【Wilson威尔逊定理】三道题目(附链接 入门Wilson!!

已于 2023-08-04 11:49:49 修改
阅读量350 收藏
点赞数 1
分类专栏: ctf-crypto 文章标签: python 密码学
于 2023-08-04 06:48:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jayq1/article/details/132095632
版权

文章目录

威尔逊定理入门

题目:

import libnum
import uuid
import gmpy2
flag="flag{"+str(uuid.uuid4())+"}"

m=libnum.s2n(flag)
p=libnum.generate_prime(512)
q=gmpy2.next_prime(p)
n=p*q
e=65537
for i in range(1,p):
    m=(m*i)%p

c=pow(m,e,n)
print("c=",c)
print("n=",n)

c= 110529037403457010976226680228015853681747082298049971277864723725003290263121993249901746108064910538219056566054434964752554464076788576969420195833066780032521421693370829430794829520809208371861674386624296250550029664837604012247019944404589941948639334516981017574704294281416080581914051559281376725552
n= 118816369182219711551736875622148948376274930097622029542291351942110204065005093752267272235864774888160522170555189015695148555668006209122716634896476014952586332120668094812890443697140874554631953248467119041951362983074748376348829077644413780641030688747863975973112631445365138922148115802917498155841

解题:

首先根据p和q的生成规则:

p=libnum.generate_prime(512)
q=gmpy2.next_prime(p)

这是两个相近的素数

所以直接对n开平方 然后取平方数的下一个素数

exp:

n = gmpy2.iroot(n,2)[0]

然后根据普通的rsa进行解密 可以获得经过加密之后的m

二次加密的m:

for i in range(1,p):
    m=(m*i)%p

相当于c_m = m*(p-1)! (mod p)

联想到wilson定理:

image-20230803125901141

现在c_m经过rsa算法已知所以m=c_m * (p-1)!的逆 (mod p)

l类比rsa算法:ed = 1 mod phi d = invert(e,phi)

所以(p-1)!*(-1)=1(mod p)

所以(p-1)! = invert(-1,p)

故m = c_m*invert(-1,p) %p (在模p的空间内 一定不要忘记!!!)

完整exp:

import gmpy2
import libnum

c= 110529037403457010976226680228015853681747082298049971277864723725003290263121993249901746108064910538219056566054434964752554464076788576969420195833066780032521421693370829430794829520809208371861674386624296250550029664837604012247019944404589941948639334516981017574704294281416080581914051559281376725552
n= 118816369182219711551736875622148948376274930097622029542291351942110204065005093752267272235864774888160522170555189015695148555668006209122716634896476014952586332120668094812890443697140874554631953248467119041951362983074748376348829077644413780641030688747863975973112631445365138922148115802917498155841
e= 65537

p1 = gmpy2.iroot(n,2)[0]
q = gmpy2.next_prime(p1)
p = n // q
phi = (p-1)*(q-1)
d = gmpy2.invert(e,phi)
c_m = pow(c,d,n)
m = int(c_m*gmpy2.invert(-1,p)%p)
print(libnum.n2s(m))

#b'flag{504fb4bf-9fdc-4cb3-9d84-4c437876ddc3}'

[RoarCTF 2019]babyRSA

考点:威尔逊定理

解题:

题目源码:

import sympy
import random

def myGetPrime():
    A= getPrime(513)
    print(A)
    B=A-random.randint(1e3,1e5)  #10的3次方到10的5次方之间
    print(B)
    return sympy.nextPrime((B!)%A)
p=myGetPrime()
#A1=21856963452461630437348278434191434000066076750419027493852463513469865262064340836613831066602300959772632397773487317560339056658299954464169264467234407
#B1=21856963452461630437348278434191434000066076750419027493852463513469865262064340836613831066602300959772632397773487317560339056658299954464169264467140596

q=myGetPrime()
#A2=16466113115839228119767887899308820025749260933863446888224167169857612178664139545726340867406790754560227516013796269941438076818194617030304851858418927
#B2=16466113115839228119767887899308820025749260933863446888224167169857612178664139545726340867406790754560227516013796269941438076818194617030304851858351026

r=myGetPrime()

n=p*q*r
#n=85492663786275292159831603391083876175149354309327673008716627650718160585639723100793347534649628330416631255660901307533909900431413447524262332232659153047067908693481947121069070451562822417357656432171870951184673132554213690123308042697361969986360375060954702920656364144154145812838558365334172935931441424096270206140691814662318562696925767991937369782627908408239087358033165410020690152067715711112732252038588432896758405898709010342467882264362733
c=pow(flag,e,n)
#e=0x1001
#c=75700883021669577739329316795450706204502635802310731477156998834710820770245219468703245302009998932067080383977560299708060476222089630209972629755965140317526034680452483360917378812244365884527186056341888615564335560765053550155758362271622330017433403027261127561225585912484777829588501213961110690451987625502701331485141639684356427316905122995759825241133872734362716041819819948645662803292418802204430874521342108413623635150475963121220095236776428
#so,what is the flag?

题目思路很明确呀:首先根据A和B获得p和q的值 然后进行3个因子的n对应的rsa解密即可

下面来看怎么获得p和q

加密生成代码:sympy.nextPrime((B!)%A)

关键就是解得B! % A 的值 其中AB已知且A是素数

联想到Wilson定理

image-20230803125901141

令p = A

有 (A-1)! = -1 (mod A)

又因为B = A - randomint

所以(A-1)! = (A-1)(A-2)…(B+2)(B+1)B(B-1)…1 = (A-1)…(B+1)B! = -1 (mod A)

又因为我们相求逆元 右边的-1为1比较方便

所以我们探索-1 mod A等于什么

关于负数取模运算:

image-20230804062634970

所以 根据公式 -1 = ()+ (-1)*A 故() = A-1

所以两边消去(A-1)有 (A-2)(A-3)…(B+1)B! = 1 (mod A)

从B到A相距有限 可以求值 所以用invert 可以解出B!

exp:

import gmpy2
import sympy
import libnum

A1=21856963452461630437348278434191434000066076750419027493852463513469865262064340836613831066602300959772632397773487317560339056658299954464169264467234407
B1=21856963452461630437348278434191434000066076750419027493852463513469865262064340836613831066602300959772632397773487317560339056658299954464169264467140596
A2=16466113115839228119767887899308820025749260933863446888224167169857612178664139545726340867406790754560227516013796269941438076818194617030304851858418927
B2=16466113115839228119767887899308820025749260933863446888224167169857612178664139545726340867406790754560227516013796269941438076818194617030304851858351026
n=85492663786275292159831603391083876175149354309327673008716627650718160585639723100793347534649628330416631255660901307533909900431413447524262332232659153047067908693481947121069070451562822417357656432171870951184673132554213690123308042697361969986360375060954702920656364144154145812838558365334172935931441424096270206140691814662318562696925767991937369782627908408239087358033165410020690152067715711112732252038588432896758405898709010342467882264362733
e=0x1001
c=75700883021669577739329316795450706204502635802310731477156998834710820770245219468703245302009998932067080383977560299708060476222089630209972629755965140317526034680452483360917378812244365884527186056341888615564335560765053550155758362271622330017433403027261127561225585912484777829588501213961110690451987625502701331485141639684356427316905122995759825241133872734362716041819819948645662803292418802204430874521342108413623635150475963121220095236776428

def getpq(A,B):
   tmp = 1
   for i in range(B+1,A-1):
       tmp *= i
       tmp %= A
   B_all = gmpy2.invert(tmp,A)
   return sympy.nextprime(B_all%A)

p = getpq(A1,B1)
q = getpq(A2,B2)
r = n // (p*q)
phi = (p-1)*(q-1)*(r-1)
d = gmpy2.invert(e,phi)
print(libnum.n2s(int(pow(c,d,n))))

#b'RoarCTF{wm-CongrAtu1ation4-1t4-ju4t-A-bAby-R4A}'

[2022赣育杯]Wilson

考点:Wilson 中国剩余定理crt

解题:

题目:

from os import urandom
from gmpy2 import next_prime
from Crypto.Util.number import getPrime, bytes_to_long

p = getPrime(512)
q = next_prime(p)
f = open('flag.txt', 'rb')
flag = bytes_to_long(f.read() + urandom(80))
f.close()

N = 1
a = p * q
for i in range(1, p):
    N = (N * i) % a
e = 65537
m = N * flag % a
c = pow(m, e, a)
f = open('Encode.txt', 'w')
f.write(f'a = {a}\n')
f.write(f'c = {c}\n')
f.close()


a = 156853895847604116708242664263151514811095704969640303272039451331791888050995073274981545693518063639560286348739938318495685137088495867703518198511200409009953879436648706837731243061114851474801565873584183542649886358523850682697732574913523360866915083642887238043256280849100274825940626065115676325169
c = 3459715117165130065996389169943285249501133832272446001239391765859259811270526185228996906338576254353123756173289118671028939933226544773197852424767051933844004667155191851195814295922794480300237399956789038592856532530692732011427288405114650955620859282144504446058845961744702163836107847961388150810

因为p和q的生成关系 直接对a开平方取下一个素数皆可以获得p和q

破题点:

for i in range(1, p):
    N = (N * i) % a
m = N * flag % a

循环表示的意思:N = (p-1)! %a

m = (p-1)! * flag % a

m = (p-1)! * flag + ka

因为根据威尔逊定理

(p−1)! ≡−1 mod p

我们的p-1的阶乘是要模p的 所以两边同时模p

m%p = flag*(p-1)!%p + ka%p(a=pq 所以为0)

m = flag *(p-1)! (mod p)

上面的式子是在模p的空间中进行 但是p的长度是512bit flag中存在urandom(80)这是填充随机字符长度为80字节 所以这会导致上式求出来的flag会有丢失 只存在低位的flag内容

所以我们想再构建一个mod q的flag 然后用中国剩余定理求出flag的全部值

因为p是小于q的 所以同样可以借助威尔逊定理构造(q-1)! mod q

根据 m = (p-1)! * flag % a

两边同时乘(q-1)(q-2)...(p+1)p 得到 (q-1)(q-2)…(p+1)pm = flag * (q-1)! (mod a)

m1 = flag*(q-1)! (mod a)

化简:

m1 = flag*(q-1)! + ka

两边同时模q

m1 = flag*(q-1)! mod q

整合一下我们推导的式子:

m1=(q-1)(q-2)…(p+1)pm

m = flag *(p-1)! (mod p)

m1 = flag * (q-1)! (mod q)

式子中的阶乘需要处理掉

根据威尔逊定理

(p−1)! ≡−1 mod p

两边乘-1

有-1 (p-1)! = 1 mod p

类比rsa e d = 1 mod phi =》d = invert(e,phi)

故-1 (p-1)! = 1 mod p -》(p-1)! = invert(-1,p)

综上

m1=(q-1)(q-2)…(p+1)pm

m = flag * invert(-1,p) % p

m1 = flag * invert(-1,q) % q

利用中国剩余定理:

image-20230804105012819

现在flag就是我们的未知数x 关于x的解法直接使用sage中的内置函数crt即可

flag = m // int(gmpy2.invert(-1,p)) % p

a1 = m // int(gmpy2.invert(-1,p))

flag = m1 // int(gmpy2.invert(-1,q)) % q

a2 = m1 // int(gmpy2.invert(-1,q))

然后直接用内置函数 crt(a1, a2, p, q)

完整exp:

import libnum
import sympy
import gmpy2
a = 156853895847604116708242664263151514811095704969640303272039451331791888050995073274981545693518063639560286348739938318495685137088495867703518198511200409009953879436648706837731243061114851474801565873584183542649886358523850682697732574913523360866915083642887238043256280849100274825940626065115676325169
c = 3459715117165130065996389169943285249501133832272446001239391765859259811270526185228996906338576254353123756173289118671028939933226544773197852424767051933844004667155191851195814295922794480300237399956789038592856532530692732011427288405114650955620859282144504446058845961744702163836107847961388150810
e = 65537

p1 = gmpy2.iroot(a,2)[0]
q = sympy.nextprime(p1)
p = a // q
phi = (p-1)*(q-1)
d = gmpy2.invert(e,phi)
m = pow(c,d,a)
a1 = m // int(gmpy2.invert(-1,p))

m1 = 1
for i in range(p,q):
    m1 = m*i%q
a2 = m1 // int(gmpy2.invert(-1,q))
flag = int(crt(int(a1),int(a2),p,q))
print(libnum.n2s(flag))

#b'Sangfor{51083a96-13b4-00c4-36c0-2025c1b46a63}\xb5\\\xc4.}5\xe9\x1f\xab\xfbf\xbe0\xf1\xed \x94\xe6\xe5`\xe7\xf2\xc5\xa3a7\xfb\xd6\xcf\x88\x8a\xbd\x10\x90\x92\xcc\xaa\xe0m\x9d\xc7\x81\xafX[\x06#\xb7\x91\x8aW\x9c\xfbCV\x8a\xb1\x80K\xfaw\xb2HSZ\x95\x18\xdd\xc3\x1d\x9cg\xc9\xdc\x0f,\xb4\xe5\xa5\xab'

注意:

  1. 后面是随意生成的80字节的内容
  2. 在整除 crt等计算的时候注意int类型的转换!!!

我是哈皮,祝您每天嗨皮!我们下期再见~

哈皮Superman
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
定理
qq_52441682的博客
08-13 839
文章目录一、介绍1.内容2.适用情况二、证明1.必要性2.充分性二、例题·YAPTCHA1.大意2.分析3.代码 一、介绍 1.内容 p 是质数的充要条件为 (p−1)!≡−1(modp)(p−1)! ≡ −1 (mod p)(p−1)!≡−1(modp) 也可以写作:p为质数的充要条件为p∣(p−1)!+1p∣(p−1)!+1p∣(p−1)!+1 2.适用情况 可以用于直判断p是否为质数,但由于涉及阶乘操作,所以很少使用。 二、证明 1.必要性 已知p∣(p−1)!+1p∣(p−1)!+1p∣(p.
2022赣育杯CTF---Wilson wp
3tefanie丶zhou的博客
10-10 646
【真正爱一个人,就算把自己的全世界都给了她,却依然担心给的不够多,不够好。】
RSA 2022/8/14
sylvia_a的博客
08-17 214
buursa(欧拉函数,e和phin不互质)
【2019 Roar CTF】baby RSA + 定理 + python写脚本小结
未配妥剑 已入江湖
10-22 877
Baby RSA 题目内容: import sympy import random def myGetPrime(): A= getPrime(513) print(A) B=A-random.randint(1e3,1e5) print(B) return sympy.nextPrime((B!)%A) p=myGetPrime() #A1=...
数论学习四之——定理
qq_43704563的博客
10-14 1463
在介绍定理之前,我们先给出一个引理: 如果ppp是素数,正整数aaa是其自身模ppp的逆,当且仅当a≡1(mod p)a\equiv1(mod\ p)a≡1(mod p)或者a≡−1(mod p)a\equiv{-}1(mod\ p)a≡−1(mod p)。 证明: ...
wilson-score-interval:在 javascript 中实现的分数间隔
08-04
得分区间简单 JavaScript 实现。 有用无论你想约一个普通人群的行为或偏好自信的估计,因为数据的样本(如排名得分分配人气,产品)。目录安装$ npm i wilson-score-interval 用法 const wilson = require ( '...
wilson_wilson_Wilson-θ法matlab_
09-29
matlab实现的wilson-θ法,很有效的数值积分算法
wilson法设计_wilson_Wilson法_叶片wilson_
10-01
基于wilson设计叶片时,求解a,b两个参数的代码
尔生(Wilson)定理及其应用 (2005年)
04-22
尔生定理在初等数论中是很重要的,而且是很有用的.本文给出可由尔生定理推导出的三个判定质数的必要充分条件。
Wilson定理的一个推广 (1989年)
05-08
这篇短文给出了在一个唯一分解环中对于有原根存在的模的一个定理,即wilson定理的个推广。这说明在一个唯一分解环中研究原根存在的条件是有意义的工作。
数论四大定理之——定理
这是一篇普通的博客。
04-02 1225
作为数论四大定理中的一员,定理可谓是最简单的一个定理了。虽然它的用处也不想欧拉定理或中国剩余定理那么广泛,但是,我们也必须要了解定理,因为没有了它,很多题目都会将你深深的折磨的。那我们现在就开始定理的学习吧: 定理 若正整数 ppp 为质数,那么: (p−1)!≡p−1(modp) (p - 1)! \equiv p - 1 \pmod p (p−1)!≡p−1(modp) 形式的确十分的简单,那么我们该如何证明它呢? 首先,由于 ppp 是质数,那么 1∼p−11 \sim p
RSA总结
ao52426055的博客
01-02 2812
常用工具 分解大素数 factordb http://www.factordb.com yafu(p,qp,q相差过大或过小yafu可分解成功) sage divisors(n)(小素数) Openssl 解析加密密钥: openssl rsa -pubin -text -modulus -in pub.key 生成解密密钥: python rsatool.py -f PEM -o key.key -p 1 -q 1 -e 1 openssl rsautl -decrypt -inkey key.pem
HDOJ 题目2973 YAPTCHA(数学,定理
Jogging_Clown
08-18 779
YAPTCHA Time Limit: 10000/5000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others) Total Submission(s): 584    Accepted Submission(s): 330 Problem Description The math department has
定理B
扬弃
08-03 380
题目 The math department has been having problems lately. Due to immense amount of unsolicited automated programs which were crawling across their pages, they decided to put Yet-Another-Public-Turing-Te...
定理 数论
初学者
07-12 7607
最近在整理原来的一些资料,偶然想起原来搞OI时讲过一次定理的内容,这里分享给大家 目录 一个实验 证明 剩余类与剩余系 缩系 证明 题目推荐 数论四大定理之一 ※是以英格兰数学家爱德华·华林的学生约翰·命名的,尽管这对师生都未能给出证明。华林于1770年提出该定理,1773年由拉格朗日首次证明 ※定理是判定一个自然数是否为素数的充分必要条件 一个实验 十八世纪中叶,一位英国法官约翰·爵士,发现了数论中一种极为罕见的关系:取从1到某个质数...
定理--HDU2973
weixin_30924087的博客
03-18 143
参考博客 HDU-2973 题目 Problem Description The math department has been having problems lately. Due to immense amount of unsolicited automated programs which were crawling across their pages, they decided t...
SAS Wilson 置信区间
最新发布
06-02
在 SAS 中,Wilson 置信区间是一种计算二项分布参数置信区间的方法之一。它可以用来估计二项分布的成功概率 $p$ 的置信区间。Wilson 置信区间的计算公式如下: $${\displaystyle {\frac{\hat{p}+\frac{z^2}{2n}-z\sqrt{\frac{\hat{p}(1-\hat{p})}{n}+\frac{z^2}{4n^2}}}{1+\frac{z^2}{n}}},{\frac{\hat{p}+\frac{z^2}{2n}+z\sqrt{\frac{\hat{p}(1-\hat{p})}{n}+\frac{z^2}{4n^2}}}{1+\frac{z^2}{n}}}}$$ 其中,$\hat{p}$ 是样本中成功的比例,$n$ 是样本大小,$z$ 是标准正态分布的分位数,一般取 $\alpha/2$ 分位数,$\alpha$ 是显著性水平,通常取 0.05。根据计算公式,可以得到一个置信水平为 $1-\alpha$ 的置信区间,表示参数的真实值在该区间内的概率为 $1-\alpha$。在 SAS 中,可以使用 PROC FREQ 过程中的 EXACT 选项来计算 Wilson 置信区间。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值