CRYPTO CTF 2021 easy

已于 2022-07-17 20:01:43 修改
阅读量1.2k 收藏 1
点赞数 2
分类专栏: 密码 CRYPTO CTF 2021 文章标签: 密码学 ctf python
于 2022-07-17 17:32:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62506844/article/details/125829787
版权

文章目录

参加了今年的CRYPTO CTF 2022,直接啥也不会,出了好多数学类的题目,但我是真的不会,想着确实挺有意思也值得学习一下,决定刷一下历届CRYPTO CTF的题目,毕竟选择了这个方向,如此出名的赛事不做一做也不太合适。
计划把历年的CRYPTO CTF按照难度等级划分,分不同的博客发布wp,一来希望能提升一下个人水平,二来发现国内的搜索引擎好像搜不到此类wp,希望与大家共同交流。
 

【Farm】 149solves

from sage.all import *
import string, base64, math
from flag import flag

ALPHABET = string.printable[:62] + '\\='

F = list(GF(64))

def keygen(l):
	key = [F[randint(1, 63)] for _ in range(l)] 
	key = math.prod(key) # Optimization the key length :D
	return key

def maptofarm(c):
	assert c in ALPHABET
	return F[ALPHABET.index(c)]

def encrypt(msg, key):
	m64 = base64.b64encode(msg)
	enc, pkey = '', key**5 + key**3 + key**2 + 1
	for m in m64:
		enc += ALPHABET[F.index(pkey * maptofarm(chr(m)))]
	return enc
	
key = keygen(14) # I think 64**14 > 2**64 is not brute-forcible :P

enc = encrypt(flag, key)
print(f'enc = {enc}')
#enc = 805c9GMYuD5RefTmabUNfS9N9YrkwbAbdZE0df91uCEytcoy9FDSbZ8Ay8jj

这道题有一个值得关注的点是 F = list(GF(64)) 会直接初始化 F 这个列表,并且是固定的,如此一来,加密过程只涉及到了一个未知量key。
一开始我没思路,因为正如题目所言 I think 64^14 > 2^64 is not brute-forcible 😛 ,key的可能性非常大,没有爆破的可能性,看起来没有什么办法解flag啊,一脸懵的我去看看wp。
这里其实有一个隐藏的条件,那就是已知明文前半部分"CCTF",好家伙,好久不做这类题都忘了还可以这么玩了。利用已知明文攻击,来恢复key。
exp:

import string, base64, math

ALPHABET = string.printable[:62] + '\\='
F = list(GF(64))
m=b"CCTF"
m=base64.b64encode(m).decode()

enc="805c9GMYuD5RefTmabUNfS9N9YrkwbAbdZE0df91uCEytcoy9FDSbZ8Ay8jj"
def maptofarm(c):
	assert c in ALPHABET
	return F[ALPHABET.index(c)]

Findex=ALPHABET.find("8")
index=F[Findex]
pkey=index/maptofarm(m[0])

flag=""
for i in enc:
	Findex=ALPHABET.find(i)
	index=F[Findex]
	mm=index/pkey
	aindex=F.index(mm)
	m=ALPHABET[aindex]
	flag+=m
print(base64.b64decode(flag))

 

【KeyBase】 118solves

#!/usr/bin/env python3

from Crypto.Util import number
from Crypto.Cipher import AES
import os, sys, random
from flag import flag

def keygen():
	iv, key = [os.urandom(16) for _ in '01']
	return iv, key

def encrypt(msg, iv, key):
	aes = AES.new(key, AES.MODE_CBC, iv)
	return aes.encrypt(msg)

def decrypt(enc, iv, key):
	aes = AES.new(key, AES.MODE_CBC, iv)
	return aes.decrypt(enc)

def die(*args):
	pr(*args)
	quit()

def pr(*args):
	s = " ".join(map(str, args))
	sys.stdout.write(s + "\n")
	sys.stdout.flush()

def sc():
	return sys.stdin.readline().strip()

def main():
	border = "+"
	pr(border*72)
	pr(border, " hi all, welcome to the simple KEYBASE cryptography task, try to    ", border)
	pr(border, " decrypt the encrypted message and get the flag as a nice prize!    ", border)
	pr(border*72)

	iv, key = keygen()
	flag_enc = encrypt(flag, iv, key).hex()

	while True:
		pr("| Options: \n|\t[G]et the encrypted flag \n|\t[T]est the encryption \n|\t[Q]uit")
		ans = sc().lower()
		if ans == 'g':
			pr("| encrypt(flag) =", flag_enc)
		elif ans == 't':
			pr("| Please send your 32 bytes message to encrypt: ")
			msg_inp = sc()
			if len(msg_inp) == 32:
				enc = encrypt(msg_inp, iv, key).hex()
				r = random.randint(0, 4)
				s = 4 - r
				mask_key = key[:-2].hex() + '*' * 4
				mask_enc = enc[:r] + '*' * 28 + enc[32-s:]
				pr("| enc =", mask_enc)
				pr("| key =", mask_key)
			else:
				die("| SEND 32 BYTES MESSAGE :X")
		elif ans == 'q':
			die("Quitting ...")
		else:
			die("Bye ...")

if __name__ == '__main__':
	main()

这道题本来需要nc连过去解题的,可惜现在环境已经关了,自己跑了一下试试。
输入g可以得到enflag,输入t再输入长度为32的字符串可以得到该字符串的加密内容,特殊的是加密后会给你enc的一部分和key[:-2],我的想法是爆破key的后两位,解密enflag,但是发现没有iv

由于可以自己发送明文并加密,可以发送长度为32的明文,根据CBC的性质,第一组密文拿来当作第二组密文生成时的向量v参与异或。所以可以通过ECB模式求出还未经异或的内容,再与第二组明文异或就得到了第一组密文。第一组密文通过ECB模式解密后与第一组明文异或得到IV

r = random.randint(0, 4)
s = 4 - r
mask_key = key[:-2].hex() + ‘’ * 4
mask_enc = enc[:r] + '’ * 28 + enc[32-s:]

可以发现enc有几率暴露我们发送的明文加密后的前四个字符,所以根据这四个字符爆破出符合条件的key,再通过上述思路来求解iv,最后利用iv和key解出flag

下面是我利用flag自己生成了enc
exp:

from Crypto.Util import number
from Crypto.Cipher import AES
import os, sys, random
from pwn import xor
#iv=\x07\x9aH\xf4b\xdd\xd3\xcb\xa5\xcf\xe7x\x84\x7f\xf3!
#key=\xf0.\xda\xe0\xc0\xdb\xf38\xe00\x9d\xf1\x08\r\x94\xe9
enc_flag=bytes.fromhex("3d0abe4a4186687c7e74c93ecb3e211ea98d192e6d4fddc1f83981fe35d795f5")
enc="f063****************************56db4933ff8484ea6a17b769c3c3cd31"
key="f02edae0c0dbf338e0309df1080d****"

def bxor(s1,s2):
    return b''.join(bytes([a ^ b]) for a,b in zip(s1,s2))

prefix = enc.split("*")[0]
prefix=bytes.fromhex(prefix)

def decrypt(enc, iv, key):
	aes = AES.new(key, AES.MODE_CBC, iv)
	return aes.decrypt(enc)

key = bytearray.fromhex(key[:-4]) + b"\x00\x00"
for k1 in range(256):
    key[-2] = k1
    for k2 in range(256):
        key[-1] = k2
        if bxor(AES.new(key, AES.MODE_ECB).decrypt(bytes.fromhex(enc[-32:])), b"A"*16)[:2] == prefix:
            print("KEY=",key.hex())
            # Recover full first block by xoring second block with known plaintext
            block = bxor(AES.new(key, AES.MODE_ECB).decrypt(bytes.fromhex(enc[-32:])), b"A"*16)
            # IV is whatever the first block was XORed with prior to encryption. Decrypt and XOR.
            IV = bxor(AES.new(key, AES.MODE_ECB).decrypt(block), b"A"*16)
            print("IV=",IV.hex())
            print(f"Recovered key candidate: {key.hex()} with IV {IV.hex()}")
            print(decrypt(enc_flag,IV,key))

附官方wp:

from pwn import *
from Crypto.Cipher import AES

def bxor(s1,s2):
    return b''.join(bytes([a ^ b]) for a,b in zip(s1,s2))

r = remote("01.cr.yp.toc.tf", 17010)

r.sendlineafter("[Q]uit\n", "G")
enc_flag = bytes.fromhex(r.recvline().strip().decode().split(" = ")[1])

while True:
    r.sendlineafter("[Q]uit\n", "T")
    r.sendlineafter("Please send your 32 bytes message to encrypt: \n", b"A"*32)
    enc = r.recvline().strip().decode().split(" = ")[1]
    key = r.recvline().strip().decode().split(" = ")[1]
    prefix = enc.split("*")[0]
    if len(prefix) == 4:
        prefix = bytes.fromhex(prefix)
        break
        
key = bytearray.fromhex(key[:-4]) + b"\x00\x00"
for k1 in range(256):
    key[-2] = k1
    for k2 in range(256):
        key[-1] = k2
        # Decrypt the second block alone, without CBC/IV, and XOR with the two unmasked bytes.
        # Result should be original plaintext "AA.....".
        if bxor(AES.new(key, AES.MODE_ECB).decrypt(bytes.fromhex(enc[-32:])), b"AA") == prefix:
            # Recover full first block by xoring second block with known plaintext
            block = bxor(AES.new(key, AES.MODE_ECB).decrypt(bytes.fromhex(enc[-32:])), b"A"*16)
            # IV is whatever the first block was XORed with prior to encryption. Decrypt and XOR.
            IV = bxor(AES.new(key, AES.MODE_ECB).decrypt(block), b"A"*16)
            print(f"Recovered key candidate: {key.hex()} with IV {IV.hex()}")
            print(AES.new(key, AES.MODE_CBC, IV).decrypt(enc_flag))

 

【Symbols】70solves

 

请添加图片描述
公式敲多了应该一眼就能看出来是LATEX数学符号,对照明文的前四个CCTF,很明显了。一开始以为数学符号有在表中的顺序,发现latex数学符号太多了,后来发现是markdown语法的首字母
latex数学符号大全
\Cap \Cap \Theta \Finv { \Pi \ltimes \aleph y _ \wp \infty \therefore \heartsuit _ \Lsh \aleph \Theta \eth \Xi }
⋒ ⋒ Θ Ⅎ { Π ⋉ ℵ y _ ℘ ∞ ∴ ♡ _ ↰ ℵ Θ ð Ξ } \Cap \Cap \Theta \Finv \{ \Pi \ltimes \aleph y \_ \wp \infty \therefore \heartsuit \_ \Lsh \aleph \Theta \eth \Xi \} Θ{Πy__ΘðΞ}
所以flag为
CCTF{Play_with_LaTeX}

Paintrain
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CRYPTO CTF2021 MEIDUM-EASY
m0_62506844的博客
07-19 354
我一定要吐槽一下,这道题做的时候复制的时候出现了一点小问题,n被改动了一个数字,鬼知道为什么会有一个数字的改动!我们知道flag的对应字节在某一行,剩下的就全靠爆破了,模拟加密流程,爆破出所有可见字符的密文,在实际密文列表中存在的则为flag对应位置的字符。首先,这里有个幌子,tranpose返回的是一个新列表,和W就没有关系了,shuffle打乱的是新列表,也就是说这一行对我们的结果没有影响。V构造了一个关于hyper的矩阵,前面的【0】*i导致hyper中含有flag的字符出现的位置固定,例如。...
CTF数据安全大赛crypto题目解题过程
红客网络编程与渗透技术
05-10 421
那就是不只有Base64加密,还有另外一种加密。然后我们运行脚本,执行Base64解密。接着我们运行脚本,试着把凯撒密文解密。思想片刻,终于找到是凯撒加密方式了。CTF-Crypto加密题目内容。下面是一个Base64加密的密文。也是成功解密,提交答案成功!然后成功获取解密后的原文。提交答案,发现答案错误。
CRYPTO CTF 2022 easy
m0_62506844的博客
07-23 437
慢慢更新~
BugKuCTF 加密 easy_crypto
无限迭代中......
09-22 1783
0010 0100 01 110 1111011 11 11111 010 000 0 001101 1010 111 100 0 001101 01111 000 001101 00 10 1 0 010 0 000 1 01111 10 11110 101011 1111101 题解: 长度不一的01字符串 考虑是不是摩斯密码 C#版本 using System; using...
CRYPTO CTF 2022 MEDIUM-EASY
m0_62506844的博客
07-28 930
慢慢更新~
[Crypto/CTF]CTF Crypto 包函数和工具总结[ 2021/10/30更新]
車鈊的博客
07-27 3075
Crypto 函数和工具总结(持续学习…) 常用的库 采用Anaconda创建虚拟环境安装,然后设置环境变量或者在Pycharm当中导入。 Anaconda 以管理员权限运行anaconda prompt (可解决UnsatisfiableError: The following specifications were found to be in conflict错误,即源未提供对应版本的依赖包,创建对应版本环境即可) conda create -n python3.9 xxx # 创建虚拟环境,附带安装
CG CTF CRYPTO easy!
无限迭代中......
07-05 445
题解: 密文:bmN0Znt0aGlzX2lzX2Jhc2U2NF9lbmNvZGV9 base64解密:nctf{this_is_base64_encode}
青少年ctf crypto easy 部分题解
mxaii的博客
01-08 817
目前只写了我做了的,难绷
青少年CTF Crypto-Easy BASE WP
weixin_55265137的博客
10-11 448
青少年CTF Crypto-Easy BASE WP
【Hackme CTFCrypto--easy
VZZmieshenquan的博客
01-22 598
Description: 526b78425233745561476c7a49476c7a4947566863336b7349484a705a3268305033303d Solution: HEX解码获得一段base64 RkxBR3tUaGlzIGlzIGVhc3ksIHJpZ2h0P30= 然后base64解码获得flag Flag: FLAG{This is easy, ri...
CTF Crypto BubbleBabble气泡加密.py
09-19
CTF Crypto BubbleBabble 气泡加密 加密解密脚本 python3
[SWPUCTF 2021 新生赛]traditional
03-15
在 SWPUCTF 2021 新生赛的传统题目中,我们看到了一道有趣的密码题目,它与八卦图和二进制数学有着紧密的联系。莱布尼茨是西方的二进制数学的发明者,他受到中国的八卦图的启发,演绎并推论出了数学矩阵,最后创造了...
安恒ctf misc crypto 培训资料合集
10-06
【安恒CTF Misc Crypto培训资料合集】是一份涵盖了加解密技术、RSA算法、隐写术以及图片隐写等信息安全领域的综合学习资源。这个资料包特别关注在网络安全竞赛(CTF)中常见的Miscellaneous(杂项)和Cryptography...
aes加密是CTF比赛Crypto赛项的分支
11-08
CTF(Capture The Flag)比赛的Crypto赛项中,它经常作为一个重要的分支出现,挑战参赛者在理论理解、实现技巧以及破解策略上的综合能力。 AES最初由比利时密码学家Joan Daemen和Vincent Rijmen设计,于2001年被...
crypto_repo:存储一些CTF加密脚本
05-16
加密脚本仓库`crypto_repo`是一个集合,包含了用于网络安全领域Capture The Flag (CTF)比赛的加密技术相关脚本。CTF是一种网络安全竞赛,参与者通过解密、逆向工程、漏洞挖掘等方式解决各种安全问题,以获取“旗标”...
对称算法与非对称算法:密码学的双剑合璧
w651428055的博客
07-30 608
在信息安全的广阔领域,对称算法和非对称算法如同双剑合璧,共同守护着数据的安全。本文将深入探讨这两种加密技术的原理、特点、应用场景以及未来的发展趋势,以期读者能对其有更全面、深入的理解。
可验证随机函数 vrf 概述
最新发布
smilejiasmile的博客
08-03 180
在传统的区块链中,常用的随机算法是基于伪随机数生成器(Pseudorandom Number Generator,PRNG)的。PRNG是一种确定性算法,它根据一个初始种子生成一个看似随机的序列。在区块链中,通常使用的是伪随机数序列来选择区块的创建者、确定验证节点的轮换顺序等。可预测性:传统的随机算法是基于确定性的计算,因此它们的输出序列是可以被预测的。如果攻击者能够推测或预测到随机数序列,他们可能会通过选择适当的时间点参与区块创建或验证,以获取不当的利益。
Python】pandas:排序、重复值、缺省值处理、合并、分组
yannan20190313的博客
07-30 1173
Python】pandas:排序(sort_index,sort_values,nsmallest,nlargest)、重复值(duplicated,drop_duplicates,value_counts,nunique)、缺省值处理(isna,isnull,notna,notnull,fillna,dropna,replace)、合并(join,merge,append,concat)、分组(groupby)
UNCTF2021 Web与Crypto挑战解析
本文档是关于UNCTF2021网络安全竞赛的一些解题心得与解决方案,主要涵盖了WEB、Reserve和Crypto三个领域的挑战。 1. WEB挑战 (1) fuzz_md5 这个挑战涉及到MD5碰撞和preg_replace漏洞的利用。参赛者需要构造一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Paintrain

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值