BUU第六届CTF校赛Crypto-RSA

已于 2024-08-03 16:24:14 修改
阅读量375 收藏 4
点赞数 5
分类专栏: CTF-Crypto 文章标签: python 密码学 网络安全
于 2024-06-08 20:06:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73952252/article/details/139546648
版权

一. Root_RSA

1.题目

这道题是Euler函数的应用。题目如下:

from Crypto.Util.number import *
p=getPrime(512)
q=getPrime(512)
print(p)
print(q)


from Crypto.Util.number import *
import gmpy2
from flag import flag

p=getPrime(512)
q=getPrime(512)
r=getPrime(512)
n=p*q*r
e=65537
m=bytes_to_long(flag)

def Euler(x):
    res=0
    for i in range(1,x):
        if gmpy2.gcd(i,x)==1:
            res+=1
    return res

P=p**3
Q=q**2
c=pow(m,e,n)

print(P)
print(Euler(Q))
print(c)
print(n)

#1686761823519516525084824311416810253107853832929411677237594989001281261421956188747941222367576127569696216513071075733130132251383529469095077597202999362675041210639065389821237728348981344440193122126487447235175127680730304754656661704596111547454161716607787386914764780833658069534913186485846587027674567133467341836048413431174183101579802349498153899249182793495245916757355079598668221097821452488627067390724198617676379698358212167618567704428433303
#54800501457630149544580145188029519076092032026436445384163914536965196942938808746487258773679836358732387355329080483568564046906919385574994390974732491368590525875801103056613954297623835159311237599961507385582029709732950222118171961946571285930711702624160354541459438994349318149872111029043942485620
#568846080701555049788706647255668980211679838950729382006912035332305772256748203239331545262283165739670330060735508231578298253855583985677482008855909565463834639005910652510802915373310537390293061001384655286359323437737989289787972131460392977341024828530868508329336263146882773903176326250063921456707975853839017504122823304303509269793133132036479219404842827556015566627129747816769486873563843578029479179692030808518925753268233301452280242586076493
#1069981867450019752454430625015273180922733107799929958042241890002915414684562764186875387471850290817321430141222917656674447229697676236077201897275059270515637506529666384968535578683380559782336910645306992981172862940944536463561840412558764760962107958365575095435157363812028759723055357681895134974760386884254380189603418912937553755099672511307377054933171384741715642510754214768859689909974996095149155241791151425031489280537907842378844226410097051

2.求解思路

其实细看代码并不是很难理解。我们的思路是解出p、q然后按常规的步骤去得到flag。

p我们很容易得到,对P直接开三次方即可;然而对于q则要动点脑筋。我在参赛的时候并没有学习过密码学,所以最初的思路时写一个脚本函数,功能是输入一个数n(即素数个数),输出是第n+1个素数。也就是说我们把Euler(Q)带入函数,输出即为Q。但是这种方法经过尝试发现并不可取,因为Euler(Q)太大,我们计算机的算力想要计算出来基本是不可能的。我编写的脚本编译通过后,可以运行,但是迟迟没有结果!

然后,对Euler进行了深入的了解,发现有一个扩展定理正好可以用到,原理如下:

#phi(n^a)=n^a-n^(a-1)

详情见:杨波,《现代密码学(第五版)》,北京,清华大学出版社,2022. P89-90.

3.编写脚本

有了Euler的扩展定理后,我们得到q只需要求解一个二元一次方程即可。

脚本如下:

#RSA变种pqr,n=pqr,phi=(p-1)(q-1)(r-1)
from Crypto.Util.number import *
import gmpy2

n=1069981867450019752454430625015273180922733107799929958042241890002915414684562764186875387471850290817321430141222917656674447229697676236077201897275059270515637506529666384968535578683380559782336910645306992981172862940944536463561840412558764760962107958365575095435157363812028759723055357681895134974760386884254380189603418912937553755099672511307377054933171384741715642510754214768859689909974996095149155241791151425031489280537907842378844226410097051
P=1686761823519516525084824311416810253107853832929411677237594989001281261421956188747941222367576127569696216513071075733130132251383529469095077597202999362675041210639065389821237728348981344440193122126487447235175127680730304754656661704596111547454161716607787386914764780833658069534913186485846587027674567133467341836048413431174183101579802349498153899249182793495245916757355079598668221097821452488627067390724198617676379698358212167618567704428433303
c=568846080701555049788706647255668980211679838950729382006912035332305772256748203239331545262283165739670330060735508231578298253855583985677482008855909565463834639005910652510802915373310537390293061001384655286359323437737989289787972131460392977341024828530868508329336263146882773903176326250063921456707975853839017504122823304303509269793133132036479219404842827556015566627129747816769486873563843578029479179692030808518925753268233301452280242586076493
Euler_Q=54800501457630149544580145188029519076092032026436445384163914536965196942938808746487258773679836358732387355329080483568564046906919385574994390974732491368590525875801103056613954297623835159311237599961507385582029709732950222118171961946571285930711702624160354541459438994349318149872111029043942485620

#求解p
p=gmpy2.iroot(P,3)[0] #为什么要加一个[0],是因为iroot函数返回是一个包含两个元素的元组
                      #比如如果P是27,那么gmpy2.iroot(P, 3)将返回(3, 0),前者是一个立方根,后者是一个布尔值
                      #所以添加[0]是使用第一个对我们有用的值,下同。
print(p)

#一元二次方程求解q
a=1
b=-1
c_q=-Euler_Q
delta=b**2-4*a*c_q
q =int((-b + gmpy2.iroot(delta,2)[0]) // (2 * a))
print(q)

#求解r
r=n//(p*q)
print(r)

#RSA的变种,Euler函数
phi=(p-1)*(q-1)*(r-1)

e=65537
d=gmpy2.invert(e,phi)

m=pow(c,d,n)
flag=long_to_bytes(m) #long_to_bytes在Crypto.Util.number库中
print(flag)

#11903771663059518341912645066042582267678745214691121272332269847512624178064427789028954264701292914161793272471217879550653909080475237446747964043276487
#7402736079155473279000574596031490410671021795687853893698348179857428763438305848933328416647633118223876785823588566614584124350907811192587130096357221
#12142261002625479270959358223863571062295429117378994112396394259314721874267081158944354513358164889564741712782226613341612447412750073385958464420872713
#b'flag{1ro0t_is_5o_Powerfu1_Go0d_Job!!!}'

二.  Wilson_RSA

1.题目

正如题干提示,这道题是wilson定理的应用,题目如下

from Crypto.Util.number import *
from libnum import s2n
from secret import flag
p = getPrime(1024)
q = getPrime(16)
n = p*q
m = s2n(flag)
for i in range(1,p-q):
    m = m*i%n
e = 1049
print(pow(2,e,n))
print(pow(m,e,n))
#4513855932190587780512692251070948513905472536079140708186519998265613363916408288602023081671609336332823271976169443708346965729874135535872958782973382975364993581165018591335971709648749814573285241290480406050308656233944927823668976933579733318618949138978777831374262042028072274386196484449175052332019377
#3303523331971096467930886326777599963627226774247658707743111351666869650815726173155008595010291772118253071226982001526457616278548388482820628617705073304972902604395335278436888382882457685710065067829657299760804647364231959804889954665450340608878490911738748836150745677968305248021749608323124958372559270

2.求解思路

这道赛题当场没有AK,赛后复盘发现确实有点难度。解题思路如下:

求解分为两大部分:求私钥和密文。求私钥可以根据C1(即密文一得到),求密文可以根据C2(因为由循环处可以得知,我们得到的密文二是被加密过的)。

求解私钥:根据所得密文一我们可以知道由如下关系:2^e=C1+kn,所以可以对k进行破解,这里需要对k的范围进行一个估计。这里我估计的范围是512~2048。

估计过程:2^e=C1+kn,将这个式子全部换成以2为底的指数,那么C1、kn的指数都将在1049附近,估计n的指数在1039~1040之间,那么k的指数范围就应该在9~11之间。

求解密文:根据循环结构我们可以看出,这个操作对m进行了混淆。

即有:m×(p-q-1)!≡M(mod n)

又因为:(p−1)!=(p−1)×(p−2)×…×(p−q)×(p−q−1)×…×3×2×1

即有:m×(p-1)!=(p−1)×(p−2)×…×(p−q)×M(mod n)        //约分后左边还是(p-q-1)!

由wilson定理可知:(p-1)!=-1(mod p)

即有:m*(-1)=(p−1)×(p−2)×…×(p−q)×M(mod p)        //mod p下-1直接带入,p是n的因子,故可替换

所以:m=-[(p−1)×(p−2)×…×(p−q)×M](mod p)

明文求出。

3.编写脚本

先来求解k和n:

c1=4513855932190587780512692251070948513905472536079140708186519998265613363916408288602023081671609336332823271976169443708346965729874135535872958782973382975364993581165018591335971709648749814573285241290480406050308656233944927823668976933579733318618949138978777831374262042028072274386196484449175052332019377
num=pow(2,1049)

for k in range(512,2049):
    if(num-c1)%k==0:
        print(k)
        print((num - c1) // k) #n

#1035
#5823713380800241798127161208605473167667967902620702068684472024119185247468416314089247879281733463161248890572390983305415645926810810670115987090805775496828975940219063783825457069902831333895859965086768216313079359826260701972093534555185595188238549423953860497190971290229918600826572984225793661171633741

有了n以后就可以分解n得到p、q:

import gmpy2
def fac(num):
    for a in range(gmpy2.bit_set(1,15),gmpy2.bit_set(1,16),2):
        if num%a==0 and gmpy2.is_prime(a):
            print(a)
            return a
n=5823713380800241798127161208605473167667967902620702068684472024119185247468416314089247879281733463161248890572390983305415645926810810670115987090805775496828975940219063783825457069902831333895859965086768216313079359826260701972093534555185595188238549423953860497190971290229918600826572984225793661171633741
q=fac(n)
p=n//q
print(p)
print(q)

#170229264879724117919007372149468684565431232721075153274808454126426741324966131188484635914814926870341378228417496808202497615585946352638507704855332363766887139815236730403246238633855524068161116748612090155595549964229654262432946553891601975628848891407847198187453488358420350203927771308228162321231
#34211

进而有p、q就可以得到欧拉函数phi和私钥d

import gmpy2
p=170229264879724117919007372149468684565431232721075153274808454126426741324966131188484635914814926870341378228417496808202497615585946352638507704855332363766887139815236730403246238633855524068161116748612090155595549964229654262432946553891601975628848891407847198187453488358420350203927771308228162321231
q=34211

phi=(p-1)*(q-1)
print(phi)

e=1049
d=gmpy2.invert(e,phi)
print(d)

#5823543151535362074009242201233323698983402471387980993531197215665058820727091347958059394645818648234378549194162565808607443429195224723763348583100920164465209053079248547095053823664197478371791803970019604222923764276296472317831101608631703586262920575062452649992783836741560180476369056454485433009278300
#3275396052817791824275932219950105798284277843773983590260635230926963493068621444514065817770288848863949803645906495545355950069804749844633341910419011341310270106117022538404272407971283615099482520822031998561987627190671991103451239226971120224876189837261055351282881280912793619143048373029691520948974449

求解明文

from Crypto.Util.number import *

p=170229264879724117919007372149468684565431232721075153274808454126426741324966131188484635914814926870341378228417496808202497615585946352638507704855332363766887139815236730403246238633855524068161116748612090155595549964229654262432946553891601975628848891407847198187453488358420350203927771308228162321231
q=34211
n=5823713380800241798127161208605473167667967902620702068684472024119185247468416314089247879281733463161248890572390983305415645926810810670115987090805775496828975940219063783825457069902831333895859965086768216313079359826260701972093534555185595188238549423953860497190971290229918600826572984225793661171633741
d=3275396052817791824275932219950105798284277843773983590260635230926963493068621444514065817770288848863949803645906495545355950069804749844633341910419011341310270106117022538404272407971283615099482520822031998561987627190671991103451239226971120224876189837261055351282881280912793619143048373029691520948974449
C2=3303523331971096467930886326777599963627226774247658707743111351666869650815726173155008595010291772118253071226982001526457616278548388482820628617705073304972902604395335278436888382882457685710065067829657299760804647364231959804889954665450340608878490911738748836150745677968305248021749608323124958372559270
M=pow(C2,d,n)

for i in range(1,q+1):
    M=M*(p-i)%p

m=(-M)%p
print(long_to_bytes(m))

#b"flag{7h3_73rr1b13_7h1ng_15_7h47_7h3_p457_c4n'7_b3_70rn_0u7_by_175_r0075}"

连成.
关注
专栏目录
CTFCrypto练习之RSA算法
qq_18661257的专栏
01-15 1万+
简介 RSARSA属于非对称加密算法,因为RSARSA使用了两个不同的密钥分别用于加密和解密,这两个密钥称之为公私钥对,其中公钥用于加密,且公钥是公开的,而私钥用于解密,私钥是私有的。在公开密钥密码体制中,加密密钥(即公开密钥)PKPK是公开信息,而解密密钥(即秘密密钥)SKSK是需要保密的。加密算法EE和解密算法DD也都是公开的。虽然解密密钥SKSK是由公开密钥PKPK决定的,但却不能根据PKPK
CTF-Crypto题目分析__3
a6b6c6d5488的博客
04-26 969
CTF-Crypto题目分析__3 题目描述: 下载后,发现有个python文件 解题思路:打开ezrsa.py 发现: 1 需要通过对密文c进行解密得到明文flag,c=m^e mod n 2 q = 5*p+i q是p的五倍多一点 3 n=pqr, 因为p<q,所以p的三次<pqr=n,即p的三次 mod n =p的三次, p=对p的三次开三次方,顺推出q,r #tips:n=pqr时,phi=(p-1)(q-1)(r-1) 解题过程: 解题脚本如下: from Cr
RSA之共模攻击与共享素数
Aiwin的博客
06-07 5693
RSA之共模攻击与共享素数的原理和ctf例题
BUUCTF RSA题目全解4
MikeCoke的博客
12-19 3943
1.[MRCTF2020]babyRSA 题目 import sympy import random from gmpy2 import gcd, invert from Crypto.Util.number import getPrime, isPrime, getRandomNBitInteger, bytes_to_long, long_to_bytes from z3 import * flag = b"MRCTF{xxxx}" base = 65537 def GCD(A): B =
[DASCTF2024八月开学季!] Crypto
最新发布
Emmaaaaa's blog
08-25 1578
two_squares(n0),矩阵phi,维纳连分数,HNP,中间相遇
[MRCTF 2020] - RSA
qtL0ng的博客
07-02 596
easy_RSA 题目: import sympy from gmpy2 import gcd, invert from random import randint from Crypto.Util.number import getPrime, isPrime, getRandomNBitInteger, bytes_to_long, long_to_bytes import base64 from zlib import * flag = b"MRCTF{XXXX}" base = 65537 de
[SECCON CTF 2022] 只两个小题pwn_koncha,rev_babycmp,crypto_pqpq
weixin_52640415的博客
11-14 1021
SECCON CTF 2022
CTF-一个简单的RSA解密
zhz444614971的博客
06-24 704
题目的输出: 需要知道的知识点: 一.RSA加密的原理公式 RSA各个字母的含义: p,q(两个不同的大素数) e(满足gcd(e,phi)=1) d(密匙) c(密文) m(明文) n = p*q phi = (p-1)*(q-1) d*e mod phi =1 c =
密码学】破解RSA密码(Python代码实现)
Mitchell_Donovan的博客
12-26 1万+
题目描述 已知有人写了如下的代码,并将生成的(n,e,c)以及(n2,e2,c2,(p2+1)*(q2+1))输出。 from Crypto.Util.number import * def ef(): p=getPrime(512) q=getPrime(512) flag=open("flag","rb").read() m=bytes_to_long(flag) e=65537 n=p*q c=pow(m,e,n) print(n,...
BUUCTF-Crypto-RSA2
Georgeiweb的博客
10-25 1864
RSA2 题目: e = 65537 n = 2482540078515262411777215266989018029858327661762216096122588 7737162058006043310153832803030521991869764361981420093067961210 988553380133534844502375167047843707305554472428068473329805159 916766030364518314616149748535863368149212
BUU-RSA入门题合集 第二弹
晓寒的博客
07-15 1947
BUUCTF-RSA签到题第二弹,有意思或者有难度的RSA题目单独放在专栏里了BUUCTF RSA专栏_晓寒的博客-CSDN博客 Dangerous RSA(低加密指数攻击) 题目 n=0x52d483c27cd806550fbe0e37a61af2e7cf5e0efb723dfc81174c918a27627779b21fa3c851e9e94188eaee3d5cd6f752406a43fbecb53e80836ff1e185d3ccd7782ea846c2e91a7b0808986666e0bdad
BUUCTF_Crypto_rsa2
qq_58370970的博客
11-22 566
BUUCTF_Crypto_rsa2 题目:给了一个py文件,打开查看 明显能够看出是低解密指数攻击 可以参考这位大哥的RSA大礼包 代码: import gmpy2 def continuedFra(x, y): cF = [] while y: cF += [x // y] x, y = y, x % y return cF def Simplify(ctnf): numerator = 0 denominato
BUUCTF-CRYPTO-强网杯2019 Copperstudy
zippo1234的博客
11-01 3062
BUUCTF-CRYPTO-强网杯2019 Copperstudy[强网杯2019] Copperstudy题目分析开始1.题目2.第0层3.第1层4.第2层5.第3层6.第4层7.第5层8.第6层9.get flag结语 每天一题,只能多不能少 [强网杯2019] Copperstudy 题目分析 RSA套娃,各种类型的RSA,对于我现在的水平来说真的是难于上青天。鉴于道奇时隔32年又夺冠军(28日的事了),今天就先记录下来。以后慢慢看 hash破解 e=3 已知p高位攻击 已知d低位攻击 低加密指数广
CTF 每日一题 Day41 rsa2
ChaoYue_miku的博客
02-10 2660
题目名称:rsa2 题目类型:Crypto 题目来源:BUUCTF 题目描述:听说这题是rsa的续集 注意:得到的 flag 请包上 flag{} 提交
2022鹏城杯CTF---Crypto
Luiino的博客
09-18 2448
第一部分,e与phi_n不互素,gcd(e,phi_n) == 4,此时e对phi_n没有逆元,但gcd(e//t,phi_n) == 1。mod n,由上面的for循环可以知道M与初始m的关系:M = m * (p-q-1)!对n进行分解,得到p、q,小的是q。记print(pow(m,e,n))里的m为M,故有c2 =第三部分, 看到M = 2022 * m * 1011 * p,又n = p*q,且c =记两输出结果分别为c1、c2,由print(pow(2,e,n))可以得到:c1 =
CTF-CRYPTO-OTHER-pure math
zippo1234的博客
12-30 716
CTF-CRYPTO-OTHER-pure mathpure math题目分析开始1.题目2.分析3.上脚本4. get flag结语 俺又回来了。很遗憾世事难料,CTF以后只能作为兴趣爱好了。希望能做到经常更新 pure math 题目分析 开始 1.题目 p, q为大素数,且gcd(p, q)=1。已知: 1) p ** p % q = 714524049641435943105999741526097792730322384404239011969937133613136793624750369055
深入浅出RSACTF中的攻击套路
热门推荐
CTF小白的博客
12-05 2万+
0x01 前言 本文对RSA中常用的模逆运算、欧几里得、拓展欧几里得、中国剩余定理等算法不展开作详细介绍,仅对遇到的CTF题的攻击方式,以及使用到的这些算法的python实现进行介绍。目的是让大家能轻松解决RSACTF中的套路题目。 0x02 RSA介绍 介绍 首先,我这边就不放冗长的百度百科的东西了,我概括一下我自己对RSA的看法。 RSA是一种算法,并且广泛应用于现代,用于保密通信。 RSA...
ctf GetFlag
cs_xiaoqiang的博客
01-18 6085
今天好不容易将这道题做出来了,来与大家分享分享。题目如下:访问连接:   http://106.75.26.211:2222   先查看源码,没有任何发现。但是在页面上发现一个登陆窗口,跳转到登陆窗口。并且发现验证码是纯数字的md5的值取最前面的6位,那么可以自己写一个脚本来跑 有了验证码之后,本来是准备尝试爆破的。可是发现每访问一次验证码都会改变,所以这条路明显行不通。经过多次的尝试之后发现登陆
buu ctf web进阶]ssti
08-23
buu ctf web进阶中,ssti代表 Side Template Injection,是一种应用程序中的安全漏洞。通过此漏洞,攻击者可以注入恶意代码到服务器端的模板引擎,从而执行任意代码或获取敏感信息。这种漏洞可能导致服务器被入侵,用户数据泄露等安全问题。在比赛中,参赛者需要学习ssti的原理和常见的攻击方法,并利用它来获取目标系统的flag。在比赛中,常见的ctf题目会提供一些模板注入的挑战,参赛者需要在给定的条件下,构造合适的payload来实现攻击目标。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [(wp)ctfweb-buu中ssti模板注入](https://blog.csdn.net/qq_51862722/article/details/118685275)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值