费马小定理的两道ctf题目 [祥云杯2022 little little fermat]

最新推荐文章于 2024-05-17 19:23:42 发布
最新推荐文章于 2024-05-17 19:23:42 发布
阅读量389 收藏 1
点赞数 1
分类专栏: ctf-crypto 文章标签: 密码学 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jayq1/article/details/131931855
版权

文章目录

野题

题目来源:B站风二西老师!
链接: B站参考视频

考点:费马小定理 RSA

解题:

题目源代码:

from Crypto.Util.number import *
from random import *
from flag import FLAG

BITS = 1024
flag = bytes_to_long(FLAG)

p = getPrime(BITS)
q = getPrime(BITS)
n = p*q
#得到一个1到n之间的随机整数
g = randint(1,n)
a1 = randint(1,n)
a2 = randint(1,n)

k1 = pow(g,a1*(p-1),n)
k2 = pow(g,a2*(q-1),n)

print("n = %s"%n)
print("k1 = %s"%k1)
print("k2 = %s"%k2)

b1 = randint(1,n)
b2 = randint(1,n)

c1 = (pow(k1,b1,n)*flag)%n
c2 = (pow(k1,b2,n)*flag)%n
#断言语句提示 flag是小于n的
assert flag < n

print("c1 = %d"%c1)
print("c2 = %d"%c2)

'''
n = 9858036118742475059433629759400140149605427966433887001108914046633590983713890376353399251885596714047941627222518567515364827340623251995233155278723954926352575221234142199002389819918370754455018819109203109519495493316781422680537687252828642561153832774006286448224016306003631037545643746379044035822029246823483754854602215035869280453855199171915302879406862793807947285344105991067005185493038370882005106069286893165426035453262949739088328689761676541415552066845538243916687080015277379248062286846119847500455125785281216888979581104100416760176854106890525904804003871967844912776926419778292365918733
k1 = 4961356980843219227031667558158760111429474781353239042846946454889308337426649950562701556812878479419482114480334396560017050901408543482904510839046375272618911899662922000275482705215097956326853000314956770940510205507508883917322367747195211326932972446951696070952604655668087834669239815290687449340666091764203568518066586476150861542456340936303824392273004883320273039066213750777751436497551151274574369325153858390731248298056433816285354182588883715211738843801326831297181947562239993323202961410530072969013398669658073337273085171642258091164822631807295793886169033827781164115751086585872189121242
k2 = 8943660577405892997099415246000964332413663135286363632645590478753346989578467429954062835807609942851365774880023144520942029315601785638267996044694835031239940919206726351387647791985293576677117144309222345482756402074345845506698221273703274410853004407629888264128027446878663894377503365831077629911487977796118893231354280680598325548327444053575447407791091256260091884824630356121390983373431984667887019137026219503921285289004358685317477667095203722657823621429988685962573778350234701781053232256494914398637744373081735647622790113318562356606831868682912936768762749860591989864642992367932846710665
c1 = 4115578106197062017294044310891024039554438131787269391154862526142866937938155870549829472424386226484625850457327387070755337288822640509004443484397234720914851433620556887385729540499953724033259937785600491548446806766462413179765702810698096381537513314758346885921106310631278002150697458246447235914052771405341899822588463120295331632180131956205362147784798497203957828308109092025630961803808101730731656980785388965672073473370194469269645377465298620585379296063436880502566076330461976785816470877632107769103280243111778113065038163250625042092690628478547757779278811188187028242267396799577953511519
c2 = 1069417390392712224013484466911946251479515132512683148923109806683426116132220974153759944203026795479272077929265429391851629949467649257513543604050970026412281764244254971122378729482985044535740328359563865949603944075625096242664299209143911115287867129678168308056632406522013494918385694044348658310785409548526884085469813804712945302487796400392901241763662852123731910949146709219711388725430757562836225353975933990961286601256351973981732004724397292031523206145692402321288085912884435326461626793886145952474077975796841103796283781865005879515976167187625178845457630564285181509041968859289264784559
'''

我们首先关注到flag所在语句 找到和已知变量和前式的关系

k1 = pow(g,a1*(p-1),n)

k1 = ga1*(p-1) %n = (ga1)(p-1) %n

当我们看到一个数的(p-1)次方 自然联想到费马小定理

p是素数,有

a(p-1) % p = 1

ap % p = a % p

所以对k1继续操作

k1 = (ga1)(p-1) + k*n

两边同时模p

k1%p = ((ga1)(p-1) + kn)%p = (ga1)(p-1) %p+ kn%p

因为n=p*q

k1%p = (ga1)(p-1) %p

此时ga1就相当于费马小定理中的a 故k1%p = 1

即有 k1 = 1 + k*p

故k1 - 1 = k * p

并且n = q * p

此时我们发现k1-1和n有公约数p 并且k1 - 1和 n均已知

p = gcd(k1-1,n)

此时得到k1的相关式子 然后看flag的相关

c1 = (pow(k1,b1,n)*flag)%n

c1 = ((k1b1 % n)*flag)%n = ((k1b1 % n)*flag) + k*n

同样两边模p

c1%p = ((k1b1 + k*n)*flag) %p

c1%p = ((k1b1 + k*n)%p*flag%p)

c1%p = ((k1b1%p + k*n%p)*flag%p)

c1%p = (k1b1 %p*flag%p)

c1%p = ((k1%p)b1 %p*flag%p)

由第一部分已知k1%p = 1

所以c1%p=flag%p

又因为断言语句assert flag < n 所以flag一定小于p 模p就等于其本身

故 flag = (c1 % p)

exp:

import gmpy2
import libnum

n = 9858036118742475059433629759400140149605427966433887001108914046633590983713890376353399251885596714047941627222518567515364827340623251995233155278723954926352575221234142199002389819918370754455018819109203109519495493316781422680537687252828642561153832774006286448224016306003631037545643746379044035822029246823483754854602215035869280453855199171915302879406862793807947285344105991067005185493038370882005106069286893165426035453262949739088328689761676541415552066845538243916687080015277379248062286846119847500455125785281216888979581104100416760176854106890525904804003871967844912776926419778292365918733
k1 = 4961356980843219227031667558158760111429474781353239042846946454889308337426649950562701556812878479419482114480334396560017050901408543482904510839046375272618911899662922000275482705215097956326853000314956770940510205507508883917322367747195211326932972446951696070952604655668087834669239815290687449340666091764203568518066586476150861542456340936303824392273004883320273039066213750777751436497551151274574369325153858390731248298056433816285354182588883715211738843801326831297181947562239993323202961410530072969013398669658073337273085171642258091164822631807295793886169033827781164115751086585872189121242
k2 = 8943660577405892997099415246000964332413663135286363632645590478753346989578467429954062835807609942851365774880023144520942029315601785638267996044694835031239940919206726351387647791985293576677117144309222345482756402074345845506698221273703274410853004407629888264128027446878663894377503365831077629911487977796118893231354280680598325548327444053575447407791091256260091884824630356121390983373431984667887019137026219503921285289004358685317477667095203722657823621429988685962573778350234701781053232256494914398637744373081735647622790113318562356606831868682912936768762749860591989864642992367932846710665
c1 = 4115578106197062017294044310891024039554438131787269391154862526142866937938155870549829472424386226484625850457327387070755337288822640509004443484397234720914851433620556887385729540499953724033259937785600491548446806766462413179765702810698096381537513314758346885921106310631278002150697458246447235914052771405341899822588463120295331632180131956205362147784798497203957828308109092025630961803808101730731656980785388965672073473370194469269645377465298620585379296063436880502566076330461976785816470877632107769103280243111778113065038163250625042092690628478547757779278811188187028242267396799577953511519
c2 = 1069417390392712224013484466911946251479515132512683148923109806683426116132220974153759944203026795479272077929265429391851629949467649257513543604050970026412281764244254971122378729482985044535740328359563865949603944075625096242664299209143911115287867129678168308056632406522013494918385694044348658310785409548526884085469813804712945302487796400392901241763662852123731910949146709219711388725430757562836225353975933990961286601256351973981732004724397292031523206145692402321288085912884435326461626793886145952474077975796841103796283781865005879515976167187625178845457630564285181509041968859289264784559

p = gmpy2.gcd(k1 - 1, n)
flag = (int)(c1 % p)
print(libnum.n2s(flag))

#b'flag{f4eccf2b-19d2-4470-8c1d-d50839cb38c7}'

[祥云杯 2022]little little fermat

考点:费马小定理 rsa yafu分解

解题:

题目:

from Crypto.Util.number import *
from random import *
from libnum import *
import gmpy2
from secret import x

flag = b'?????????'
m = bytes_to_long(flag)
def obfuscate(p, k):
    nbit = p.bit_length()
    while True:
        #getRandomRange是指在-1到1的范围中获取一个数 左闭右开 只可能是-1或0
        l1 = [getRandomRange(-1, 1) for _ in '_' * k]
        l2 = [getRandomRange(100, nbit) for _ in '_' * k]
        l3 = [getRandomRange(10, nbit//4) for _ in '_' * k]
        l4 = [getRandomRange(2, 6) for _ in '_' *k]
        #sum是求和函数 把列表中的数值加起来
        A = sum([l1[_] * 2 ** ((l2[_]+l3[_])//l4[_]) for _ in range(0, k)])
        q = p + A
        if isPrime(q) * A != 0:
            return q

p = getPrime(512)
q = obfuscate(p, 5)
e = 65537
n = p*q
print(f'n = {n}')

assert 114514 ** x % p == 1  # 根据断言语句获得x的值
m = m ^ (x**2)
c = pow(m, e, n)
print(f'c = {c}')

'''
n = 141321067325716426375483506915224930097246865960474155069040176356860707435540270911081589751471783519639996589589495877214497196498978453005154272785048418715013714419926299248566038773669282170912502161620702945933984680880287757862837880474184004082619880793733517191297469980246315623924571332042031367393
c = 81368762831358980348757303940178994718818656679774450300533215016117959412236853310026456227434535301960147956843664862777300751319650636299943068620007067063945453310992828498083556205352025638600643137849563080996797888503027153527315524658003251767187427382796451974118362546507788854349086917112114926883
'''

因为q的生成方式 q和p比较接近 而且512位生成的n比较小

本地测试:

from Crypto.Util.number import getPrime, getRandomRange, isPrime


def obfuscate(p, k):
    nbit = p.bit_length()
    while True:
        #getRandomRange是指在-1到1的范围中获取一个数 左闭右开 只可能是-1或0
        l1 = [getRandomRange(-1, 1) for _ in '_' * k]
        l2 = [getRandomRange(100, nbit) for _ in '_' * k]
        l3 = [getRandomRange(10, nbit//4) for _ in '_' * k]
        l4 = [getRandomRange(2, 6) for _ in '_' *k]
        #sum是求和函数 把列表中的数值加起来
        A = sum([l1[_] * 2 ** ((l2[_]+l3[_])//l4[_]) for _ in range(0, k)])
        q = p + A
        if isPrime(q) * A != 0:
            return q
        
p = getPrime(512)
q = obfuscate(p, 5)
print(q.bit_length())
#512

利用yafu工具对n进行分解

D:\qdownload\ctf\crypto>yafu-x64 "factor(141321067325716426375483506915224930097246865960474155069040176356860707435540270911081589751471783519639996589589495877214497196498978453005154272785048418715013714419926299248566038773669282170912502161620702945933984680880287757862837880474184004082619880793733517191297469980246315623924571332042031367393)"


fac: factoring 141321067325716426375483506915224930097246865960474155069040176356860707435540270911081589751471783519639996589589495877214497196498978453005154272785048418715013714419926299248566038773669282170912502161620702945933984680880287757862837880474184004082619880793733517191297469980246315623924571332042031367393
fac: using pretesting plan: normal
fac: no tune info: using qs/gnfs crossover of 95 digits
div: primes less than 10000
fmt: 1000000 iterations
Total factoring time = 0.5614 seconds


***factors found***

P155 = 11887853772894265642834649929578157180848240939084164222334476057487485972806971092902627112665734648016476153593841839977704512156756634066593725142934001
P155 = 11887853772894265642834649929578157180848240939084164222334476057487485972806971092902627112665734646483980612727952939084061619889139517526028673988305393

ans = 1

得到p和q

p = 11887853772894265642834649929578157180848240939084164222334476057487485972806971092902627112665734648016476153593841839977704512156756634066593725142934001
q = 11887853772894265642834649929578157180848240939084164222334476057487485972806971092902627112665734646483980612727952939084061619889139517526028673988305393

注意嗷!断言语句就是提示!!!

assert 114514 ** x % p == 1  # 根据断言语句获得x的值

这是一个数114514的x次方模p等于1

肯定联想到费马小定理

根据其公式

x = p-1

m = m ^ (x**2)
c = pow(m, e, n)
print(f'c = {c}')

注意rsa解密得到的m不是最终的m 根据异或运算的可逆性对m再进行一次相同的运算即可

exp:

from Crypto.Util.number import getRandomRange
import gmpy2
import libnum

c = 81368762831358980348757303940178994718818656679774450300533215016117959412236853310026456227434535301960147956843664862777300751319650636299943068620007067063945453310992828498083556205352025638600643137849563080996797888503027153527315524658003251767187427382796451974118362546507788854349086917112114926883
p = 11887853772894265642834649929578157180848240939084164222334476057487485972806971092902627112665734648016476153593841839977704512156756634066593725142934001
q = 11887853772894265642834649929578157180848240939084164222334476057487485972806971092902627112665734646483980612727952939084061619889139517526028673988305393
x = p-1
phi = (p-1)*(q-1)
e = 65537
n = p * q
d = gmpy2.invert(e, phi)
m = pow(c,d,n)
m = (int)(m ^ (x**2))
print(libnum.n2s(m))

#b'flag{I~ju5t_w@nt_30_te11_y0u_how_I_@m_f3ll1ng~}45108#@7++3@79?3328?!!@08#712/+963-60#9-/83#+/1@@=59!/84@?3#4!4=-9542/##'

我是哈皮,祝您每天嗨皮!我们下期再见~

哈皮Superman
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF [NCTF2019]childRSA(费马小定理)
晓寒的博客
07-12 3753
[NCTF2019]childRSA(费马小定理) 题目 from random import choice from Crypto.Util.number import isPrime, sieve_base as primes from flag import flag def getPrime(bits): while True: n = 2 while n.bit_length() < bits: n *= choice(primes) if isPrime(n + 1): return n
费马素性检测,费马小定理
11-08
根据费马小定理:如果p是素数,<math>1 \le a \le p,那么 <math>a^ \equiv 1 \pmod。 如果我们想知道n是否是素数,我们在中间选取a,看看上面等式是否成立。如果对于数值a等式不成立,那么n是合数。如果有很多的a...
论文研究 - 费马小定理的几何证明
05-30
对于正整数,对于p的正整数,如果p不除a,我们将提供一个直观令人满意的费马结果的几何证明。 这就是费马小定理。 该证明是新颖的,它使用了将着色应用于规则多边形的想法来建立数论结果。 传统上(如果模棱两可)归因于Burnside的引理提供了关键的枚举步骤。
费马大定理:生成费马数,输入“help fermat”。-matlab开发
05-31
定理:不存在正整数 x,y,z 和 n>2 使得 x^n+y^n=z^n 该程序将打印 n=2 的费马数。 对于 n=3,没有解是众所周知的事实。 类型帮助费马
费马大定理证明论文原文.pdf
04-27
如名称所说
2022年第二届鹏城部分题目Writeup
个人博客:https://www.mrzry.top
08-25 3419
题目:easy_rsa、babyrsa、简单取证、baby_re、easy_sql、babybit
密码学学习之费马小定理 & 中国剩余定理应用:RSA-CRT 签名算法
Build20的博客
08-19 441
那么d = k1*(q-1) +dp,带入解密公式,可得c^d mod p =c^(k1(p-1) +dp) mod p=c^dp * c^(k1(p-1)) mod p,因为 c^(p-1) mod p = 1 (欧拉定理)= c^k1 mod p,这样就成功降解密的次幂阶从d降到了k1,这里的k1 = d mod dp,这么看是不是很巧呢?这里不光是dp,还可以用dq(dq = d mod (q-1),即d = dq mod (q-1)),来降低d,总之是个很灵活的事。加密Y= M^e mod n;
CTF-Crypto 出题思路与解题思路
Jang2023的博客
06-30 3251
ctf 夺旗赛解题思路 crypto密码学
2016 Sharif CTF unterscheide
ACdream
05-18 383
知识点:费马小定理当p为素数时,a^(p-1)≡1(mod p)题目分析:#!/usr/bin/python import gmpy import random, os from Crypto.Util.number import * from Crypto.Cipher import AES from secret import flag, q, p1, p2, h assert (...
CTF密码学总结(二)
热门推荐
沐一 · 林 的博客
11-03 2万+
CTF 密码学总结 出人意料的flag: 指在题目中获取到了flag,但是这个flag可能长得不像flag,或者flag还要经过进一步的脑洞处理,而不是常规的解密处理。 非预期行为: 指解题中出现与预想结果不符合的一系列非预期行为,这基本说明了在中间或前面存在其他自己还没分析的操作。 冗余中锁定关键代码: 从后往前看,就是确定比较关键对象,从该对象开始排除其他无关变量,一步步找出与该对象有关的其它变量,最后串起找到的所有相关变量,然后开始逆向分析。 题目类型总结: 题目描述暗
RSA-p和q挨得很近(费马分解)
admin的博客
11-20 7034
一、基础 最简单的就是拿yafu直接分解,但是我们得知道那个算法的原理, 就是现在p,q是两个素数,而且他俩在素数序列里面就是一前一后的关系。所以我们要把他俩的乘积开根号得到的结果一定是在p,q之间的一个数字,(而且一定不是素数,因为p,q就是紧邻的两个素数)。 那我们找这个开方出来的数字的下一个素数,一定是q,因此我们再让n/q就可以得到两个素数。(这是第一种方法,必须得保证两个数为素数,而且挨得很近才行,我们还会介绍第二种方法,即使有一个不是素数也可以解决。...
费马大定理.pdf
08-25
费马大定理.pdf
《C程序设计》(第四版)习题辅导错误汇集
qq_46699502的博客
04-24 1万+
P14 假如我国国民生产总值的年增长率为10%,计算10年后我国国民经济生产总值与现在相比增长多少百分比。计算公式为: p=(1+r)^n r为年增长率,n为年数,p为与现在相比的倍数。 解:从附录D(库函数)可以查到: 可以用pow函数求x^y的值,调用pow函数的具体形式是pow(x,y)。在使用pow函数时需要在程序的开头用#include指令将<math.h>头文件包含到本程序模块中。可以用下面的程序求出10年后国民生产总值是现在的多少倍。 #include <stdio.h&gt
非对称加密算法RSA的深度解析,在CTF中RSA题目
Scalzdp的专栏
10-27 883
今天对RSA的原理进行了讲解,并且收集了一些CTF中RSA攻击的脚本,这些脚本基本包括了基础的应用。整个逻辑还是需要对整个过程进行推导,这些推导需要一定的数学知识。好吧,今天就分享到这里。每天学习每天进步。
C/C++语言经典算法题
R.I.P Kobe Bryant
03-12 3404
C语言经典算法题
rsa special
axe
01-26 939
文章目录[ReSnAd] -- iqmp ipmq e,c,ϕ(n)\phi(n)ϕ(n)[RoarCTF2019]babyRSA -- wilson[NCTF2019]childRSA -- ϕ(p),ϕ(q)\phi(p),\phi(q)ϕ(p),ϕ(q)是多个小因子累乘[Crypto CTF] Time capsule [ReSnAd] – iqmp ipmq e,c,ϕ(n)\phi(n)...
unusualrsa4-ctf.show(费马小定理扩展)
yuqie的博客
06-15 182
当r=2,3,4,5,......时,可得到多个k*p,然后对其取gcd即可求出p,然后在模p的条件下求x的逆元即可得到q,那么n就知道了,m即可解出来。给出了invert(q,p),d,c,只需求出n即可解,求n只能根据invert(q,p)以及d,先求出p或q即可。对于任意的r,k1,k2,如果k2是k1的因子时,即k2整除k1,有。这里p是y的因子,也是上面为何要构造(x*phi)mod p的原因。那就说明y是p的倍数,即被p整除,那p就是y其中一个因子。这里的k与上面爆破的k毫无关系。
深入浅出RSA在CTF中的攻击套路
CTF小白的博客
12-05 2万+
0x01 前言 本文对RSA中常用的模逆运算、欧几里得、拓展欧几里得、中国剩余定理等算法不展开作详细介绍,仅对遇到的CTF题的攻击方式,以及使用到的这些算法的python实现进行介绍。目的是让大家能轻松解决RSA在CTF中的套路题目。 0x02 RSA介绍 介绍 首先,我这边就不放冗长的百度百科的东西了,我概括一下我自己对RSA的看法。 RSA是一种算法,并且广泛应用于现代,用于保密通信。 RSA...
密码学】xyctf-babyrsamax
最新发布
amber_o0k的博客
05-17 231
p-1,q-1一眼光滑,可以pollards p-1分解n,第一问的e=4096就出来了。但直接用扩展欧几里德求“逆元”,然后开4次方就能得到正确结果。其中的数学逻辑还需深究。然后神奇的就来了别人的wp说这是rabin加密,类rsa。主要是e//4,phi互质,但算不出答案。由于明文m很小,单独用p或者q也能求解。
费马小定理 取模 python
11-27
费马小定理是一个基本的数论定理,它指出如果p是一个质数,a是任意整数且a与p互质(即它们的最大公约数为1),那么a^(p-1) 与 p 同余。在Python中,我们可以使用取模运算符 % 来实现费马小定理。例如,如果我们要计算a的p-1次幂对p取模的结果,可以使用以下代码: ```python def mod_exp(a, p, m): result = 1 for _ in range(p): result = (result * a) % m return result ``` 在这个例子中,函数mod_exp接受三个参数a、p和m,分别代表底数、指数和模数。函数使用了一个循环来计算a的p次幂,并在每一步都对m取模,以避免溢出。使用这个函数,我们可以很容易地验证费马小定理。例如,如果我们要验证3^6 与 7 同余,可以使用以下代码: ```python a = 3 p = 6 m = 7 result = mod_exp(a, p-1, m) print(result) # 输出为1,表示3^6 与 7 同余 ``` 通过这种方式,我们可以利用费马小定理快速计算底数的指数次幂对模数取模的结果,并验证费马小定理在Python中的应用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值