Buuctf的RSA(四)

最新推荐文章于 2024-08-05 17:04:33 发布
最新推荐文章于 2024-08-05 17:04:33 发布
阅读量598 收藏 12
点赞数 30
文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ndjnddjxn/article/details/139333016
版权

[BJDCTF2020]easyrsa

题目:

简单分析一下,有个特殊的

z=Fraction(1,Derivative(arctan(p),p))-Fraction(1,Derivative(arth(q),q))

经查询,

​​​​​​Derivative(f(x),x)   :用来求倒数

Fraction(a,b)   = a/b

arctan,arth的导函数分别为(1/1+x^2),(1/1-x^2)

最终,z=p^2+q^2

接下来的话,一开始题目下面的一大串数分别为c,z,n

from Crypto.Util.number import *
from gmpy2 import *

c = 7922547866857761459807491502654216283012776177789511549350672958101810281348402284098310147796549430689253803510994877420135537268549410652654479620858691324110367182025648788407041599943091386227543182157746202947099572389676084392706406084307657000104665696654409155006313203957292885743791715198781974205578654792123191584957665293208390453748369182333152809882312453359706147808198922916762773721726681588977103877454119043744889164529383188077499194932909643918696646876907327364751380953182517883134591810800848971719184808713694342985458103006676013451912221080252735948993692674899399826084848622145815461035
z = 32115748677623209667471622872185275070257924766015020072805267359839059393284316595882933372289732127274076434587519333300142473010344694803885168557548801202495933226215437763329280242113556524498457559562872900811602056944423967403777623306961880757613246328729616643032628964072931272085866928045973799374711846825157781056965164178505232524245809179235607571567174228822561697888645968559343608375331988097157145264357626738141646556353500994924115875748198318036296898604097000938272195903056733565880150540275369239637793975923329598716003350308259321436752579291000355560431542229699759955141152914708362494482
n = 15310745161336895413406690009324766200789179248896951942047235448901612351128459309145825547569298479821101249094161867207686537607047447968708758990950136380924747359052570549594098569970632854351825950729752563502284849263730127586382522703959893392329333760927637353052250274195821469023401443841395096410231843592101426591882573405934188675124326997277775238287928403743324297705151732524641213516306585297722190780088180705070359469719869343939106529204798285957516860774384001892777525916167743272419958572055332232056095979448155082465977781482598371994798871917514767508394730447974770329967681767625495394441

paddq, mod = iroot(z + 2 * n, 2)
pmulq, mod = iroot(z - 2 * n, 2)
p = (paddq + pmulq) // 2
q = paddq - p
e = 65537
phi = (q - 1) * (p - 1)
d = invert(e, phi)
m = pow(c, d, n)
flag = long_to_bytes(m)
print(flag)

代码中的,

iroot方法被用来寻找整数的平方根,具体来说就是,iroot(a,b)会返回 (x,exact),其中x是a的b次方根,exact是一个布尔值,表示x是否是a的精确b次方根

由于这里我们假设zpq有关,我们可以推测z可能是(p+q)的平方的一半减一(即((p+q)/2)^2 - 1)。这样,通过添加或减去2n(即2pq),我们可以使表达式更接近一个完全平方数,从而更容易找到其平方根。

然后,我们可以假设paddq(p+q)/2,而pmulq(p-q)/2(或者它们的相反数,取决于z的确切定义和iroot的返回值)。

[NCTF2019]babyRSA

题目:

遇到了  nextPrime(n)函数

      这个函数用于找到一个大于给定数字N的最小素数。如果n是偶数,则将其增加2(因为除了2以外的偶数都不是素数)。使用while循环和isPrime函数(来自Crypto.Util.number)来检查n是否为素数,如果不是,则继续增加2。

   p = getPrime(1024): 使用getPrime函数生成一个1024位的随机素数。

   q = nextPrime(p): 使用之前定义的nextPrime函数生成一个大于P的最小素数。

现在是知道了d和e,c

RSA加密原理:ed=1%(p-1)(q-1),ed-1=k*(p-1)(q-1)

e=0x10001
d = 19275778946037899718035455438175509175723911466127462154506916564101519923603308900331427601983476886255849200332374081996442976307058597390881168155862238533018621944733299208108185814179466844504468163200369996564265921022888670062554504758512453217434777820468049494313818291727050400752551716550403647148197148884408264686846693842118387217753516963449753809860354047619256787869400297858568139700396567519469825398575103885487624463424429913017729585620877168171603444111464692841379661112075123399343270610272287865200880398193573260848268633461983435015031227070217852728240847398084414687146397303110709214913
c = 5382723168073828110696168558294206681757991149022777821127563301413483223874527233300721180839298617076705685041174247415826157096583055069337393987892262764211225227035880754417457056723909135525244957935906902665679777101130111392780237502928656225705262431431953003520093932924375902111280077255205118217436744112064069429678632923259898627997145803892753989255615273140300021040654505901442787810653626524305706316663169341797205752938755590056568986738227803487467274114398257187962140796551136220532809687606867385639367743705527511680719955380746377631156468689844150878381460560990755652899449340045313521804
import sympy.crypto
import gmpy2
e_d_1=e*d-1
p=0
q=0
for k in range(pow(2,15),pow(2,16)):
    if e_d_1%k==0:
        p=sympy.prevprime(gmpy2.iroot(e_d_1//k,2)[0])
        q=sympy.nextprime(p)
        if (p-1)*(q-1)*k==e_d_1:
            break
n=p*q
print(n)
m=gmpy2.powmod(c,d,n)
print(m)
import binascii
print(binascii.unhexlify(hex(m)[2:]))

写出该脚本的思路:

  1. 导入必要的库gmpy2  sympy.crypto
  2. 定义RSA参数:e,d,c
  3. 尝试通过ed恢复模数n
    • 这部分代码试图通过暴力搜索的方式来找到pq,从而恢复模数n。然而,这种方法在实际应用中是不可取的,因为它效率低下且不一定能成功。
    • 它首先计算e_d_1 = e * d - 1,并假设e_d_1可以表示为(p-1)*(q-1)*k的形式,其中k是一个介于2^152^16之间的整数。
    • 然后,它遍历这个范围内的所有k值,并试图找到满足条件的pq
    • 如果找到了满足条件的pq,则计算n = p * q
  4. 解密密文:使用gmpy2.powmod(c, d, n)函数进行模幂运算,
  5. 将解密后的数值转换为可读的格式
    • 使用hex(m)[2:]m转换为十六进制字符串(去掉开头的'0x')。
    • 使用binascii.unhexlify将十六进制字符串转换回字节串。

总结:共模攻击

       自己写个题来让你理解:

#coding:utf-8
import libnum
import gmpy2
#生成素数
p=libnum.generate_prime(1024)
q=libnum.generate_prime(1024)
e1=2333
e2=23333

#共模攻击
m="flag{6ed4c74e022cb18c8039e96de93aa9ce}"
m=libnum.s2n(m)
n=p*q
c1=pow(m,e1,n)
c2=pow(m,e2,n)
print("n1=",n)
print("e1=",e1)
print("c1=",c1)
print("n2=",n)
print("e2=",e2)
print("c2=",c2)

出题代码思路:

  1. 导入库       
  2. 定义RSA公钥的模数n、两个加密指数e1e2、以及两个密文c1c2
  3. 定义共模攻击函数rsa_gong_N_def
    • 函数接收五个参数:e1e2c1c2n
    • 首先,将输入参数转换为整数类型,确保所有操作都在整数域进行。
    • 使用gmpy2.gcdext函数计算e1e2的扩展欧几里得算法结果。该函数返回一个三元组(g, x, y),其中ge1e2的最大公约数(在此场景下应为1,因为e1e2互质),而xy是满足x*e1 + y*e2 = g的整数。
    • gcdext的结果中提取xy的等价值s1s2,确保它们是非负的(如果需要,通过取反和模反元素来调整)。
    • 如果s1是负数,则取s1的相反数,并使用gmpy2.invert函数计算c1在模n下的模反元素(因为(a^-1)^-1 = a在模运算下成立)。
    • 如果s2是负数,则进行类似的调整,对s2取相反数并计算c2的模反元素。
    • 使用调整后的s1s2c1(如果需要取模反)和c2(如果需要取模反),以及公钥n,计算m = (c1^s1 * c2^s2) mod n。这是基于RSA加密的幂运算性质和扩展欧几里得算法的结果。
    • 返回计算得到的明文整数m
  4. 执行共模攻击并打印结果:调用rsa_gong_N_def函数,打印出明文整数m。使用libnum.n2s数将明文整数m转换为字符串,并打印出来。

随机生成了p,q

解题:

#coding:utf-8
import gmpy2
import libnum

n= 25333966058003377512707481338795714713737652659944601834182685873529702913988641983855700459996104700470621411559153944988952210084014634675583566338568882440708528997808798650962116756969822211586531522430245040013570571043385238601846104615050089457836721437790715225367971106085839523500735480715155424498941150468093083816830215632716244390679417218873179734276657411907216486790815037105108306055794473002315541787461904728375164737225486501009857299717749346279371251245318729951905832578739696926931502225899707226264570557623527701806829827566904224572897378639191756878049342203546309520458672464170859577433
e1= 2333
c1= 11355981897781478907853356911752561659125575027336719997290835661089901154031171698660586203170528368228850895159361637188990782030255983633790580700032092629587631108597144196551438410868034739981960656110887650747325311613900008001234835897835613759692146419080113176963747835592656185435741504176116672174539018089139547795447109458469225330809064539216773123671814859510069089532677704482026169178543062578686794346026774853085101278125763460212801929360456888869350105294595904940799522522144740464043605342348269086324747729288399275079874271519208155039364092577755518532799345651172433227745483422620900776136
e2= 23333
c2= 1326499538902841116411674554069945581390130048432351353260154261863309471312810811160302458644816390944833633923435634961251092531893503039914793217247984595331920909367627316087404934402312358642315675486438968585084964845763881078835787872160374025547400141298650794551970291119975344578667689961134814676553190178139842507675899262024572370313939107080072875068218336255452161407859907308656094331557912187788276334833723893856310434523337557011032081467262457427167978528280339494077785813461280853735266463152709443731638714219391773144349752633555310299318290576258086971373777118482642702020599928071855133041

#共模攻击
#共模攻击函数
def rsa_gong_N_def(e1,e2,c1,c2,n):
    e1, e2, c1, c2, n=int(e1),int(e2),int(c1),int(c2),int(n)
    s = gmpy2.gcdext(e1, e2)
    s1 = s[1]
    s2 = s[2]
    if s1 < 0:
        s1 = - s1
        c1 = gmpy2.invert(c1, n)
    elif s2 < 0:
        s2 = - s2
        c2 = gmpy2.invert(c2, n)
    m = (pow(c1,s1,n) * pow(c2 ,s2 ,n)) % n
    return int(m)
m = rsa_gong_N_def(e1,e2,c1,c2,n)
print(m)
print(libnum.n2s(int(m)))

得到了

根据出题过程可以得到了,

先要判断e1和e2是否互质

两个及以上的公钥(n,e)来加密同一条信息m

c1 = pow(m, e1, n)
c2 = pow(m, e2, n)
e1,e2互质,则有

gcd(e1,e2)=1
根据扩展欧几里德算法 对于不完全为 0 的整数 a,b,gcd(a,b)表示 a,b 的最大公约数。那么一定存在整数 x,y 使得 gcd(a,b)=ax+by

e1*s1+e2*s2 = 1 

而且在同一m,同一n,不同e,进行加密。在不需要知道d的情况下,可以进行解密。

ndjnddjxn
关注
  • 30
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Buuctf RSA 详细题解
偷一个月亮
08-31 3920
import Crypto import binascii from Crypto.PublicKey import RSA from Crypto.Util.number import long_to_bytes,bytes_to_long import gmpy2 import rsa r=open('pub.key').read() pub=RSA.importKey(r) n=pub.n e=pub.e print n print e p = 28596046889045163793562944.
BUUCTF rsarsa
shshss64的博客
10-01 1789
已知p、q、e、密文c,求明文m
【Crypto | CTF】BUUCTF rsarsa1
weixin_46301214的博客
02-03 807
这道题给出了 p,q,E,就是给了两个质数和公钥。最后把私钥和质数放进去解密即可得到解密后的明文。天命:第二题RSA解密啦,这题比较正宗。有这三个东西,那就可以得出私钥了。
buuctfRSA(六)
ndjnddjxn的博客
06-07 307
这个不是base64,但也不是正确的base32。开始代码审计,大致意思是说flag分为了两个,之前总结过共模攻击内容,有兴趣可以去看看。最后就来得到flag,修改一下顺序即可。后面就就是求flag1,flag2了。打开output.txt是n和c。打开另一个发现了n,m1,m2。那么根据以前的总结来做。解出来了c,这里来了个。下载压缩后有两个文件。
BUUCTF RSA
m0_62905261的博客
08-28 1059
RSA
buuctf-RSA1
fevergun的博客
12-03 1330
buuctf 练习场 crypto RSA1
buuctf rsa1
mxyywang的博客
02-28 314
查看了很多,发现很多推理不详细,甚至有错误。自己写一下
buuctf RSA3
shshss64的博客
10-02 386
共模攻击
crypto buuctf RSA1
weixin_44214568的博客
10-06 927
解压,一个是enc格式的文件,一个是Key格式的文件, enc格式:enc是用Encore 软件制作的文件,用Adobe Encore 打开。是一个制作dvd的软件产生的格式。 key格式:key文件一般是用来注册或破解的文件,可以用记事本打开。 用记事本打开pub.key: 公钥文件,需要进行公钥解析SSL在线工具-公钥解析 计算出了e和n; 再需要解d; 对n进行分解:factordb.com 计算出p和q p=285960468890451637935629440372639
BUUCTF rsarsa 1
YueXuan_521的博客
06-12 415
BUUCTF rsarsa 1
BUUCTF RSA 1
YueXuan_521的博客
06-08 252
BUUCTF RSA 1
数学建模之数据分析【先导片】
lmx1458070445的博客
08-05 685
数据分析的定义为研究、清理、建模和转换数据,以找到有用的信息、提出结论并支持决策。
python字符串数据容器练习(replace,split,count)
2301_79600015的博客
07-31 684
Python字符串是由一系列字符组成的数据类型。在Python中,字符串是不可变的,这意味着一旦创建了一个字符串,就不能修改它的内容。以下是关于Python字符串的一些重要知识点:1. 字符串的基本操作:拼接字符串:使用`+`运算符。重复字符串:使用`*`运算符。索引和切片:使用`[]`和`:`操作符访问字符串中的子串。长度:使用`len()`函数获取字符串长度。转换大小写:使用`upper()`和`lower()`方法。分割和连接:使用`split()`和`join()`方法。
【BUG】Gunicorn [CRITICAL] WORKER TIMEOUT (pid:41518)
集电极
07-31 257
在使用Gunicorn 启动一个Flask服务后,访问接口响应错误,查看日志发现了该错误。具体上,我的接口大约需要2分钟才将结果返回,因此我的超时时间应该设置为200秒比较合适。秒内没有返回结果,Gunicorn 会弹出超时错误,并且会杀死flask服务重启。:接口返回时间超时。默认情况下,Gunicorn 超时时间为。样例,设置超时时间为200秒。解决方法是在启动命令中。
Java 设计模式之桥接模式(Bridge Pattern)
微笑听雨
08-05 563
桥接模式(Bridge Pattern)是一种用于将抽象部分与其实现部分分离的结构型设计模式。这种模式通过组合关系而不是继承关系来连接抽象与实现,使代码更具扩展性和维护性。桥接模式的核心思想是将抽象和实现解耦,使得两者可以独立变化。桥接模式(Bridge Pattern)是一种结构型设计模式,旨在将抽象部分与其实现部分分离,从而使两者可以独立地变化。桥接模式通过组合关系代替继承关系,将抽象和实现解耦,使代码更具扩展性和维护性。
PAI-DSW中对齐NoteBook和命令行的Python环境
MilkLeong的博客
08-02 689
我认为在最开始NoteBook和命令行的Python环境是一致的,只是我前面在部署LLaMA-Factory时进行了如下操作将命令行的Python环境改成了/root/anaconda3/bin/python。具体详见。
python游戏开发之五子棋游戏制作
最新发布
m0_65482549的博客
08-05 760
它通过简洁明了的语法和逻辑结构,提高了代码的可读性和可维护性。通过引入交互性更强的用户输入方式,使得玩家可以更直观地参与游戏,增强了游戏的可玩性和用户体验。总的来说,这段 Python 在保持游戏逻辑不变的情况下,提升了代码的质量和可玩性,为开发者和玩家带来了更好的体验。如有侵权,请联系删除。
python中的三元表达式
cyj0919的博客
08-01 264
三元表达式是一种简洁的方式来根据某个条件选择两个值中的一个。它由三个部分组成:条件判断、冒号(:)、然后是两个可能的结果。
buuctf RSA
09-15
buuctf RSA是一种常见的RSA加密算法。根据给出的引用内容,buuctf RSA加密算法涉及到使用公钥加密和私钥解密的过程。根据不同的引用,我们可以得到三个解密的例子。 1. 第一个例子中,给出了使用gmpy2库和rsa库进行解密的代码。其中,e、n、p、q、phi_n等参数都是已知的。通过计算,可以得到私钥d,并将密文c解密为明文m,最后打印出来。 2. 第二个例子中,同样给出了解密的代码,也是使用gmpy2库进行计算。通过已知的e、n、p、q等参数,计算出私钥d,并将密文c解密为明文m,最后打印出来。 3. 第三个例子中,给出了一组密文列表list_c,以及相应的参数e、n、p、q等。通过循环遍历列表,使用已知参数计算私钥d,并将每个密文c解密为明文m,最后将明文m拼接成完整的flag并打印出来。 综上所述,buuctf RSA是一种基于RSA算法的加密算法,可以通过给定的参数计算出私钥并解密密文为明文。具体的解密过程可以根据不同的例子进行参考。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值