[De1CTF2019]Babylfsr

已于 2024-01-18 13:48:26 修改
阅读量408 收藏 10
点赞数 12
文章标签: python
于 2024-01-18 13:46:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66879478/article/details/135671373
版权

目录

1.题目

2.分析

3.解题

4.参考

1.题目

#task.py:

import hashlib
from secret import KEY,FLAG,MASK

assert(FLAG=="de1ctf{"+hashlib.sha256(hex(KEY)[2:].rstrip('L')).hexdigest()+"}")
assert(FLAG[7:11]=='1224')

LENGTH = 256

assert(KEY.bit_length()==LENGTH)
assert(MASK.bit_length()==LENGTH)

def pad(m):
    pad_length = 8 - len(m)
    return pad_length*'0'+m

class lfsr():
    def __init__(self, init, mask, length):
        self.init = init
        self.mask = mask
        self.lengthmask = 2**(length+1)-1

    def next(self):
        nextdata = (self.init << 1) & self.lengthmask 
        i = self.init & self.mask & self.lengthmask 
        output = 0
        while i != 0:
            output ^= (i & 1)
            i = i >> 1
        nextdata ^= output
        self.init = nextdata
        return output


if __name__=="__main__":
    l = lfsr(KEY,MASK,LENGTH)
    r = ''
    for i in range(63):
        b = 0
        for j in range(8):
            b = (b<<1)+l.next()
        r += pad(bin(b)[2:])
    with open('output','w') as f:
        f.write(r)

#output:
'''
001010010111101000001101101111010000001111011001101111011000100001100011111000010001100101110110011000001100111010111110000000111011000110111110001110111000010100110010011111100011010111101101101001110000010111011110010110010011101101010010100101011111011001111010000000001011000011000100000101111010001100000011010011010111001010010101101000110011001110111010000011010101111011110100011110011010000001100100101000010110100100100011001000101010001100000010000100111001110110101000000101011100000001100010
'''

2.分析

题目考点:LFSR

题目没有给出mask和key,但是给出了一段较长的01输出序列

001010010111101000001101101111010000001111011001101111011000100001100011111000010001100101110110011000001100111010111110000000111011000110111110001110111000010100110010011111100011010111101101101001110000010111011110010110010011101101010010100101011111011001111010000000001011000011000100000101111010001100000011010011010111001010010101101000110011001110111010000011010101111011110100011110011010000001100100101000010110100100100011001000101010001100000010000100111001110110101000000101011100000001100010
length = 504

而我们知道每连续的256个bit能够决定下一个bit的值,只要能够凑齐256个方程组,我们就能够求出mask,进而求出key值,所以我们可以考虑进行爆破求解,求出多个key值,然后根据断言进行选择

断言:

assert(FLAG[7:11]=='1224')

解方程组的问题可以转化为矩阵求逆的问题。把 lfsr 的状态一行一行地写在矩阵上,形成的矩阵记为 M. 把 lsfr 每次所生成的结果也拼成一个向量,记为 T. 那么掩码向量 v 使得

Mv = T
v = TM_inv
#M_inv 是M的逆矩阵,利用sagemath进行求解

3.解题

爆破mask向量

#please run the code in sagemath
import itertools

def test(padding):
    s = [int(x) for x in '001010010111101000001101101111010000001111011001101111011000100001100011111000010001100101110110011000001100111010111110000000111011000110111110001110111000010100110010011111100011010111101101101001110000010111011110010110010011101101010010100101011111011001111010000000001011000011000100000101111010001100000011010011010111001010010101101000110011001110111010000011010101111011110100011110011010000001100100101000010110100100100011001000101010001100000010000100111001110110101000000101011100000001100010'] + padding

    M = matrix(GF(2), 256, 256)
    T = vector(GF(2), 256)

    for i in range(len(s) - 256):
        M[i] = s[i : i + 256]
        T[i] = s[i+256]
    try:
        v = M.inverse() * T
        print(hex(int(''.join(map(str, (v))), base=2)))
    except:
        return
    

for x in itertools.product([0, 1], repeat = 8):
    test(list(x))

然后完成了初步的爆破之后,我们可以利用猜测得到的输出信息(512位),以及得到的mask,进

一步求解出不确定的key,然后根据断言选择

#sagemath is needed

import itertools, hashlib, numpy as np

def bin2int(a):#将01数组转化为十进制数
    return reduce(lambda x,y: x*2+y, a)

def bitAnd(a, b):#计算两个01数组中相同的1的个数
    assert len(a) == len(b)
    return list(map(lambda x,y: int(x)&int(y), a, b))
    
def test(padding):
    s = [int(x) for x in '001010010111101000001101101111010000001111011001101111011000100001100011111000010001100101110110011000001100111010111110000000111011000110111110001110111000010100110010011111100011010111101101101001110000010111011110010110010011101101010010100101011111011001111010000000001011000011000100000101111010001100000011010011010111001010010101101000110011001110111010000011010101111011110100011110011010000001100100101000010110100100100011001000101010001100000010000100111001110110101000000101011100000001100010'] + padding

    M = matrix(GF(2), 256, 256)#定义矩阵M
    T = vector(GF(2), 256)#定义向量v,用于解出掩码

    for i in range(len(s) - 256):
        M[i] = s[i : i + 256]#矩阵赋值
        T[i] = s[i+256]#向量赋值
    try:
        mask = M.inverse() * T#获得掩码,凭借sagemath对矩阵的逆的求解功能进行运算
    except:
        return

    suf = []
    for i in range(256):#逐位破解
        if bitAnd([0] + suf + s[0:255 - i], mask).count(1) % 2 == s[255 - i]:
            suf = [0] + suf
        else:
            suf = [1] + suf

    key = hex(bin2int(suf))[2:]
    sha = hashlib.sha256(key.encode()).hexdigest()
    
    if sha[:4] == '1224':#验算
        print('de1ctf{' + sha + '}')
    

for x in itertools.product([0, 1], repeat = 8):#生成8个位置为0或1的数组
    test(list(x))

得到flag:

de1ctf{1224473d5e349dbf2946353444d727d8fa91da3275ed3ac0dedeb7e6a9ad8619}

4.参考

文章1

SinzoL
关注
[De1CTF2019]babyrsa(比较综合的rsa类型题目)
weixin_44110537的博客
07-18 3645
encrypt import binascii from data import e1,e2,p,q1p,q1q,hint,flag n = [20129615352491765499340112943188317180548761597861300847305827141510465619670536844634558246439230371658836928103063432870245707180355907194284861510906071265352409579441048101084995
[De1CTF 2019]SSRF Me 1
plant1234的博客
04-06 1524
[De1CTF 2019]SSRF Me 1 SSRF概述 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。 打
[De1CTF2019]Babylfsr(B-M算法)
m0_62506844的博客
04-25 651
参考:ctfwiki 根据B-M算法的介绍,我们至少需要知道2n长度的序列,则可以推测出初始化seed 题目源码: import hashlib from secret import KEY,FLAG,MASK assert(FLAG=="de1ctf{"+hashlib.sha256(hex(KEY)[2:].rstrip('L')).hexdigest()+"}") assert(FLAG[7:11]=='1224') LENGTH = 256 assert(KEY.bit_length.
BUUCTF 每日打卡 2021-7-14
weixin_52446095的博客
07-14 701
引言 鸽了快两个月,假期继续刷BUU,可以的话继续cryptohack 四面八方 看题干也看不出来什么 给了一个txt文件 key1:security key2:information 密文啊这是,骚年加油:zhnjinhoopcfcuktlj 摸不着头脑 找wp,知道是没见过的四方密码 是一种对称加密,多表替换密码 找了一个靠谱的在线工具 然后把结果换成小写套上flag就行 [De1CTF2019]babyrsa 加密代码如下: import binascii from data import e1,
打卡 21/9/3 [De1CTF2019]babyrsa
qq_52193383的博客
09-03 807
[De1CTF2019]babyrsa 给出的代码分为四部分: 1.第一部分(求p): n = [20129615352491765499340112943188317180548761597861300847305827141510465619670536844634558246439230371658836928103063432870245707180355907194284861510906071265352409579441048101084995923962148527097370705452
BUUCTF [De1CTF2019]cplusplus
weixin_53349587的博客
01-04 657
拿到文件,IDA打开,进入主函数main(): 通过分析,函数第60行为标志性的获取输入函数。 然后在第104行出现了关键函数判断: 其中v47是我们输入的字符串,所以第108行和109行也是关键函数,对我们的输入进行了加密。 先进入104行sub_140005910函数: 函数中有三个sub_140005A90函数,通过动态调试发现,就是将我们输入的字符串每一个都转化为十六进制数。 进入sub_140005A90函数: 因为在关键判断的函数中一共有三个将输入的字符转为16进制的函数...
[De1CTF2019]xorz
2er0!=O的博客
08-02 1504
[De1CTF2019]xorz 附件: from itertools import * from data import flag,plain key=flag.strip("de1ctf{").strip("}") assert(len(key)<38) salt="WeAreDe1taTeam" ki=cycle(key) si=cycle(salt) cipher = ''.join([hex(ord(p) ^ ord(next(ki)) ^ ord(next(si)))[2:].zfill
[De1CTF2019]babyrsa
2er0!=O的博客
07-25 491
[De1CTF2019]babyrsa 附件 import binascii from data import e1,e2,p,q1p,q1q,hint,flag n = [2012961535249176549934011294318831718054876159786130084730582714151046561967053684463455824643923037165883692810306343287024570718035590719428486151090607126535240957
buuctf-[De1CTF 2019]SSRF Me
weixin_43345082的博客
12-30 1098
打开页面就是源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefault...
[De1CTF2019]babyrsa-BUUCTF(新手推荐)
yuqie的博客
06-12 339
至于e1,仔细观察可以发现ce1的值与n的值相差了数十个数量级,从概率统计的意义上讲,如果比n小的每个数作为结果的可能相同,那么这种事情发生的概率非常小,但是还有一种可能就是,由于e1很小,e1的42次方都比n小,从而导致模n没起效果。给了多组n,c,虽然这里只显示了三行,但其实有四组,那应该是中国剩余定理,四组n,c求出来是m**4,需开四次方,根据已知的最后一行可知这里求的是p,上脚本。拿到附件后一看,傻眼了,仔细看,分为四个部分,那就一步一步慢慢来。q2)组成一个新的RSA解密,e=7,n=q1。
[De1CTF2019]babyrsa writeup
a5555678744的博客
05-27 2494
总述 对于学习RSA来说,这道题无疑是很好的教材,这道题集合了许多常考的RSA的出题点,前三步解密较为简单,但是第四步有一定难度,要想做出来得费不少功夫。总而言之是一道很不错的Crypto题。 题解 第一步 最上面一层给了4组n和c,中国剩余定理估计是八九不离十了,而且这里用的lambda函数希望对python不熟悉的可以去查一下了解一下,算是一个很方便的小函数创建,也经常在Crypto的py脚本中出现。 中国剩余定理的python脚本如下: import gmpy2 import mat
RSA之 两组e与φ(n)不互素解法
weixin_44617902的博客
11-13 3172
[De1CTF2019]babyrsa遇事不慌先拆解求p求 e1 e2求q1求flag 遇事不慌先拆解 题目源代码有四部分,分析最后一部分与flag有关的未知参数有 p,e1,e2,q1 所以解题步骤4步:1.求p(在第一部分)2.求e1,e2(在第二部分)3.求q1(在第三部分)4.求出flag 求p 一个未知数,两个列表,模运算,想到中国剩余定理。最后在开4次根解出p import gmpy2 def CRT(r,d): M = 1 l = len(r) for i in ra
[GWCTF 2019]BabyRSA 1
weixin_44110537的博客
07-07 1869
问题 首先拿到压缩包,压缩包中给了我们两个文件 一个是encrypt.py 这个文件是加密脚本 另一个是secret里面有我们所需要的数据 分析加密脚本 打开脚本 import hashlib import sympy from Crypto.Util.number import * flag = 'GWHT{******}' secret = '******' assert(len(flag) == 38) half = len(flag) / 2 flag1 = flag[:half] fla
BUU-crypto-刷题记录28
m0_57291352的博客
07-15 321
[De1CTF2019]babyrsa 题目 import binascii from data import e1,e2,p,q1p,q1q,hint,flag n = [20129615352491765499340112943188317180548761597861300847305827141510465619670536844634558246439230371658836928103063432870245707180355907194284861510906071265352409579
BUU--RSA
最新发布
qq_63016521的博客
03-11 930
gen_p函数,首先获取了一个128位的素数,然后p列表的下一位是前一位的下一个素数,并且给出了index=9的素数。gen_q函数:获取了两个1024位的素数作为p,q,获取了一个53位的加密指数e,且gcd(e,phi)=1,题目输出了n,e*d。拿到index=9的素数后可以反推回去得到index=0的素数,再由index=0的素数重新生成素数列表,得到素数列表就得到了n和phi了,加密指数又知道,就可以获得解密指数取解密了,解密后在返回它的下一个素数就是题目生成的参数p了。flag被分为两部分。
RSA 2022/8/17
sylvia_a的博客
08-19 414
buursa(综合rsa,共模攻击,维纳攻击)
第四十五题——[De1CTF 2019]SSRF Me
分享简单的安全技术
04-27 523
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,发现源码的乱码,整理后得到python的flask框架的源码,题目提示flag in ./flag.txt #! /usr/bin/env python # #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os
BUUCTF 每日打卡 2021-7-20
weixin_52446095的博客
07-20 1099
引言 无 [NPUCTF2020]共 模 攻 击 题目给了两个加密程序 一个是加密hint: from gmpy2 import * from Crypto.Util.number import * from secret import hint m = bytes_to_long(hint) p = getPrime(256) c = pow(m, 256, p) print(p) p, q = getPrime(256), getPrime(256) n = p * q e1, e2 = getPr
[de1ctf 2019]ssrf me 1
03-16
好的,我来回答这个问题。 [de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后应用程序将请求发送到该URL,并将响应返回给用户。因此,我们可以在URL参数中输入我们想要访问的目标HTTP服务的地址,然后查看返回结果。 然而,为了防止应用程序被滥用,开发人员在应用程序中实现了一些安全措施。例如,应用程序会检查URL参数中是否包含一些不被允许的字符串,比如localhost、127.0.0.1等。此外,还有一些其他限制条件需要考虑。 因此,我们需要找到一种方法来绕过这些安全措施,从而成功访问目标HTTP服务。一种常见的技巧是使用一些特殊的URL协议,例如file协议、gopher协议等,来绕过安全检查。此外,我们还可以利用DNS rebinding攻击来绕过防御,但是需要特别注意,这种攻击可能涉及到一些法律和道德上的问题。 总之,这道题目需要具备一定的SSRF漏洞利用经验和技能,同时还需要对网络安全有一定的了解。如果你想进一步了解SSRF漏洞的原理和防御方法,可以查看相关的资料和教程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值