,则gcd(e1/3,e2/3)=1

所以令a1=e1/3,a2=e2/3,则gcd(a1,a2)=1

所以存在r*a1+s*a2=1,所以r*e1+s*e2=3 (扩展欧几里得算法)

则(c1^r) * (c2^s) =(m^(r*e1)) * (m^(s*e2)) =m^(r*e1+s*e2) = m^3 //共模攻击

所以到此为止:(m^3) mod n = (c1^r) * (c2^s) mod n 为已知数

所以直接低指数攻击即可

上解题脚本:

#coding:utf-8
import gmpy2
def same_attack(e1,e2,mess1,mess2,n):
	gcd,s,t=gmpy2.gcdext(e1,e2)
	if s<0:
		s=-s
		mess1=gmpy2.invert(mess1,n)
	if t<0:
		t=-t
		mess2=gmpy2.invert(mess2,n)
	mess=gmpy2.powmod(mess1,s,n)*gmpy2.powmod(mess2,t,n)%n
	return mess

def small_attack(c,n,e):
	i=0
	while 1:
	    if(gmpy2.iroot(c+i*n, e)[1] == 1):
	        x = gmpy2.iroot(c+i*n, e)[0]
	        print x
	        break
		i += 1

def main():
	e1="0x33240"
	e2="0x3e4f"
	n="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"
	c1="0x7c7f315a3ebbe305c1ad8bd2f73b1bb8e300912b6b8ba1b331ac2419d3da5a9a605fd62915c11f8921c450525d2efda7d48f1e503041498f4f0676760b43c770ff2968bd942c7ef95e401dd7facbd4e5404a0ed3ad96ae505f87c4e12439a2da636f047d84b1256c0e363f63373732cbaf24bda22d931d001dcca124f5a19f9e28608ebd90161e728b782eb67deeba4cc81b6df4e7ee29a156f51a0e5148618c6e81c31a91036c982debd1897e6f3c1e5e248789c933a4bf30d0721a18ab8708d827858b77c1a020764550a7fe2ebd48b6848d9c4d211fd853b7a02a859fa0c72160675d832c94e0e43355363a2166b3d41b8137100c18841e34ff52786867d"
	c2="0xf3a8b9b739196ba270c8896bd3806e9907fca2592d28385ef24afadc2a408b7942214dad5b9e14808ab988fb15fbd93e725edcc0509ab0dd1656557019ae93c38031d2a7c84895ee3da1150eda04cd2815ee3debaa7c2651b62639f785f6cabf83f93bf3cce7778ab369631ea6145438c3cd4d93d6f2759be3cc187651a33b3cc4c3b477604477143c32dfff62461fdfd9f8aa879257489bbf977417ce0fbe89e3f2464475624aafef57dd9ea60339793c69b53ca71d745d626f45e6a7beb9fcbd9d1a259433d36139345b7bb4f392e78f1b5be0d2c56ad50767ee851fac670946356b3c05d0605bf243b89c7e683cc75030b71633632fb95c84075201352d6"
	e1=int(e1,16)/3
	e2=int(e2,16)/3
	n=int(n,16)
	c1=int(c1,16)
	c2=int(c2,16)
	# print gmpy2.gcd(e1,e2)
	ans=same_attack(e1,e2,c1,c2,n)
	# print ans 
	small_attack(ans,n,3)

if __name__ == '__main__':
	main()

加上“hgame”即可得到flag:

kLDs9s.png

Gard3nia
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HGAME cdcollector-开源
04-24
【标题】"HGAME cdcollector-开源"是一个针对游戏收藏管理者的开源项目,它扩展了原有的cdcollector系统,特别设计用于管理和记录大量的电子游戏数据,尤其是HGAME(可能指的是成人向游戏)的数据库。这个系统利用...
BUUCTF [NCTF2019]babyRSA解题思路
weixin_45441024的博客
11-29 2586
BUUCTF [NCTF2019]babyRSA 这是一道RSA的题目,前几天看祥云杯的RSA做到自闭,做点简单的题转换一下心情。 下载文件之后是一个压缩包,里面有一个py文件,题目如下: from Crypto.Util.number import * from flag import flag def nextPrime(n): n += 2 if n & 1 else 1 while not isPrime(n): n += 2 return n p
[De1CTF2019]babyrsa(比较综合的rsa类型题目)
weixin_44110537的博客
07-18 3590
encrypt import binascii from data import e1,e2,p,q1p,q1q,hint,flag n = [20129615352491765499340112943188317180548761597861300847305827141510465619670536844634558246439230371658836928103063432870245707180355907194284861510906071265352409579441048101084995
[NCTF2019]babyRSA
m0_62506844的博客
01-25 5081
这道题虽然说是babyrsa,并不难,但是还是学了不少东西,理解更深了一步 之前一直不知道rsa中n是1024位还是2048位这个位到底指的是什么,也没有用到过,已知模棱两可,知道今天可算是知道了 from Crypto.Util.number import * from flag import flag def nextPrime(n): n += 2 if n & 1 else 1 while not isPrime(n): n += 2 retu
Python3中gmpy2常用的函数及功能
m0_74030040的博客
03-26 1610
Python3中gmpy2常用的函数及功能
BUU-RSA [RoarCTF2019]babyRSA(威尔逊定理)
晓寒的博客
07-21 2912
[RoarCTF2019]babyRSA(威尔逊定理) 题目 import sympy import random def myGetPrime(): A= getPrime(513) print(A) B=A-random.randint(1e3,1e5) print(B) return sympy.nextPrime((B!)%A) p=myGetPrime() #A1=2185696345246163043734827843419143400006607675
0hgame:用0h制作的游戏->阅读README
05-01
0h游戏卡纸我在2014年10月26日凌晨02:00开始了这个项目,并在2014年10月26日凌晨02:00完成了该项目。 没有时间的游戏? 是的! 好好享受! (对于那些谁是它asceptical, ) 规则: 1- No one talk about fight club...
hgame:Haskell 游戏引擎
05-30
Haskell以其强大的类型系统、 lazy evaluation(惰性求值)特性以及对并行和并发的良好支持,为游戏引擎提供了一种独特而有趣的实现方式。 在Haskell游戏引擎的开发中,主要涉及到以下几个关键知识点: 1. **...
H5 Canvas益智类填色画游戏.zip
07-04
HGame.js和data.js可能是游戏的主要JavaScript文件,其中HGame.js很可能是主游戏逻辑,而data.js可能包含了游戏数据,如模型信息、颜色配置等。 `index.html`是游戏的入口文件,它定义了网页的基本结构,包括引入...
[NCTF2019]babyRSA1
qq_61774705的博客
05-12 595
1.题目代码: # from Crypto.Util.number import * # from flag import flag # # def nextPrime(n): # n += 2 if n & 1 else 1 # while not isPrime(n): # n += 2 # return n # # p = getPrime(1024) # q = nextPrime(p) # n = p * q # e = 0x10001 # d
buu [GUET-CTF2019]BabyRSA
ao52426055的博客
12-01 1317
查看题目 观察题目给的条件,给了p+q,(p+1)(q+1),e,d,以及密文C. RSA的解密公式:M=C^d mod n 所以我们只要求出n即可。(n = pq) n = (p+1)(q+1) - (p+q) - 1 求M的值,已知C,d,n后 用函数pow(),即可求出 import libnum a = 0x1232fecb92adead91613e7d9ae5e36fe6bb765317d6ed38ad890b4073539a6231a6620584cea5730b5af83a3e80cf30
gmpy2笔记转载
qq_45440710的博客
11-23 518
Encoding=UTF-8 import gmpy2 gmpy2.mpz(x) 初始化一个大整数x gmpy2.mpfr(x) 初始化一个高精度浮点数x C = gmpy2.powmod(M,e,n) 幂取模,结果是 C = (M^e) mod n d = gmpy2.invert(e,n) # 求逆元,de = 1 mod n gmpy2.is_prime(n) # 判断n是不是素数 gmpy...
gmpy2库的常用函数及其作用
Luiino的博客
05-06 9999
第一次做RSA题,去找题解,发现得用上gmpy2库,下好之后去了解了一下gmpy2库的常用函数 注:一般是用这个库来解决一些大整数之间的各种计算,下面的例子都是举的常规数 1、求两整数的最大公因数 import gmpy2 #求整数a、b的最大公因数 a = gmpy2.gcd(3,12) print(a) 输出:3 2、判断一个数是否为素数 import gmpy2 #判断一个数是否为素数 a = gmpy2.is_prime(5) print(a) 输出:True 3、判断一个数是否
[GWCTF 2019]BabyRSA
最新发布
wp568的博客
08-29 280
求出c1,c2后,需要解方程组,才能获得flag。已知,e,n,m1,m2 可以求出c1,c2。n可以通过几种方式分解出p、q。
2019 Roar CTF】baby RSA + 威尔逊定理 + python写脚本小结
未配妥剑 已入江湖
10-22 954
Baby RSA 题目内容: import sympy import random def myGetPrime(): A= getPrime(513) print(A) B=A-random.randint(1e3,1e5) print(B) return sympy.nextPrime((B!)%A) p=myGetPrime() #A1=...
长城杯baby_rsa题解
a5555678744的博客
09-24 1085
from Crypto.Util.number import * from secret import flag, v1, v2, m1, m2 def enc_1(val): p, q = pow(v1, (m1+1))-pow((v1+1), m1), pow(v2, (m2+1))-pow((v2+1), m2) assert isPrime(p) and isPrime(q) and ( p*q).bit_length() == 2048 and q < .
BUUCTF 每日打卡 2021-7-14
weixin_52446095的博客
07-14 651
引言 鸽了快两个月,假期继续刷BUU,可以的话继续cryptohack 四面八方 看题干也看不出来什么 给了一个txt文件 key1:security key2:information 密文啊这是,骚年加油:zhnjinhoopcfcuktlj 摸不着头脑 找wp,知道是没见过的四方密码 是一种对称加密,多表替换密码 找了一个靠谱的在线工具 然后把结果换成小写套上flag就行 [De1CTF2019]babyrsa 加密代码如下: import binascii from data import e1,
CTF-RE-わかります(hgame2018)
SuperGate的博客
01-27 2255
Hgame week1里面应该说是最难的一个题。 主函数点进去之后会发现一个函数来判断输入的是不是flag。点进去内容如下: 发现ptr数组存的是输入字符串转化为ascii码之后每个字符的前4位,v7则是后4位,这里的位是二进制位。 然后分别将两个dword_6021xx数组找出来,点进生成v8v9的函数就可以把flag对应的每个字符的高低位算出来了。 其中v9生成函数比较容易求出v9,v...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值