[羊城杯 2020]Simple extend wiener attack

最新推荐文章于 2023-05-05 22:01:10 发布
最新推荐文章于 2023-05-05 22:01:10 发布
阅读量619 收藏
点赞数
分类专栏: 密码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62506844/article/details/125648596
版权

python 密码学 
from Crypto.Util.number import *
from Crypto.Cipher import DES
import gmpy2
from secret import flag
import random

key = "abcdefgh"

def des_encrypt(m):
    des = DES.new(key, DES.MODE_ECB)
    res = des.encrypt(m)
    return res

def gen_key():
    p = getPrime(2048)
    q = getPrime(2048)
    n = p * q
    bit = n.bit_length()
    phi_n = (p - 1) * (q - 1)
    num = random.randint(1, 100)
    while True:
        u = getPrime(bit / 4 - num)#924-1023   e公钥
        if gmpy2.gcd(u, phi_n) != 1:
            continue
        t = gmpy2.invert(u, phi_n)#d 私钥
        e = bytes_to_long(des_encrypt(long_to_bytes(t)))
        if gmpy2.gcd(e, phi_n) == 1:
            break
    return (n, e)

P = getPrime(1024)
Q = getPrime(1024)
N = P * Q
E = 65537
lcm = gmpy2.lcm(P-1, Q-1)
e1 = gmpy2.invert(getPrime(730), lcm)
e2 = gmpy2.invert(getPrime(730), lcm)
m = bytes_to_long(flag)
c = pow(m, E, N)
print "N = " + str(N)
print "e2 = " + str(e2)
print "c = " + str(c)
_n, _e = gen_key()
_c = pow(e1, _e, _n)
print "_n = " + str(_n)
print "_e = " + str(_e)
print "_c = " + str(_c)

# N = 14922959775784066499316528935316325825140011208871830627653191549546959775167708525042423039865322548420928571524120743831693550123563493981797950912895893476200447083386549353336086899064921878582074346791320104106139965010480614879592357793053342577850761108944086318475849882440272688246818022209356852924215237481460229377544297224983887026669222885987323082324044645883070916243439521809702674295469253723616677245762242494478587807402688474176102093482019417118703747411862420536240611089529331148684440513934609412884941091651594861530606086982174862461739604705354416587503836130151492937714365614194583664241
# e2 = 27188825731727584656624712988703151030126350536157477591935558508817722580343689565924329442151239649607993377452763119541243174650065563589438911911135278704499670302489754540301886312489410648471922645773506837251600244109619850141762795901696503387880058658061490595034281884089265487336373011424883404499124002441860870291233875045675212355287622948427109362925199018383535259913549859747158348931847041907910313465531703810313472674435425886505383646969400166213185676876969805238803587967334447878968225219769481841748776108219650785975942208190380614555719233460250841332020054797811415069533137170950762289
# c = 6472367338832635906896423990323542537663849304314171581554107495210830026660211696089062916158894195561723047864604633460433867838687338370676287160274165915800235253640690510046066541445140501917731026596427080558567366267665887665459901724487706983166070740324307268574128474775026837827907818762764766069631267853742422247229582756256253175941899099898884656334598790711379305490419932664114615010382094572854799421891622789614614720442708271653376485660139560819668239118588069312179293488684403404385715780406937817124588773689921642802703005341324008483201528345805611493251791950304129082313093168732415486813
# _n = 440489238264900860776949063845200558734341182253911040104689726634414488997095518284964514078079911856352824174173937251558842251349762631716798307360995414545464514355957499460396352456341058329671470384493547042182238690727766731554287411757022792467324815342497916894285866240516524768645049867582541899123632009100512965460004548382054578461249990158442675234477122521189649316341623637146867589119951831385717513964941787562068891523060843170463600255518728070958509224053460041184869943038887434435024428311063533345514827827485121055022245800823723487812635502090530820946638405345755666124356919178290008475459419571761406117827422883820901663916276191422633940699113760516149002609672230610575442643822241126824287790055264162725209120192661985259423924307785452001927701323647247782658775780117642900694831475681037634691806232211286493187121464506122012889644137364079403183353774265910554863733455161820449073656744610495110838881353269890437984975607744603113572453211439334880155671730821755361054781243639407912133971530394031933785051770725331242932929244719594830548310768937037042243794551163891451545574837838357398072638709907958216067999891842395376953596940377457308329336524488962532620850237570279134567668379
# _e = 861605654852236668414010386016782729745549477722901970933220380452652052018502113737968204529790495739233258572209422774257139256367928649554562561889013164344608269555777150446651170697255381344437283003508476336814132594917061838422072660017477530465048729471603537912401826065081663165440462979219418291010867656746870617893935758241591032350010782861988742885918015532494020406350897048575155800941991107973433915573030255070411073793489218782862225921465295055907689734413881263179029741870520797816282420230090879687287575328294171448819803530205292587159921154471289747571107461754730577787617451127061265552788125691266357724955508391085485034126227212788895416902189479587194999818764639403752596165043883295506465916277734482380252399557395621566461322664559344483889187037851178431011220134914560438657522787409632677020269086895142488669203469256629173438313487046130238010206678820035631793666627274457756812810094004185303422637897314225624079032617334487815628021058997628511963565055629435278956251869329025544623291223984190562109149316159243565323565271491356378189561005084676592786453581431393651385181326525455441155960432946682976515756161038293313433862078763004704003356983371787414787104076401121444383911561
# _c = 305937839546594439230463861584604201077374759167468410827830943528403007941779658881672477705113617614828611332427199124217887937391378281943856159571057598203709366891547401974326016980711130197275312149966105151573748299654404630150641461765232935912266448303266990247145252052886920248198006212876273661195636104435277145396636985516064154534488750879453474211852461463041960835745695368577903786702607508492658563272121038693371752289017330781719235752018697635304458321008407930986565779826278048082764754367267460637798512780153281325733348999426407049795270044819657399403071013496169060640127279409914638535996355848933378734045908205536540619564723586905257569498716707820544351092379516465943537383422680357333849248129118148543389733395686399565999586899123087310025442994131218237679518267106194962305629529210402269726736072967966518381350920965727690274018080619332676536005722214955949897632990356174168234408837737546230730400434240785496100281815168806724358191550743656843853383646410487436540166360406982096949178466861150173527305369007546917550634679211293496458282787881244581230558011582720632502886494712233308474151958909251857281750741736910202763888790654287328846201724930302778996046434656839999091303411

代码审计:

已知key,可以根据_e来恢复t,发现t很大,直接用wiener attack来得到u,已知u和t,又根据

t = gmpy2.invert(u, phi_n)  关系类似于 d=gmpy2.invert(e, phi_n) 而在rsa中已知n、e、d是可以分解n 的,由此得到p、q,然后就可以求解e1。

现在的问题就成了已知e1,e2,并给出以下两个方程:

e1 = gmpy2.invert(getPrime(730), lcm)
e2 = gmpy2.invert(getPrime(730), lcm)

 根据这个来分解n

我的想法:

上式可以写为:

e1*t1 \equiv 1 (mod(lcm))

e2*t2 \equiv 1 (mod(lcm))

所以有

e1*t1=k*lcm+1

e2*t2=k*lcm+1

因为两组式子中e和lcm阶数相差很小,所以在

\frac{lcm}{e1}\approx \frac{t1}{k}  式中,我认为lcm/e1的值在1000以内,且lcm\approx \frac{e1*t1}{k},

所以t1/k1的值与lcm/e1近似,所以

\frac{e1*t1}{k1}\approx \frac{e2*t2}{k2}

由此有了爆破出t1/k1,t2/k2的可能性

但是由于在python中小数和一个大整数相乘无法处理,只能无奈取看看wp

看到此题考查的是扩展维纳攻击,在ctfwiki上可以看到

 这里和我的想法有些许的相同之处,想用连分数的方法来求得k1d2并分解,但仅仅凭此好像还没有号的方法来求出k1,d2。

我们来看下面介绍的扩展维纳攻击

相比ctfwiki,我找到一篇更好的讲解:

密码学硬核笔记——扩展维纳攻击_Gm1y的博客-CSDN博客_扩展维纳攻击

首先我们知道

                                                    edg=k(p-1)(q-1)+g

令  s=1-p-q

所以                                            edg-kN=g+ks (W)

这里讨论当对于一个N来说有两个e_{i}的情况,且都对应较小的d_i,可以得到:

                                                                                                                                                                                  化简后,得到

e_1d_1k_2-e_2d_2k_1=k_2-k_1   (G(1,2))

W*k2:

e_1d_1gk_2-k_1Nk_2=gk_2+k_1sk_2

W1W2:

d_1d_2g^2e_1e_2-d_1gk_2e_1N-d_2gk_1e_2N+k_1k_2N^2=(g+k_1s)(g+k_2s)

从而构造出都是已知数的矩阵L:

       

 (球球教教孩子怎么在csdn上敲这些东西啊,不会啊)

得到:

 可知,如果B是格L的最短向量的话,就可以通过LLL算法求解

我们设                                                             

 d_i\approx N^{\alpha}

那么

 根据Minkowoski 's first theorem,只有满足:

                                                \lambda _1(L)<=\sqrt{n}det(L)^{\frac{1}{n}}

才可以称作是最短向量:

但是将右边计算得到N,但是∥B∥>N,因此我们需要对矩阵的列乘上一个倍数:

M_1=N^{\frac{1}{2}},M_2=N^{1+\alpha},将M1,M2乘到第二列和第三列,将N乘到第一列,得到

 所以:

 要使得不等式成立,需要

 得到                               

        `                                                          \alpha<=\frac{5}{14}

 求出了alpha,带入M2,用LLL算法求出最短向量B2,乘上L2的逆求出A,利用A的前两项求出phi

下面我们对以上扩展维纳进行复现:

我们前面已经求出了e1

给出后半部分的扩展维纳攻击,需要用到sagemath:

e1=114552459553730357961013268333698879659007919035942930313432809776799669181481660306531243618160127922304264986001501784564575128319884991774542682853466808329973362019677284072646678280051091964555611220961719302320547405880386113519147076299481594997799884384012548506240748042365643212774215730304047871679706035596550898944580314923260982768858133395187777029914150064371998328788068888440803565964567662563652062845388379897799506439389461619422933318625765603423604615137217375612091221578339493263160670355032898186792479034771118678394464854413824347305505135625135428816394053078365603937337271798774138959
N = 14922959775784066499316528935316325825140011208871830627653191549546959775167708525042423039865322548420928571524120743831693550123563493981797950912895893476200447083386549353336086899064921878582074346791320104106139965010480614879592357793053342577850761108944086318475849882440272688246818022209356852924215237481460229377544297224983887026669222885987323082324044645883070916243439521809702674295469253723616677245762242494478587807402688474176102093482019417118703747411862420536240611089529331148684440513934609412884941091651594861530606086982174862461739604705354416587503836130151492937714365614194583664241
e2 = 27188825731727584656624712988703151030126350536157477591935558508817722580343689565924329442151239649607993377452763119541243174650065563589438911911135278704499670302489754540301886312489410648471922645773506837251600244109619850141762795901696503387880058658061490595034281884089265487336373011424883404499124002441860870291233875045675212355287622948427109362925199018383535259913549859747158348931847041907910313465531703810313472674435425886505383646969400166213185676876969805238803587967334447878968225219769481841748776108219650785975942208190380614555719233460250841332020054797811415069533137170950762289
c = 6472367338832635906896423990323542537663849304314171581554107495210830026660211696089062916158894195561723047864604633460433867838687338370676287160274165915800235253640690510046066541445140501917731026596427080558567366267665887665459901724487706983166070740324307268574128474775026837827907818762764766069631267853742422247229582756256253175941899099898884656334598790711379305490419932664114615010382094572854799421891622789614614720442708271653376485660139560819668239118588069312179293488684403404385715780406937817124588773689921642802703005341324008483201528345805611493251791950304129082313093168732415486813

a=5/14
M1=int(N^0.5)
M2=int(N^(1+a))

L2=Matrix(ZZ,[[N,   -M1*N,   0    ,    N^2],
			 [0,    M1*e1,  -M2*e1,  -e1*N],
			 [0,        0,   M2*e2,  -e2*N],
			 [0,        0,       0,  e1*e2]])

B=L2.LLL()[0]
A=B*L2^(-1)

phi=(e1*A[1]//A[0])
d=gmpy2.invert(int(E),int(phi))
m=int(pow(c,d,N))

print(long_to_bytes(m))

 我们讨论完了已知两个e的情况,在ctfwiki上,有三组、四组甚至更多组,在明白原理后可以自行推到。难点主要在矩阵的alpha的选取上。反正我是看不明白,嘿嘿开溜。

Paintrain
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTF-RSA_维纳攻击脚本
fengerxi33的博客
02-18 1647
CTF-RSA_维纳攻击脚本 低解密指数攻击 维纳攻击:e指数很大(理论上d<N**0.25此攻击起作用) 本节的脚本主要参考 https://github.com/pablocelayes/rsa-wiener-attack 出题脚本 随机生成flag import random import hashlib import string #字符串列表 a=string.printable #随机生成flag for i in range(10): flag = "" for i i
密码学硬核笔记——扩展维纳攻击
Gm1y's Blog
11-17 5355
前言 这题遇到了Extending Wiener’s attack,因此写一篇博客来学习学习。
2022-04-05
m0_57291352的博客
04-05 838
[羊城 2020]Simple from Crypto.Util.number import * from Crypto.Cipher import DES import gmpy2 from secret import flag import random key = "abcdefgh" def des_encrypt(m): des = DES.new(key, DES.MODE_ECB) res = des.encrypt(m) return res def gen_
buuctf[羊城 2020]Simple
qq_38060946的博客
03-09 404
维纳攻击、拓展维纳攻击
[羊城 2020]easyre
m0_46296905的博客
04-21 1028
题目:[羊城 2020]easyre 64位无壳程序 ida64打开查看伪代码: int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax int v4; // eax int v5; // eax int result; // eax char Str[48]; // [rsp+20h] [rbp-60h] BYREF char Str1[64]; // [rsp+50h]
Extend_sometimeqkd_Extend_
09-30
标题“Extend_sometimeqkd_Extend_”和描述“el programa de simulacion de extend”提到了一个名为“extend”的模拟程序,很可能是在探讨量子密钥分发(Quantum Key Distribution, QKD)中的某个扩展或增强技术。...
jQuery的extend方法【三种】
11-26
jQuery的`extend`方法是其库中非常关键的一部分,它提供了合并对象、扩展功能和实现继承的能力。在面试中,熟悉`extend`的用法对于理解jQuery的核心机制至关重要。接下来,我们将深入探讨`extend`的三种主要用法。 ...
详解jQuery插件开发中的extend方法
10-26
在jQuery插件开发中,`extend`方法是一个非常关键的工具,用于合并多个对象的属性和方法。这个方法允许开发者将自定义的功能扩展到jQuery核心或jQuery对象的实例上,从而实现插件功能的定制。 首先,让我们深入理解...
Django模板继承 extend标签实例代码详解
10-16
在本例中,`extend`标签被用来实现模板继承。首先,我们看到一个名为`base.html`的基础模板,其中包含了页面的基本结构,如页头、页脚、以及一个用于放置具体内容的区块`{% block content %}{% endblock %}`。`{% ...
angular.extend方法的具体使用
08-29
Angular.extend方法的具体使用 angular.extend方法是AngularJs框架中的一个重要方法,主要用来将一个或多个对象中的方法和属性扩展到一个目的对象中,使得这个对象拥有其他对象相同的方法和属性。该方法的使用可以...
2020YCBCTF:2020羊城官方writeup及
03-24
20202020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
rsa-wiener-attack:Wiener 针对小密钥的 RSA 攻击
05-31
rsa-wiener-attack Wiener 针对小密钥的 RSA 攻击
RSA进阶之维纳攻击(wiener-attack )
weixin_30716141的博客
11-06 8438
维纳攻击: 场景:e很大 例题: 第七届山东网络安全技能大赛 链接:https://pan.baidu.com/s/1IRInw3pB7SQfp3MxRJW17A 提取码:lcn3 e很大,妥了,维纳攻击。 脚本在github上。 https://github.com/pablocelayes/rsa-wiener-attack 这个脚本用起来很简单,不过一开始我还是花了点时间。...
BUUCTF[羊城 2020]easyre
yidalipao1的博客
05-10 811
64位无壳程序 IDA64打开 main函数: int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax int v4; // eax int v5; // eax char Str[48]; // [rsp+20h] [rbp-60h] BYREF char Str1[64]; // [rsp+50h] [rbp-30h] BYREF char v9[64]; //...
[羊城 2020]RRRRRRRSA
MangoFengC++
06-26 441
[羊城 2020]RRRRRRRSA
维纳攻击
weixin_44328931的博客
04-26 204
从题目上看就知道要利用维纳攻击了,下载了附件之后是一个py文件,打开后就是这样的 不难看出代码的最后有三行代码是对程序无影响的,后面就从github上找维纳攻击的代码把这三行代入就可以运行了 这题啥也不会,全瞎bb,求大佬教 ...
[羊城 2020]GMC
m0_57291352的博客
08-22 312
[羊城 2020]GMC 题目 from Crypto.Util.number import getPrime,bytes_to_long,getRandomNBitInteger from secret import flag from gmpy2 import gcd def gmc(a, p): if pow(a, (p-1)//2, p) == 1: return 1 else: return -1 def gen_key(): [
[羊城 2020]EasySer
SopRomeo的博客
05-22 3233
这题出的挺离谱的,记一下 进去是这个页面,扫一波目录,得到robots.txt,又得到/star1.php 尝试ssrf访问 <?php error_reporting(0); if ( $_SERVER['REMOTE_ADDR'] == "127.0.0.1" ) { highlight_file(__FILE__); } $flag='{Trump_:"fake_news!"}'; class GWHT{ public $hero; public functi
RSA--维纳攻击--代码和题目分析
Emmaaaaa's blog
05-05 3647
核心连分数
extend
最新发布
06-01
`extend` 是 Python 中列表(list)对象的一个方法,用于将一个列表中的所有元素追加到另一个列表的末尾。 例如,假设我们有两个列表 `list1` 和 `list2`,我们可以使用 `extend` 方法将 `list2` 中的所有元素添加...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Paintrain

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值