CRYPTO [61dctf]cry Writeup(RSA已知p的高位攻击)

最新推荐文章于 2023-04-12 20:02:40 发布
最新推荐文章于 2023-04-12 20:02:40 发布
阅读量3.7k 收藏 11
点赞数 1
分类专栏: CTF 文章标签: 安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lostnerv/article/details/106009127
版权
  • 边学边做的大龄小白写了第一篇wp -.-

[61dctf]cry

题目来源:https://www.jarvisoj.com/challenges

Coppersmith攻击:已知p的高位攻击

  • 关键点:用SageMath 恢复RSA完整的p

题目给了源码,其中print如下信息:

    print "====welcome to cry system===="
    (p,q,n,e,d)=rsa_gen()
    print "give you the public key:"
    print "n:"+hex(n).replace("L","")
    print "e:"+hex(e).replace("L","")
    try:
        c=int(raw_input("give me the crypted message in hex:")[2:].strip(),16)
        m=pow(c,d,n)
    except:
        print "wrong input"
    print "your message is",num2str(m)

    flag=open("pathtoflag","r").read().strip()
    aes_key=urandom(16)
    iv=urandom(16)
    cf=aes_cbc_encode(aes_key,iv,pad16(flag))
    ck=pow(str2num(aes_key),e,n)
    civ = pow(str2num(iv), e, n)
    print "encrypted flag:"+cf.encode("base64")+'#'+hex(ck).replace("L","")+'#'+hex(civ).replace("L","")+'#'+hex(p).replace("L","")[2:182]+"##"

1. nc连上服务,根据提供的n、e,随意写个密文给服务器

    hex_m=str_m.encode("hex")
    c=pow(int(hex_m,16),e,n)
    print 'hex_c='+str(hex(c)).replace("L","")

回馈最终如下:

    encrypted flag:NkZJvVmju7Th59PChLXIT/c93tuE40SakEOywIPcH+c=
    #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
    #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
    #960da3751599d2cae3b4495115fe18333e9d7163963bd7fa120faf80eb6322815901743301865f09cd4966cab28f9067c0782eef385dca02636c14e54dffb07ffc348f2271c6d12f0382d4a71859df6d5cc57842b2b3000a1fe9##

给了180位16进制的p

2. 由源码 p = genprime(1024) 知p长1024,用Sage脚本,得10进制p

    n=xxxxxxxxx
    p=xxxxxxxxx
    
    pbits = 1024
    kbits = pbits-p.nbits()
    p=p<<kbits
    print "upper %d bits (of %d bits) is given" % (pbits-kbits, pbits)
    PR.<x> = PolynomialRing(Zmod(n))
    f = x + p
    x0 = f.small_roots(X=2^kbits, beta=0.4)[0]  # find root < 2^kbits with factor >= n^0.4
    print p+int(x0)

3. 源码给了好多函数可以直接利用,求d,解aes_key、iv出flag

    q =n/p
    d = primefac.modinv(e,(p-1)*(q-1)) % ((p-1)*(q-1))
    
    iv_m = pow(c_iv, d, n)
    iv=num2str(iv_m)
    
    aes_key_m = pow(c_aes, d, n)
    aes_key= num2str(aes_key_m)
    
    flag=aes_cbc_decode(aes_key,iv,flag16)
    print flag

参考了其他人的文章:
CTF中RSA的一些攻击思路
第三届强网杯之copperstudy
rsa高位攻击 恢复p

龙雪
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Crypto:两次对RSA的著名攻击的实现
05-06
加密货币 包含我对RSA的两种著名攻击的实现。 两种方法都采用RSA系统中公开可用的数字N和e,并使用它们通过发现d尝试破坏系统。 N = p * q(p和q是由设置RSA系统的用户/系统选择的素数)。 e是公共加密指数。 d是私有解密指数。 两种攻击的使用都受到限制,并不意味着能够破坏每种RSA加密。 他们俩都依靠在现实世界中随着时间推移而发生的弱点。 想法是尝试对大量密钥尝试这些方法之一,以找到可破坏的密钥。 这两种攻击早已为人所知,任何了解RSA的人都应该能够避免它们。 当人们真的不知道自己在做什么或者被误认为RSA永远不会被破坏时,就会出现问题。 ###### Pollard的攻击 ######维纳的进攻维纳%27s_attack ######关于代码的注释:大约1.5年前,我为数学课创建了这些代码。 该代码有点难看,但效果很好。 我清理了它们并添加了测试用例。 他们
【密码学RSArsa_p高位泄露(2021四川省数字创新赛题)
serendipity1130的博客
09-07 3065
1.题目: from Crypto.Util.number import getPrime, bytes_to_long FLAG = b"flag{}" def enc(m): return pow(m, e, N) if __name__ == "__main__": l = 256 p = getPrime(1024) N = p * getPrime(1024) e = 65537 a = (p >> l) <<
RSA已知高位攻击
m0_57291352的博客
10-09 8590
背景: rsa解密,已知e,n,c(其中n太大,分解不了),和p的高位或m的高位或d的高位 工具: sage (没下载的话,有个在线网站可用:https://sagecell.sagemath.org/) 基础知识: PR.<x> = PolynomialRing(Zmod(n)) 用于生成一个以x为符号的一元多项式环 f = x + p4 定义求解的函数 roots = f.small_roots(X=2^kbits, beta=0.4) 多项式小值根求解及因子分解,其中X表示求解根的上
p高位攻击
Emmaaaaa's blog
04-12 1231
三道p高位攻击题目,四种求p方法,都大同小异,放一起更好理解
CTF-RSA已知高低位的攻击
villons的博客
09-03 3071
目前看到的大多数题目wp都是知道部分高位,鲜有说高位低位各知道一部分的,除了上面那篇攻略。而这道题目则比上面那篇的题目简单一些。反正我初学碰壁,看到flag的时候也算扬眉吐气,遂来这里显摆一下自己的一点点所得。
61dctf writeup
quedgee
10-29 2755
admin打开页面发现。。。。就一个Hello World= =,查看源代码也无果,那么抓个包吧= = emmmm,发现什么也没有,那么就robots.txt看看吧,发现果然有东西 web.jarvisoj.com:32792/robots.txt 访问这个后发现。。。。flag{hello guest}。。。。嗯。。。被骗了,提交这个没有用 那么在这个页面抓个包,再改一次admin
RSA.zip_Crypto++_crypto RSA_crypto rsa_rsa_rsa加密
09-14
使用crypto++ v5.22大数库进行RSA加密解密的程序
rsa.rar_Crypto++_c++RSA函数_crypto rsa
09-21
rsa算法 CRYPTO 函数库 实现,注意编译时候把工程属性修改成使用MFC静态连接
Crypto++ DES和RSA算法的简单小demo
03-14
Crypto++是开源的C++数据加密算法库,支持如下算法:RSA、MD5、DES、AES、SHA-256等等。对于加密有对称加密和非对称加密。 使用Crypto++编译完成的库可在http://download.csdn.net/detail/wangweitingaabbcc/6217723...
BUUCTF 每日打卡 2021-5-18
weixin_52446095的博客
05-18 298
引言 果然当鸽子会上瘾。。。 上周五打的国赛24小时不间断就离谱 原本打算通宵打,结果发现到半夜能写的都写了(指就写了一道 200 分的 rsa) 槽点太多,一时不知道从哪开始吐了 总之鸽了三天,今天就肝(水)一期国赛的那道 rsa 吧(咕咕咕) [CISCN]rsa 加密代码如下: from flag import text,flag import md5 from Crypto.Util.number import long_to_bytes,bytes_to_long,getPrime assert
攻防世界 Crypto进阶 简单的rsa
qtL0ng的博客
06-01 3095
1、题目 #! /usr/bin/env python # -*- coding: utf-8 -*- from Crypto.Util.number import getPrime, long_to_bytes, bytes_to_long, isPrime, getRandomNBitInteger from libnum import invmod def destory(x, num): while True: dt = getRandomNBitInteger(num) r = x
RSA原理及其攻击方法
sinri的博客
07-10 4400
RSA原理及其攻击方法 RSA 基于一个简单的数论事实,两个大素数相乘十分容易,将其进行因式分解却是困难的 密钥产生: 1.选两个大素数p和q 2.计算n=p*q,欧拉函数*φ(n) =(p-1) (q-1) 3.选一整数e,满足1<e<φ(n),且gcd(φ(n),e)=1,即φ(n)与e互质 4.计算d,满足d *e≡1 mod φ(n),即d是e在模φ(n)下的乘法逆元,因为e与φ(n)互素,由模运算可知,它的乘法逆元一定存在(欧拉定理:若a与n互素,则a^φ(n)≡1 mod n) 5.
[61dctf] stheasy
Selukwe的博客
04-24 433
题目下载:ctf2.b93676be23733b2fcda3988c1133c1c1 解题思路: 是个 Linux 下的 ELF 文件,拖到 IDA 中分析,定位 main 函数,F5 看代码。 逻辑很简单,先输入 flag,然后重点在 if 语句的判断,也就是 sub_8048630 函数是对 flag 进行检查,双击进去。 s 就是输入的 flag,v1 显然是 flag 的长...
【jarvisoj刷题之旅】逆向题目[61dctf]stheasy的writeup
iqiqiya的博客
09-09 1005
直接载入IDA 看有没有什么可疑字符串   双击进入 双击进入引用 F5反汇编成c代码 经过分析可以看出sub_8048630()这个方法是关键 双击进入 经过分析   再将一些难看的变量名什么的修改下 就变成下图这个样子 分析可知s就相当于我们想要得到的flag   反过来我们可以通过已经有的a和b这两个数组来得到flag           第一步:求a[...
Jarvis OJ - Basic - veryeasyRSA(用实例详解RSA--超容易理解)
丫丫的博客
11-27 1512
最近在研究RSA,好久没更新了......翻了数论的欧拉-费小马-模反--等等..不研究清楚他们的联系和这题的原理实在不想直接做题啥也不懂....总结了wiki和各路大神的分析,先来一波数学基础知识: RSA加密算法是一种非对称加密算法。 对极大整数做因数分解的难度决定了RSA算法的可靠性。换言之,对一极大整数做因数分解愈困难,RSA算法愈可靠。假如有人找到一种快速因数分解的算法的话,那么用R...
Jarvisoj 逆向总结
Assassin
10-13 3821
因为本人是菜鸟,所以由简单但难的做了 [61dctf]androideasy 没什么可说的,直接反汇编打求一下密码 #_*_coding:utf-8_*_ a=[113, 123, 118, 112, 108, 94, 99, 72, 38, 68, 72, 87, 89, 72, 36, 118, 100, 78, 72, 87, 121, 83, 101, 39, 62, 94,...
crypto_combination2022(rsa综合)
耐酸碱高温固化材料近距离传输研究
10-14 241
【代码】crypto_combination2022(rsa综合)
RSA总结
ao52426055的博客
01-02 2838
常用工具 分解大素数 factordb http://www.factordb.com yafu(p,qp,q相差过大或过小yafu可分解成功) sage divisors(n)(小素数) Openssl 解析加密密钥: openssl rsa -pubin -text -modulus -in pub.key 生成解密密钥: python rsatool.py -f PEM -o key.key -p 1 -q 1 -e 1 openssl rsautl -decrypt -inkey key.pem
from Crypto.PublicKey import RSA
最新发布
07-08
这段代码是Python中用于导入RSA公钥加密模块的语句。RSA是一种非对称加密算法,公钥用于加密数据,私钥用于解密数据。在使用RSA加密算法时,需要生成一对公钥和私钥,将公钥分发给需要加密数据的用户,私钥保留在加密数据的用户手中。通过导入crypto.publickey模块中的rsa函数,可以使用Python语言实现RSA加密算法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值