2022-03-09

已于 2022-04-04 21:57:48 修改
阅读量368 收藏
点赞数 1
文章标签: python
于 2022-03-09 11:21:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57291352/article/details/123369990
版权

d3factor

(来源:AntCTF & Dˆ3CTF 2022)

from Crypto.Util.number import bytes_to_long, getPrime
from secret import msg
from sympy import nextprime
from gmpy2 import invert
from hashlib import md5

flag = 'd3ctf{'+md5(msg).hexdigest()+'}'
p = getPrime(256)
q = getPrime(256)
assert p > q
n = p * q
e = 0x10001
m = bytes_to_long(msg)
c = pow(m, e, n)

N = pow(p, 7) * q
phi = pow(p, 6) * (p - 1) * (q - 1)
d1 = getPrime(2000)
d2 = nextprime(d1 + getPrime(1000))
e1 = invert(d1, phi)
e2 = invert(d2, phi)

print(f'c = {c}')
print(f'N = {N}')
print(f'e1 = {e1}')
print(f'e2 = {e2}')
'''
c = 2420624631315473673388732074340410215657378096737020976722603529598864338532404224879219059105950005655100728361198499550862405660043591919681568611707967
N = 1476751427633071977599571983301151063258376731102955975364111147037204614220376883752032253407881568290520059515340434632858734689439268479399482315506043425541162646523388437842149125178447800616137044219916586942207838674001004007237861470176454543718752182312318068466051713087927370670177514666860822341380494154077020472814706123209865769048722380888175401791873273850281384147394075054950169002165357490796510950852631287689747360436384163758289159710264469722036320819123313773301072777844457895388797742631541101152819089150281489897683508400098693808473542212963868834485233858128220055727804326451310080791
e1 = 425735006018518321920113858371691046233291394270779139216531379266829453665704656868245884309574741300746121946724344532456337490492263690989727904837374279175606623404025598533405400677329916633307585813849635071097268989906426771864410852556381279117588496262787146588414873723983855041415476840445850171457530977221981125006107741100779529209163446405585696682186452013669643507275620439492021019544922913941472624874102604249376990616323884331293660116156782891935217575308895791623826306100692059131945495084654854521834016181452508329430102813663713333608459898915361745215871305547069325129687311358338082029
e2 = 1004512650658647383814190582513307789549094672255033373245432814519573537648997991452158231923692387604945039180687417026069655569594454408690445879849410118502279459189421806132654131287284719070037134752526923855821229397612868419416851456578505341237256609343187666849045678291935806441844686439591365338539029504178066823886051731466788474438373839803448380498800384597878814991008672054436093542513518012957106825842251155935855375353004898840663429274565622024673235081082222394015174831078190299524112112571718817712276118850981261489528540025810396786605197437842655180663611669918785635193552649262904644919
'''

由于
e 1 ∗ d 1 m o d p h i = 1 e1*d1\quad mod\quad phi=1 e1d1modphi=1
e 2 ∗ d 2 m o d p h i = 1 e2*d2\quad mod\quad phi=1 e2d2modphi=1

e 1 ∗ e 2 ∗ ( d 1 − d 2 ) = e 2 − e 1 m o d p h i e1*e2*(d1-d2)=e2-e1 \quad mod \quad phi e1e2(d1d2)=e2e1modphi

d 1 − d 2 = ( e 2 − e 1 ) ∗ i n v e r t ( e 1 ∗ e 2 , p h i ) d1-d2 =(e2-e1)*invert(e1*e2,phi) d1d2=(e2e1)invert(e1e2,phi)

搜到W&M的WP
在这里插入图片描述
但是还是不明白为啥invert(e1*e2,N)可以直接用N,而不是phi

等官方WP

好的,搞明白了
有篇描述这类问题的文章

理论如下
在这里插入图片描述
还有个例子
在这里插入图片描述弄明白了
代码如下

sage: c = 24206246313154736733887320743404102156573780967370209767226035295988643385324042248792190591
....: 05950005655100728361198499550862405660043591919681568611707967
....: N = 14767514276330719775995719833011510632583767311029559753641111470372046142203768837520322534
....: 078815682905200595153404346328587346894392684793994823155060434255411626465233884378421491251784
....: 478006161370442199165869422078386740010040072378614701764545437187521823123180684660517130879273
....: 706701775146668608223413804941540770204728147061232098657690487223808881754017918732738502813841
....: 473940750549501690021653574907965109508526312876897473604363841637582891597102644697220363208191
....: 233137733010727778444578953887977426315411011528190891502814898976835084000986938084735422129638
....: 68834485233858128220055727804326451310080791
....: e1 = 4257350060185183219201138583716910462332913942707791392165313792668294536657046568682458843
....: 095747413007461219467243445324563374904922636909897279048373742791756066234040255985334054006773
....: 299166333075858138496350710972689899064267718644108525563812791175884962627871465884148737239838
....: 550414154768404458501714575309772219811250061077411007795292091634464055856966821864520136696435
....: 072756204394920210195449229139414726248741026042493769906163238843312936601161567828919352175753
....: 088957916238263061006920591319454950846548545218340161814525083294301028136637133336084598989153
....: 61745215871305547069325129687311358338082029
....: e2 = 1004512650658647383814190582513307789549094672255033373245432814519573537648997991452158231
....: 923692387604945039180687417026069655569594454408690445879849410118502279459189421806132654131287
....: 284719070037134752526923855821229397612868419416851456578505341237256609343187666849045678291935
....: 806441844686439591365338539029504178066823886051731466788474438373839803448380498800384597878814
....: 991008672054436093542513518012957106825842251155935855375353004898840663429274565622024673235081
....: 082222394015174831078190299524112112571718817712276118850981261489528540025810396786605197437842
....: 655180663611669918785635193552649262904644919
sage: a = (e2-e1)*inverse_mod(e1*e2,N)
sage: ZmodN = Zmod(N)
sage: p.<x> = PolynomialRing(ZmodN)
sage: f = x-a
sage: x0 = f.small_roots(X = 2^1000,beta = 0.4)
sage: d1_d2 = x0[0]
sage: p = gcd(x0[0]*e1*e2 - (e2-e1),N)
sage: p
302041005420039804788837973713898327221537364540217123524277085489425015387406302827931741511110799839253993542589980437030294737549654496720894473925249726898113670841165053274897225331487693822448903890664321018179858685020471572484115220669783927170647297629616743131628132318835058700355916820746650505209238111625956099990183829787016000154371928717007922683297772484179270642107118214144502646097942422343431687478702790785714060858198343943546186776012201

然后我就卡了,卡到了
在这里插入图片描述
不太明白为啥iroot()不能用

啊,我知道了,这是gmpy2里的函数,忘记导入库了
继续

sage: from gmpy2 import *
sage: p = iroot(int(p),6)[0]
sage: q = N//(p**7)
sage: p**7*q==N
True
sage: phi = (p-1)*(q-1)
sage: n = p*q
sage: e = 0x10001
sage: d = inverse_mod(e,phi)
sage: pow(c,d,n)
241315145717868965507118897136682379087725777007508595870730075127504766444100339916188490986308417023257111991510218526173748364840319314752531758
sage:

然后就出来了
在这里插入图片描述

无名函数
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Ant x D^3 CTF Official Writeup.pdf
03-22
Ant x D^3 CTF Official Writeup.pdf
IP地址库 UTFWry.dat(2022-03-09更新)
03-11
1、UTFWry.dat IP地址库 2、纯真数据库utf-8版 3、2022-03-09更新
AntCTF x D^3CTF MISC部分Writeup
末初的CSDN博客
03-08 1405
文章目录BadW3terWannaWacca BadW3ter 附件是wav,但是文件头有点问题,对比一下正常的wav即可发现前十六个字节被修改了 第一行的内容猜测也是个有用的线索: CUY1nw31lai 修改前十六个进制正常的wav文件头 然后测试几个常见的wav文件隐写:SilentEye、Deepsound等 稍微测试一下发现是DeepSound 输入前面的到线索作为密码。得到flag.png file识别文件发现flag.png是TIFF文件 PS可以选择打开TIFF文件 首先有两
AntCTF X D^3CTF shellgen2 题解
CODER的博客
03-20 477
文章目录1. 前言2. 题目描述3. 暴力的算法4. 优化思想4.1 节省变量个数4.2 Array中剩下的字母r、y怎么用起来4.3 变量名只能一堆下划线吗4.4 变量名怎么分配5. 编写代码6. 测试样例7. 后记 1. 前言 本题是一个misc题目,但其中涉及了一些PHP的知识,巧妙的用到了一些算法,笔者将分析本题的设计思想,并给出一个“较”完美的算法。 先来看题目,我们需要给一个php写的webshell,题目会输入一串随机小写字母串,如字符串S:skadkehqasbjkaskad,运行该webs
[DownUnderCTF 2022] crypto部分复现
weixin_52640415的博客
09-29 1027
DownUnderCTF 2022 crypto
D^3CTF MISC复现
qq_49422880的博客
04-04 681
D^3CTF MISC复现BadW3terWannaWacca BadW3ter 打开WAV文件发现文件头出现异常,好像是一段特殊的字符。 CUY1nw31lai 这个可能是之后的隐写密码,并且修改为正确的WAV文件头。 前十五个文件字节为:52494646C456E80057415645666D7420 然后测试几个常见的wav文件隐写:SilentEye、Deepsound 稍微测试一下发现是DeepSound。 导出的flag.png里面没有flag。继续查看这里面的东西。 使用010
eclipse-jee-2022-09-R-win32-x86-64.zip
10-13
eclipse-jee-2022-09-R-win32-x86_64.zip 适用于Windows x86_64
CtxLog_Edge_2022-03-07-09-38-22+0800.csv
05-10
CtxLog_Edge_2022-03-07-09-38-22+0800.csv
minio RELEASE.2022-05-26T05-48-41Z Windows版含mc
07-01
minio server,windows版本含mc,minio version RELEASE.2022-05-26T05-48-41Z, mc version RELEASE.2022-05-09T04-08-26Z。吐槽官网下载太慢了
intel CPU微码_最新微码2017-2022
05-05
cpu106A5_plat03_ver0000001D_2018-05-11_PRD_AB179397.bin cpu106E5_plat13_ver0000000A_2018-05-08_PRD_B16FCEEB.bin cpu206A7_plat12_ver0000002F_2019-02-17_PRD_8D15DF31.bin cpu206C2_plat03_ver0000001F_2018...
D3CTF2022-官方WriteUp1
08-03
D3CTF2022-官方WriteUp1
ant脚本通用模板 ant脚本通用模板
03-22
ant脚本通用模板ant脚本通用模板ant脚本通用模板ant脚本通用模板ant脚本通用模板
补档:D^3CTF 2021 - Misc - Robust WriteUp
weixin_44911246的博客
08-15 607
“Robust”意为“鲁棒性”。 打开cap.pcapng,发现都是QUIC协议的数据包。结合提供的firefox.log(即使用firefox浏览器访问时生成的SSL Key Log)可以想到基于QUIC协议且强制使用TLS 1.3的HTTP3。 导入SSL Key Log: 清晰可见HTTP3数据包。利用过滤器过滤出所有HTTP3数据包,然后从头查看: http3 可以明显看出,642号包之前的部分是在载入网页和JavaScript脚本。在第642号包处可以发现一个m3u8 playlist:
补档:D^3CTF 2021 - Misc - easyQuantum WriteUp
weixin_44911246的博客
08-15 283
cap.pcapng用Wireshark打开,清晰可见TCP的三次握手和四次挥手: 于是需要仔细分析中间的数据传输过程。 注意到某些数据包内有“numpy”等字符串: 于是想到可能是某种兼容Python的序列化方法。 又注意到有固定的头部数据: 而pickle序列化时也有固定的头部数据(协议版本4.0): 于是尝试利用pickle进行反序列化。示例如下: import pyshark import pickle cap = pyshark.FileCapture('cap.pcapng') t
D^3CTF2022 Crypto 复现
qq_41626232的博客
04-26 585
没什么师傅出后面题的wp什么的,题目质量确实高。
2019 D^3CTF unprintableV详细题解
seaaseesa的博客
11-30 1528
unprintableV 这是2019 d3ctf的一道pwn题,由于当时知识储备不够没做出来,赛后就好好研究,从中学到了新的知识 本题用到的知识有:ROP、stdout指针与stderr指针、栈迁移、格式化字符串漏洞 首先,我们检查一下程序的保护机制 除了canary,其它的保护都开了 然后,我们用IDA分析一下 这个沙箱函数,把execve函数给禁用了,所以,我们不能getsh...
AntCTF 2021 d3dev
yongbaoii的博客
01-26 240
绿 设备叫d3dev 两个id 一个mmio 一个pmio 结构体 看起来像tea #define DELTA 0x9e3779b9 void tea_encrypt(unsigned int* v, unsigned int* key) { unsigned int l = v[0], r = v[1], sum = 0; for (size_t i = 0; i < 32; i++) { //进行32次迭代加密,Tea算法作者的建议迭代次数 l += (((r &l.
D^3CTF(Crypto-D3bug详解 LFSR题目)
MangoFengC++
03-15 1098
D3bug详解(LFSR题目) Author: MangoFeng 题目 from Crypto.Util.number import * from secret import flag assert flag.startswith("D3CTF{") assert flag.endswith("}") message = bytes_to_long(flag[6:-1]) assert message < 2**64 mask = 0b10100100000010000000100010010100
2022-D^3CTF-Web-Writeup
feng的博客
03-07 5455
2022-D^3CTF-Web-Writeup 前言 比赛的时候做了shorter就摆烂了,正好有个作业拖到了周末别的题目就没怎么看。幸好比赛环境还保存1周,把Java给复现了,剩下3题看看wp学习学习不想复现了。别的题目的wp参考网上吧。 shorter rome反序列化,但是要缩短长度。 参考https://4ra1n.love/post/-IMSkqHfy/#%E5%88%A0%E9%99%A4%E9%87%8D%E5%86%99%E6%96%B9%E6%B3%95 但是最后还是长了。改用Jiang宝
查询支付日期在2022.3.20之后的购买商品超过一次的用户,投照最额购买时间例叙持列。 User_id Purchase_date Product_id 01 2022-03-09 00:00:00 02 02 2022-03-18 00:00:00 01 03 2022-03-20 00:00:00 03 02 2022-03-21 00:00:00 03 03 2022-03-22 00:00:00 02 01 2022-03-23 00:00:00 03 02 2022-03-23 00:00:00 03 01 2022-03-23 00:00:00 02
最新发布
05-31
WHERE Purchase_date > '2022-03-20' GROUP BY User_id HAVING COUNT(DISTINCT Product_id) > 1 ``` 该语句会查询购买日期在2022.3.20之后且购买商品超过一次的用户,并返回他们的用户ID和最近一次购买日期。最后,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值