ACTF2022 rsa leak

已于 2022-07-12 22:04:53 修改
阅读量1.1k 收藏 4
点赞数 3
分类专栏: 密码 文章标签: 密码学 python
于 2022-07-12 22:02:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62506844/article/details/125749013
版权

之前是不想写这个wp的,但是这两天突然想起来这道题发现没有留exp,怕下次遇到,浅记一下

from sage.all import *
from secret import flag
from Crypto.Util.number import bytes_to_long


def leak(a, b):
    p = random_prime(pow(2, 64))
    q = random_prime(pow(2, 64))
    n = p*q
    e = 65537
    print(n)
    print((pow(a, e) + pow(b, e) + 0xdeadbeef) % n)


def gen_key():
    a = randrange(0, pow(2,256))
    b = randrange(0, pow(2,256))
    p = pow(a, 4)
    q = pow(b, 4)
    rp = randrange(0, pow(2,24))
    rq = randrange(0, pow(2,24))
    pp = next_prime(p+rp)
    qq = next_prime(q+rq)
    if pp % pow(2, 4) == (pp-p) % pow(2, 4) and qq % pow(2, 4) == (qq-q) % pow(2, 4):
        n = pp*qq
        rp = pp-p
        rq = qq-q
        return n, rp, rq
    
n, rp, rq = gen_key()
e = 65537
c = pow(bytes_to_long(flag), e, n)
print("n =", n)
print("e =", e)
print("c =", c)
print("=======leak=======")
leak(rp, rq)

'''
n = 3183573836769699313763043722513486503160533089470716348487649113450828830224151824106050562868640291712433283679799855890306945562430572137128269318944453041825476154913676849658599642113896525291798525533722805116041675462675732995881671359593602584751304602244415149859346875340361740775463623467503186824385780851920136368593725535779854726168687179051303851797111239451264183276544616736820298054063232641359775128753071340474714720534858295660426278356630743758247422916519687362426114443660989774519751234591819547129288719863041972824405872212208118093577184659446552017086531002340663509215501866212294702743
e = 65537
c = 48433948078708266558408900822131846839473472350405274958254566291017137879542806238459456400958349315245447486509633749276746053786868315163583443030289607980449076267295483248068122553237802668045588106193692102901936355277693449867608379899254200590252441986645643511838233803828204450622023993363140246583650322952060860867801081687288233255776380790653361695125971596448862744165007007840033270102756536056501059098523990991260352123691349393725158028931174218091973919457078350257978338294099849690514328273829474324145569140386584429042884336459789499705672633475010234403132893629856284982320249119974872840
=======leak=======
122146249659110799196678177080657779971
90846368443479079691227824315092288065
'''

首先对于leak(rp,rq),可以通过某种手段,来找到rp和rq
n很小可以直接分解
首先是打表爆破:

from tqdm import tqdm
def de_leak():
    n=122146249659110799196678177080657779971
    p=8949458376079230661
    q=13648451618657980711
    e=65537
    c=90846368443479079691227824315092288065
    c=c-(0xdeadbeef%n)
    dict={}
    for rp in tqdm(range(1,2**24)):
        tmp=(c-pow(rp,e,n))%n
        dict[tmp]=rp
    for rq in tqdm(range(1,2**24)):
        tmp=pow(rq,e,n)
        if tmp in dict.keys():
            print(rq,dict[tmp])
            break

de_leak()

得到
rp=405771
rq=11974933
网上学到了一种新方法 中间相遇攻击

假设有两个函数,加密函数E和解密函数D,k1,k2分别是两次加密使用的密钥.
那么,当用户知道一对明文和密文时
攻击者可以枚举所有的 k1,将 P 所有加密后的结果存储起来,并按照密文的大小进行排序。(设第一次加密后的密文为P1)
攻击者进一步枚举所有的 k2,将密文 C 进行解密得到 C1。比对P1和C1,如果搜索到,则我们在一定程度上可以认为我们找到了正确的 k1 和 k2
因为是两面逼近的方式获得密码所以称为中间相遇攻击。

哇塞这个不就是打表爆破吗,还以为能学到新东西!!?
知道rp和rq后,可以参考论文 A New Attack on Special-Structed RSA Primes
伪代码:

论文节选
复现:

from math import ceil, floor
import gmpy2
from tqdm import tqdm
from Crypto.Util.number import long_to_bytes

rp=405771
rq=11974933
n = 3183573836769699313763043722513486503160533089470716348487649113450828830224151824106050562868640291712433283679799855890306945562430572137128269318944453041825476154913676849658599642113896525291798525533722805116041675462675732995881671359593602584751304602244415149859346875340361740775463623467503186824385780851920136368593725535779854726168687179051303851797111239451264183276544616736820298054063232641359775128753071340474714720534858295660426278356630743758247422916519687362426114443660989774519751234591819547129288719863041972824405872212208118093577184659446552017086531002340663509215501866212294702743
e = 65537
c = 48433948078708266558408900822131846839473472350405274958254566291017137879542806238459456400958349315245447486509633749276746053786868315163583443030289607980449076267295483248068122553237802668045588106193692102901936355277693449867608379899254200590252441986645643511838233803828204450622023993363140246583650322952060860867801081687288233255776380790653361695125971596448862744165007007840033270102756536056501059098523990991260352123691349393725158028931174218091973919457078350257978338294099849690514328273829474324145569140386584429042884336459789499705672633475010234403132893629856284982320249119974872840
#rp,rq=rq,rp
begin=ceil((rp*rq)^0.5)
end=floor(rq/2+2*rp+1)
for i in tqdm(range(begin,end)):
    sigma=(isqrt(n)-i)^2
    z=(n-rp*rq)%sigma
    delta=z^2-4*sigma*rp*rq
    if delta<0:
        continue
    if isqrt(delta)**2==delta:
        x1=(z+int(isqrt(delta)))/2
        p=int(n//((x1//rq+rp)))
        if n%p==0:
            q=n//p
            break
        x2=(z-int(isqrt(delta)))/2
        p=int(n//((x2//rp)+rq))
        if n%p==0:
            q=n//p
            break

phi=(p-1)*(q-1)
d=gmpy2.invert(e,phi)
m=pow(c,d,n)
print(long_to_bytes(int(m)))

下面给出不用论文的wp:
每次复现论文都不知道如何确定一个数的精度,相比之下我感觉这个方法要常规许多,也许更加符合ctf的解题思路
显然p和q要比rp和rq大许多,我们直接对n开四次方就得到了a*b
已知:
p p = p + r p pp=p+rp pp=p+rp q q = q + r q qq=q+rq qq=q+rq n = p p ∗ q q = p q + p ∗ r q + q ∗ r p + r p ∗ r q = ( a b ) 4 + a 4 ∗ r q + b 4 ∗ r p + r p ∗ r q n=pp*qq=pq+p*rq+q*rp+rp*rq=(ab)^4+a^4*rq+b^4*rp+rp*rq n=ppqq=pq+prq+qrp+rprq=(ab)4+a4rq+b4rp+rprq
所以:
n − ( n 4 ) 4 − r p ∗ r q = a 4 ∗ r p + b 4 ∗ r q = p ∗ r q + q ∗ r p n-(\sqrt[4]{n})^4-rp*rq=a^4*rp+b^4*rq=p*rq+q*rp n(4n )4rprq=a4rp+b4rq=prq+qrp
两边同时乘p
( n − ( n 4 ) 4 − r p ∗ r q ) ∗ p = p 2 ∗ r q + n ∗ r p (n-(\sqrt[4]{n})^4-rp*rq)*p=p^2*rq+n*rp (n(4n )4rprq)p=p2rq+nrp
左边的值已知,整理得到
r p ∗ p 2 − t ∗ p + n ∗ r p = 0 rp*p^2-t*p+n*rp=0 rpp2tp+nrp=0
求解二次方程即可得到p

import gmpy2
rp,rq=405771,11974933
n = 3183573836769699313763043722513486503160533089470716348487649113450828830224151824106050562868640291712433283679799855890306945562430572137128269318944453041825476154913676849658599642113896525291798525533722805116041675462675732995881671359593602584751304602244415149859346875340361740775463623467503186824385780851920136368593725535779854726168687179051303851797111239451264183276544616736820298054063232641359775128753071340474714720534858295660426278356630743758247422916519687362426114443660989774519751234591819547129288719863041972824405872212208118093577184659446552017086531002340663509215501866212294702743
ab=int(gmpy2.iroot(n,4)[0])
a_4,b_4=var('a_4 b_4')
r=solve([a_4*b_4-ab^4,(a_4+rp)*(b_4+rq)-n],[a_4,b_4])[1]
print(r)
# [a_4 == 70102828721558534948345339875672972694466981761923685698221464095350842567073878119031031001553580576396374042398681177813432211192009435021654721839600881033401700453496031215200878726773965083072958368869100670943702515680428810181896567941226764174676649752402094845184768854288495448882912408034163036416, b_4 == 45412915496099851216618901310768894310584095399914513550903694354875119254073464201324397609041971419465018896956786021330038801780511592201795793118669826074313642092350150811064582048553811833181582093091649655549475320526152216592300774144665572210409104781712067015180667377938234003697976545066894141456]
from Crypto.Util.number import *
n = 3183573836769699313763043722513486503160533089470716348487649113450828830224151824106050562868640291712433283679799855890306945562430572137128269318944453041825476154913676849658599642113896525291798525533722805116041675462675732995881671359593602584751304602244415149859346875340361740775463623467503186824385780851920136368593725535779854726168687179051303851797111239451264183276544616736820298054063232641359775128753071340474714720534858295660426278356630743758247422916519687362426114443660989774519751234591819547129288719863041972824405872212208118093577184659446552017086531002340663509215501866212294702743
e = 65537
c = 48433948078708266558408900822131846839473472350405274958254566291017137879542806238459456400958349315245447486509633749276746053786868315163583443030289607980449076267295483248068122553237802668045588106193692102901936355277693449867608379899254200590252441986645643511838233803828204450622023993363140246583650322952060860867801081687288233255776380790653361695125971596448862744165007007840033270102756536056501059098523990991260352123691349393725158028931174218091973919457078350257978338294099849690514328273829474324145569140386584429042884336459789499705672633475010234403132893629856284982320249119974872840
a_4=70102828721558534948345339875672972694466981761923685698221464095350842567073878119031031001553580576396374042398681177813432211192009435021654721839600881033401700453496031215200878726773965083072958368869100670943702515680428810181896567941226764174676649752402094845184768854288495448882912408034163036416
p=a_4+rp
q=n//p
print(long_to_bytes(int(pow(c,gmpy2.invert(e,(p-1)*(q-1)),n))))
Paintrain
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
RSA的dp泄露 —— 【WUST-CTF2020】leak
Ve99tr’s Blog
03-30 4709
RSA的dp泄露 && gmpy2安装
RSA-CRT leaks__因使用中国余数定理计算RSA所引起的私钥泄露
weixin_33725722的博客
10-24 381
在heartbleed[1]漏洞后,很多用户打开了PFS[2]功能。但很不幸,之后RedHat又报告出在多个平台上存在RSA-CRT导致的密钥泄露[3]。 中国余数定理(CRT)常被用在RSA的计算中,用以加快加解密的速度。但是因为一些原因,在RSA-CRT的计算过程中可能发生某些错误。如果一些特殊配置如PFS被打开,攻击者可能由此获取服务器的秘钥。 Referenc...
CTF中常见Web源码泄露总结
大方子
10-04 2213
0x01 .hg源码泄漏 漏洞成因:   hg init的时候会生成.hg &lt;span class="pln"&gt;e&lt;/span&gt;&lt;span class="pun"&gt;.&lt;/span&gt;&lt;span class="pln"&gt;g&lt;/span&gt;&lt;span class=&qu
[2022安恒夏令营] 5个小题
weixin_52640415的博客
08-02 1316
2022 安恒夏令营线上预告赛
[祥云杯 2022] crypto部分
weixin_52640415的博客
11-03 1607
祥云杯 2022 crypto部分 DLP 等
【CTFHub】leak canary
麦芽雪冷萃
06-18 289
程序的逻辑很简单,进行两次输入输出。第一次输入时,我们可以利用格式化字符串漏洞拿到`canary`的值,第二次输入时,我们可以利用栈溢出漏洞,填充足够的`padding`并保证`canary`的值不被覆盖,最后劫持程序执行`shell()`。
matlab的90个实例.rar_actf8x_matlab基础知识的90个实例
09-24
MATLAB(Matrix Laboratory)是一种强大的数学计算软件,广泛应用于工程计算、数据分析、算法开发和图形化界面构建等领域。本资源“matlab的90个实例.rar”提供了MATLAB的基础知识,通过90个实例帮助初学者掌握其...
光立方888 573 2803程序
06-14
光立方是一种创新的LED显示技术,它通过三维立体排列的LED灯珠,形成一个透明、可编程的灯光展示装置。这种技术广泛应用于艺术展览、舞台效果、广告展示等领域,因其独特的视觉效果和高度的可定制性而备受青睐。...
潞安矿区高河井田构造样式探讨
06-24
高河井田位于沁水块坳东南部,主要含煤地层包括二叠系下统山西组和石炭系上统太原组,构造要素走向总体为近SN—NNE向。通过对高河井田构造的系统分析,划分了两大类三亚类主要构造样式,并结合实例分析了各种构造样式对...
NTFS文件系统分析
09-19
NTFS文件系统分析,比较详细的介绍,各个元文件的定义,偏移
PPJEmailPicker:UITextField替换以选择多个电子邮件
05-16
(PPJEmailPicker *) createAutoCompleteFieldWithFrame:( CGRect )frame{PPJEmailPicker * actf = [[PPJEmailPicker alloc ] initWithFrame: frame];actf. pickerDelegate = self;actf. possibleStrings = [...
任务五:Crypto学习
百汇的博客
06-04 727
复习AES,DES,3-DES 一、AES 高级加密标准(AES,Advanced Encryption Standard)为最常见的对称加密算法。对称加密算法也就是加密和解密用相同的密钥。 AES的整体结构如下图所示,其中的W[0,3]是指W[0]、W[1]、W[2]和W[3]串联组成的128位密钥。加密的第1轮到第9轮的轮函数一样,包括4个操作:字节代换、行位移、列混合和轮密钥加。最后一轮迭代不执行列混合。另外,在第一轮迭代之前,先将明文和原始密钥进行一次异或加密操作。 具体见AES原理 二、DES
2022 uuctf--- crypto Impossible_RSA
3tefanie丶zhou的博客
10-22 804
【一位好姑娘不喜欢你,一定是你不够好,等到你哪天觉得自己足够好了,姑娘兴许也嫁了人了,某次在路上碰见了你,那时也别伤心,是缘分错了,不是你喜欢错了人,记住,在那位姑娘嫁人之后就别纠缠不清了,把那份喜欢藏好,都放在酒里。每次喝酒的时候,念着点她把未来日子过得好,别想着她什么日子过不好,回心转意来找你,那才是一个男人,真正的喜欢一个姑娘】
[2022 ACTF]web题目复现
cosmoslin的博客
07-06 1596
查看dockerfile发现题目使用环境为goahead5.1.4,联想到p神对于该漏洞的复现记录,我们有两种方法解题:GoAhead环境变量注入复现踩坑记hack.c 编译 exp.py exp.py 简单看一下代码逻辑:server.js 整个题目通过websockets通信,当api为getflag时传入flagbot 这里发现admin登录没有任何限制,那么我们登录admin再传入getflag即可 原型链污染: xss: ToLeSion 考点: TLS-Poison 一篇文章带你读懂 TLS
密码学---公钥密码---RSA算法
热门推荐
sfakh的博客
09-28 1万+
RSA算法RSA算法流程1.产生密钥2.分组加密解密实例RSA算法的计算问题加密和解密中的计算密钥产生过程的计算问题改进的RSA算法RSA的安全性 RSA算法流程 RSA算法是迄今为止理论上最为成熟的公钥密码体制,并且已经得到广泛的应用。 1.产生密钥 产生密钥的过程如下: 选择两个保密的大素数P和q 计算n=p×q,φ(n)=(p-1)(q-1) 选择公钥e,e∈(1,φ(n))范围内的一个整数,且gcd(φ(n),e)=1 计算密钥d,d·e≡1 mod φ(n),即d≡e-1 mod φ(n) 以{
密码学RSA】2020巅峰极客_tryrsa解题过程及原理的详细分析
serendipity1130的博客
09-07 1610
1.题目: from secret import e1,e2,flag from Crypto.Util.number import * msg = bytes_to_long("=========Hint:e1="+str(3)+"=============") p = getPrime(512) q = getPrime(512) N = p*q print (N) print (pow(msg,3,N)) msg = bytes_to_long(flag) p = getPrime(1024
RSA攻击方式一览--自查表
BlusKing
01-31 2976
粗略整理RSA的攻击方式, 欢迎指正和补充。 ·p,q 过大或过小:n可能被分解 ·p,q过近:导致n开方可得近似值 ·e过小:低加密指数攻击 ·明文过小:小明文攻击 ·e很大:Wiener-attack ·e=2:Rabin算法 ·低加密指数广播攻击:e较小,并且使用不同的n,多次加密相同的明文。 ·共模攻击:对于同一明文m,使用同样的n,不同的e分别进行加密 ·共...
【2022 ACTF-wp】
qq_45603443的博客
06-28 4078
2022 ACTF wp
公钥加密算法-RSA
qq_43589852的博客
10-19 4982
RSA算法可以用来加密、数字签名以及密钥交换的,本文对介绍了RSA算法的加解密流程、RSA算法的密钥长度。
ACTF gogogo
最新发布
09-06
ACTF是指Attack and Defense CTF,是一种网络安全竞赛形式。在ACTF比赛中,参赛队伍需要在规定的时间内攻击对手的系统并保护自己的系统免受攻击。参赛队伍需要在攻防过程中发现漏洞、修补漏洞、攻击对手并保护自己的系统。通过比赛,参赛者可以提高对网络安全的理解和技能,并增强团队合作和问题解决能力。ACTF比赛旨在培养网络安全人才,并促进网络安全技术的发展。如果你对CTF比赛和网络安全感兴趣,可以考虑加入安全团队,如EDI安全,他们提供了一个良好的学习氛围和丰富的经验,可以帮助你在CTF比赛中取得进步。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [【2022 ACTF-wp】](https://blog.csdn.net/qq_45603443/article/details/125498747)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Paintrain

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值