ROARCTF2020-Crypto

已于 2024-03-19 20:19:21 修改
阅读量1k 收藏 2
点赞数 1
分类专栏: 比赛wp 文章标签: python 算法 机器学习
于 2020-12-10 01:02:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jcbx_/article/details/110944601
版权

前言

这次ROARCTF我打得时间比较短,所以只做了Crypto_System,其余两题都是后来复现的…

Crypto_System

将式子都化简为以g为底的式子,这样可以将这题看起来的离散对数问题化简为简单的求逆元问题。由于可能求不出逆元,所以需要进行判断
(用Linux跑的)

from pwn import *
from libnum import *
from Crypto.Util.number import *
from hashlib import *
from gmpy2 import invert
# These three are constants
p = 12039102490128509125925019010000012423515617235219127649182470182570195018265927223
g = 10729072579307052184848302322451332192456229619044181105063011741516558110216720725

def int2str(data, mode="big"):
    if mode == "little":
        return sum([ord(data[_]) * 2 ** (8 * _) for _ in range(len(data))])
    elif mode == "big":
        return sum([ord(data[::-1][_]) * 2 ** (8 * _) for _ in range(len(data))])

def get_parameter(m):
    x = int2str(m, 'little')
    y = pow(g, x, p)
    a = bytes_to_long(sha256(long_to_bytes(y).rjust(128, "\0")).digest())
    b = pow(a, a, p - 1)
    h = pow(g, b, p)

    return y, h, b , x

def sign(m):
    y, h, b = get_parameter(m)
    r = getStrongPrime(512)
    s = (y * pow(h, r, p)) % p 

    return str(r),str(s)

def verify(m, r, s):
    y, h, b ,x= get_parameter(m)
    if s == ((y * pow(h, r, p)) % p):
        return True
    else:
        return False
def fuckhash():
    xx=sh.recvuntil('XXXX:')
    suffix=xx.split('+')[1].split(')')[0].strip(' ')
    res=xx.split('==')[1].split('\n')[0].strip(' ')
    print(suffix,res)

    S = ''
    for h in range(48,127):
        S += chr(h)

    for h in S:
        for i in S:
            for j in S:
                for k in S:
                    x = sha256((h + i + j + k + suffix).encode()).hexdigest()
                    if x == res:
                        sh.sendline(h+i+j+k)
                        return (h + i + j + k)

def test(r1,r2,s1,s2):
    if r1!=r2 and s1==s2 :
        return True
    else:
        return False



def attack(m1,m2,r1):
    (y1, h1, b1,x1) = get_parameter(m1)
    (y2, h2, b2,x2) = get_parameter(m2)
    s1 = (y1 * pow(h1, r1, p)) % p 
    b2_ = invert(int(b2),int(p-1)) 
    r2 = b2_*(x1 -x2+ b1*r1)%(p-1)
    print r2
    s2 = (y2 * pow(h2, r2, p)) % p 
    print verify(m2, r2, s2)
    print r2-r1
    
    print test(r1,r2,s1,s2)
    print ('r2,s2 = (%s,%s)')%(r2,s2)
    sh.recvuntil('Please choice your options:')
    sh.sendline('3')
    sh.recvuntil("message:")
    sh.sendline('('+str(r2)+','+str(s2)+')')
    print sh.recvuntil('\n')


def judgee(m1,m2):
    try:
        (y1, h1, b1,x1) = get_parameter(m1)
        (y2, h2, b2,x2) = get_parameter(m2)
        b2_ = invert(int(b2),int(p-1)) 
        return True
    except:
        return False

c=0
while True:
    c+=1
    print ("round:%s")%(c)
    sh=remote('139.129.98.9',30001)
    print(fuckhash())
    drop = 'options:'
    sh.recvuntil('(64 bytes):', drop=False)
    m1 = sh.recvuntil('\n', drop=False)[:-1].decode('hex')
    sh.recvuntil('(64 bytes):', drop=False)
    m2 = sh.recvuntil('\n', drop=False)[:-1].decode('hex')
    sh.recvuntil("'r':", drop=False)
    r1 = sh.recvuntil('\n', drop=False)
    r1=int(r1)
    print m1
    print m2
    print r1
    if judgee(m1,m2) == False:
        continue
    else:
        print('right!')
        attack(m1,m2,r1)
        break

结果截图:
在这里插入图片描述

EasyRSA

根据给的tips我们可以得到 2 ∗ x ∗ y ∗ b e t a + x + y 2*x*y*beta + x + y 2xybeta+x+y,

然后又知 p h i ( n ) = 4 ∗ x ∗ y ∗ b e t a phi(n)=4*x*y*beta phi(n)=4xybeta

所以我们可以通过 t i p s / b e t a tips/beta tips/beta再爆破 x ∗ y x*y xy求出 p h i phi phi

from Crypto.Util.number import *
from  gmpy2 import invert
n=17986052241518124152579698727005505088573670763293762110375836247355612011054569717338676781772224186355540833136105641118789391002684013237464006860953174190278718294774874590936823847040556879723368745745863499521381501281961534965719063185861101706333863256855553691578381034302217163536137697146370869852180388385732050177505306982196493799420954022912860262710497234529008765582379823928557307038782793649826879316617865012433973899266322533955187594070215597700782682186705964842947435512183808651329554499897644733096933800570431036589775974437965028894251544530715336418443795864241340792616415926241778326529055663
e=65537
enc=10760807485718247466823893305767047250503197383143218026814141719093776781403513881079114556890534223832352132446445237573389249010880862460738448945011264928270648357652595432015646424427464523486856294998582949173459779764873664665361437483861277508734208729366952221351049574873831620714889674755106545281174797387906705765430764314845841490492038801926675266705606453163826755694482549401843247482172026764635778484644547733877083368527255145572732954216461334217963127783632702980064435718785556011795841651015143521512315148320334442235923393757396733821710592667519724592789856065414299022191871582955584644441117223
beta=11864389277042761216996641604675717452843530574016671576684180662096506094587545173005905433938758559675517932481818900399893444422743930613073261450555599
tip = (n-1)//(2*beta)  
xy1=tip//beta
def attack(xy1):
    while True:
        try:
            xy1=xy1-2
            d=invert(e,2*xy1*pow(beta,2))
            c=pow(3,e,n)
            if pow(c,d,n)==3:
                return d
            else:
                continue
        except:
            continue
d=attack(xy1)
print long_to_bytes(pow(enc,d,n))

Reverse

参考 https://kt.gy/blog/2015/10/asis-2015-finals-rsasr/
因为p和q是二进制顺序相反的素数,所以p的每一位都和q有关系。所以我们可以尝试遍历p的二进制,通过判断生成的p与q再进行迭代。具体代码如下:

n = 158985980192501034004997692253209315116841431063210516613522548452327355222295231366801286879768949611058043390843949610463241574886852164907094966008463721486557469253652940169060186477803255769516068561042756903927308078335838348784208212701919950712557406983012026654876481867000537670622886437968839524889

def Brute_force(a,b,k):
    if k == 256:
        if a*b==n:
            print (a,b)
        return 0
  
    for i in range(2):
        for j in range(2):
            
            a1=a+i*(2**(511-k))+j*(2**k)
            b1=b+j*(2**(511-k))+i*(2**k)
            
            if a1*b1>n:
                continue 
                
            if  (a1+2**(511-k))*((b1+2**(511-k)))< n: 
                continue 
                
            if (a1*b1)%(2**(k+1)) != n%(2**(k+1)):
                continue

            Brute_force(a1,b1,k+1)

    return 0

Brute_force(0,0,0)

结尾

这三道题统一的地方在于都是使用了爆破这一基本手法。做题的话有时候会纠结于某一个知识点,纠结于某种固定的解法,这样往往会思维封闭。其实我们更应该常驻爆破的思想去解题。结合各种已知解法灵活运用才是更好的做题方法。

Gm1y
关注
专栏目录
[RoarCTF 2019]Easy Java
ChenZIDu的博客
12-13 5357
WEB-INF主要通过找到web.xml文件,推断class文件的路径,最后直接class文件,在通过反编译class文件,得到网站源码 首先看到一个页面,点击下help看看啥情况。 发现输出一串 java.io.FileNotFoundException:{help.docx} 可能是报错信息,打开Brup截取请求信息 GET /Download?filename=help.docx HTT...
picoCTF2020-Crypto
煤矿路口西的博客
11-11 936
picoCTF Cryptography The Numbers The Numbers The flag is in the format PICOCTF{} 得到一串数字 16 9 3 15 3 20 6 { 20 8 5 14 21 13 2 5 18 19 13 1 19 15 14 } 根据hint,对照ASCII,已知部门为 80 73 67 79 67 84 70 { } 编写脚本,思路为after=before+64,或者手动加工也可得到flag. caesar caesa.
2020ROARCTF-没人比我更懂签到题和问卷题队伍部分WP
晚安這個未知的世界
12-07 2164
前言 这次比赛我队伍就排第19名,感激队友们直接把我带飞了,真的很感激我队友那天晚上一声不出给我解开了两道web题,真的让我惊讶了,真的太强了,但是由于我这次没注意到细节,给队友拖后腿了,忘记了虚拟机之前移除了声卡和调了静音,这样MISC第三题一血就这样离我而去了。。。。呜呜呜 MISC——签到题 查看源码,有提示/?url,猜测是ssrf,利用file协议读取/www/html/index.php源码,发现过滤了flag,可以用二次编码直接绕过读取flag ?url=file:///%2566lag M
ROARCTF部分WP
Sakura给爷pwn全场
12-08 343
链接:https://mp.weixin.qq.com/s?__biz=MzU3ODc2NTg1OA==&mid=2247485804&idx=1&sn=15b8b99fc9cdca98d5fa99484b776063&chksm=fd711c21ca0695374a191994b75b563b1a7604b70aa3c0b0251e78721f5a24de8ff85f85284f&mpshare=1&scene=23&srcid=1207vysHlx
Roarctf 题解
qq_41071646的博客
10-17 841
这次Roarctf 很可惜 ,,, 不过这次也算做出来了一些题目 决心把不会的题目好好看看 会的写到这篇博客 不会的保存下来 以后留下来好好看看,, 估计需要几天更新 这几天都有些忙 = = RE: polyre 这个题目ollvm 如果不用脚本 就直接走远了,800多行代码 ,, 顶不住,。。 用 deflat 搞一下 去除后的效果 __int64 _...
[BUUCTF]PWN——roarctf_2019_easy_pwn(详解)
mcmuyanga的博客
12-18 2432
roarctf_2019_easy_pwn 附件 步骤: 例行检查,64位程序,保护全开 试运行一下程序,看看大概的情况,经典的堆块的菜单 64位ida载入,改了一下各个选项的函数名,方便看程序(按N) add edit free show 这道题通过 offbyone来构造重叠chunk,达到任意地址分配chunk的效果,然后修改__realloc_hook地址处的内容为one gadget地址,修改malloc_hook地址处的内容为ralloc函数的地址+x 我们先申
【picoCTF2022】Crypto部分
Sparks_Pion的博客
03-27 764
basic-mod1 str = '128 63 242 87 151 147 50 369 239 248 205 346 299 73 335 189 105 293 37 214 333 137' d = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789_' print(''.join([d[int(x) % 37] for x in str.split(' ')])) basic-mod2 from gmpy2 import * from sympy import inv
spring-security-crypto-5.6.1-API文档-中文版.zip
05-04
赠送jar包:spring-security-crypto-5.6.1.jar; 赠送原API文档:spring-security-crypto-5.6.1-javadoc.jar; 赠送源代码:spring-security-crypto-5.6.1-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
commons-crypto-1.0.0-API文档-中文版.zip
05-02
赠送jar包:commons-crypto-1.0.0.jar; 赠送原API文档:commons-crypto-1.0.0-javadoc.jar; 赠送源代码:commons-crypto-1.0.0-sources.jar; 赠送Maven依赖信息文件:commons-crypto-1.0.0.pom; 包含翻译后的API...
sm-crypto-master.zip
12-17
国密算法SM2公私钥加解密及签名验签以及前端js sm-crypto,附件说明及参考及测试方法;
sm-crypto-js:用于 SM 加密算法的 JavaScript 库
05-31
sm-crypto-js JavaScript Library for SM Crypto Algorithms npm install --save git+https://github.com/bianjieai/sm-crypto-js.git sm2 获取密钥对 const sm2 = require('sm-crypto').sm2 let keypair = sm2....
RoarCTF_Web_Writeup
Lethe's Blog
10-24 1117
周末有点事,BUUCTF上复现一下… easy_calc 这一题的界面和国赛的lova_math一题一样,应该是从那题改的。 源码中提示了这题加了waf,我们访问calc.php,看到源码如下 num传入表达式,然后用eval()计算并输出,因为加了waf所以num中如果有字母,会直接返回403,所以第一步就是绕过它。 这里可以利用HTTP请求走私来绕过,关于该漏洞可参考这篇文章:协议层的攻击...
NCTF Crypto WriteUp
weixin_43773570的博客
01-01 566
http://ctf.nuptzj.cn/challenges Crypto篇: 第一题、第二题、第七题和CG-CTF一样,不写了… 第三题: 说了全家桶,那就python跑吧… Flag:nctf{base64_base32_and_base16} 150分到手 第四题: 鬼知道进行了几次… 首先把base.txt中的回车都搞了,Notepad++吧,嗯。\r\n替...
RoarCTF2019 easy Java
zydbk123456的博客
04-26 534
1.尝试登录 打开实例,首先出现了一个登录页面。考虑账号用admin,密码先尝试几个登录。提示wrong password,但是,这个页面的密码可以直接用暴力破解的方法得到。得出来用户名是admin,密码是admin888。 登录过去发现页面"flag is not here",页面没有啥有用的信息,回到登录页面,发现有个help链接。进去,发先报错 “java.io.FileNotFoundE...
2020CTF笔记crypto部分
热门推荐
Love&Share
04-02 1万+
准备工作 安装python2、3共存环境 1.检查环境变量,缺少的我们需要添加。先找到环境变量的位置。 在Path环境变量中检查以下4个变量(Path中的环境变量是以分号隔开的): 1.c:\Python27 2.c:\Python27\Scripts 3.c:\Python33 4.c:\Python33\Scripts 少哪个加哪个,注意分号隔开。 2.然后进入Python2.7安装目录找到如...
微信小程序国密算法实现库sm-crypto
03-29
其中: SM1 为对称加密。其加密强度与AES相当。该算法不公开,调用该算法时,需要通过加密芯片的接口进行调用。 SM2为非对称加密,基于ECC。该算法已公开。由于该算法基于ECC,故其签名速度与秘钥生成速度都快于RSA...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值