buuctf的RSA(六)

最新推荐文章于 2024-06-27 14:46:53 发布
最新推荐文章于 2024-06-27 14:46:53 发布
阅读量325 收藏 7
点赞数 3
文章标签: python numpy 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ndjnddjxn/article/details/139534905
版权

[GWCTF 2019]BabyRSA

下载压缩后有两个文件

开始代码审计,大致意思是说flag分为了两个,

简单分析一下,

secret_num = getPrime(1024) * bytes_to_long(secret)

        将secret字符串转换为长整数,并与上述素数相乘,得到secret_num

        使用sympy.nextprime找到大于secret_num的第一个素数,作为p

         接着找到大于p的第一个素数,作为q

         计算N = p * q

c1 = F1 + F2
c2 = pow(F1, 3) + pow(F2, 3)
assert(c2 < N)

计算c1 = F1 + F2c2 = F1^3 + F2^3

使用assert确保c2 < N,这是为了确保在后续的模幂运算中不会出现溢出。

打开另一个发现了n,m1,m2

分解

接下来求c1,c2

简单的脚本

import libnum

p = 797862863902421984951231350430312260517773269684958456342860983236184129602390919026048496119757187702076499551310794177917920137646835888862706126924088411570997141257159563952725882214181185531209186972351469946269508511312863779123205322378452194261217016552527754513215520329499967108196968833163329724620251096080377748737
q = 797862863902421984951231350430312260517773269684958456342860983236184129602390919026048496119757187702076499551310794177917920137646835888862706126924088411570997141257159563952725882214181185531209186972351469946269508511312863779123205322378452194261217016552527754513215520329499967108196968833163329724620251096080377747699
n = 636585149594574746909030160182690866222909256464847291783000651837227921337237899651287943597773270944384034858925295744880727101606841413640006527614873110651410155893776548737823152943797884729130149758279127430044739254000426610922834573094957082589539445610828279428814524313491262061930512829074466232633130599104490893572093943832740301809630847541592548921200288222432789208650949937638303429456468889100192613859073752923812454212239908948930178355331390933536771065791817643978763045030833712326162883810638120029378337092938662174119747687899484603628344079493556601422498405360731958162719296160584042671057160241284852522913676264596201906163
m1 = 90009974341452243216986938028371257528604943208941176518717463554774967878152694586469377765296113165659498726012712288670458884373971419842750929287658640266219686646956929872115782173093979742958745121671928568709468526098715927189829600497283118051641107305128852697032053368115181216069626606165503465125725204875578701237789292966211824002761481815276666236869005129138862782476859103086726091860497614883282949955023222414333243193268564781621699870412557822404381213804026685831221430728290755597819259339616650158674713248841654338515199405532003173732520457813901170264713085107077001478083341339002069870585378257051150217511755761491021553239
m2 = 487443985757405173426628188375657117604235507936967522993257972108872283698305238454465723214226871414276788912058186197039821242912736742824080627680971802511206914394672159240206910735850651999316100014691067295708138639363203596244693995562780286637116394738250774129759021080197323724805414668042318806010652814405078769738548913675466181551005527065309515364950610137206393257148357659666687091662749848560225453826362271704292692847596339533229088038820532086109421158575841077601268713175097874083536249006018948789413238783922845633494023608865256071962856581229890043896939025613600564283391329331452199062858930374565991634191495137939574539546
e = 65537
d = libnum.invmod(e, (p - 1) * (q - 1))
print(d)

c2 = pow(m2, d, n)
c1 = pow(m1, d, n)
print('c1=', c1)
print('c2=', c2)

后面就就是求flag1,flag2了

继续回去仔细看代码

似乎有点像方程

来列方程后

from sympy import symbols    #sympy是在数学中求素数的
from sympy import solve
c1=
c2=
f1=symbols('f1')
f2=symbols('f2')
x=f1+f2-c1
y=f1**3+f2**3-c2
intr=solve([x,y],[f1,f2],dict=True)   #解出值后以字典的形式输出

print(intr)

得到了F1和F2

最后就来得到flag,修改一下顺序即可

[ACTF新生赛2020]crypto-rsa3

这是个很简单的题目

打开output.txt是n和c

n分解

最基础的RSA

import gmpy2
from Crypto.Util.number import long_to_bytes

n = 177606504836499246970959030226871608885969321778211051080524634084516973331441644993898029573612290095853069264036530459253652875586267946877831055147546910227100566496658148381834683037366134553848011903251252726474047661274223137727688689535823533046778793131902143444408735610821167838717488859902242863683
c = 1457390378511382354771000540945361168984775052693073641682375071407490851289703070905749525830483035988737117653971428424612332020925926617395558868160380601912498299922825914229510166957910451841730028919883807634489834128830801407228447221775264711349928156290102782374379406719292116047581560530382210049
e = 65537
p = 13326909050357447643526585836833969378078147057723054701432842192988717649385731430095055622303549577233495793715580004801634268505725255565021519817179293
q = 13326909050357447643526585836833969378078147057723054701432842192988717649385731430095055622303549577233495793715580004801634268505725255565021519817179231

phi_n = (p - 1) * (q - 1)
d = gmpy2.invert(e, phi_n)
m = gmpy2.powmod(c, d, n)
print(long_to_bytes(m))

[BJDCTF2020]rsa_output

这一看就是共模攻击

之前总结过共模攻击内容,有兴趣可以去看看

那么根据以前的总结来做

简简单单

#coding:utf-8
import gmpy2
import libnum

n=21058339337354287847534107544613605305015441090508924094198816691219103399526800112802416383088995253908857460266726925615826895303377801614829364034624475195859997943146305588315939130777450485196290766249612340054354622516207681542973756257677388091926549655162490873849955783768663029138647079874278240867932127196686258800146911620730706734103611833179733264096475286491988063990431085380499075005629807702406676707841324660971173253100956362528346684752959937473852630145893796056675793646430793578265418255919376323796044588559726703858429311784705245069845938316802681575653653770883615525735690306674635167111
c1=20152490165522401747723193966902181151098731763998057421967155300933719378216342043730801302534978403741086887969040721959533190058342762057359432663717825826365444996915469039056428416166173920958243044831404924113442512617599426876141184212121677500371236937127571802891321706587610393639446868836987170301813018218408886968263882123084155607494076330256934285171370758586535415136162861138898728910585138378884530819857478609791126971308624318454905992919405355751492789110009313138417265126117273710813843923143381276204802515910527468883224274829962479636527422350190210717694762908096944600267033351813929448599
e2=3659
e1=2767
c2=11298697323140988812057735324285908480504721454145796535014418738959035245600679947297874517818928181509081545027056523790022598233918011261011973196386395689371526774785582326121959186195586069851592467637819366624044133661016373360885158956955263645614345881350494012328275215821306955212788282617812686548883151066866149060363482958708364726982908798340182288702101023393839781427386537230459436512613047311585875068008210818996941460156589314135010438362447522428206884944952639826677247819066812706835773107059567082822312300721049827013660418610265189288840247186598145741724084351633508492707755206886202876227
#共模攻击
#共模攻击函数
def rsa_gong_N_def(e1,e2,c1,c2,n):
    e1, e2, c1, c2, n=int(e1),int(e2),int(c1),int(c2),int(n)
    s = gmpy2.gcdext(e1, e2)
    s1 = s[1]
    s2 = s[2]
    if s1 < 0:
        s1 = - s1
        c1 = gmpy2.invert(c1, n)
    elif s2 < 0:
        s2 = - s2
        c2 = gmpy2.invert(c2, n)
    m = (pow(c1,s1,n) * pow(c2 ,s2 ,n)) % n
    return int(m)
m = rsa_gong_N_def(e1,e2,c1,c2,n)
print(m)
print(libnum.n2s(int(m)))

[HDCTF2019]bbbbbbrsa

看来有点复杂

没有给e的具体值

另一个信息就是这个

解出来了c,这里来了个字符串反转

之前想的是直接输出

这个不是base64,但也不是正确的base32

而是base32倒序解密

一般来说用

from base64 import b32decode  
  
p = 177077389675257695042507998165006460849  
n = 37421829509887796274897162249367329400988647145613325367337968063341372726061  
c = '==gMzYDNzIjMxUTNyIzNzIjMyYTM4MDM0gTMwEjNzgTM2UTN4cjNwIjN2QzM5ADMwIDNyMTO4UzM2cTM5kDN2MTOyUTO5YDM0czM3MjM'  
  

c = c.rstrip('=')  
  
# 反转字符串  
c = c[::-1]  
  
# 使用Base32解码  
try:  
    decoded_data = b32decode(c)  
    print(decoded_data)  
except Exception as e:  
    print(f"Error decoding Base32 string: {e}")

终于得得到了c

最后

利用

得出flag

from base64 import b64encode as b32encode
from base64 import b64decode as b32decode
import gmpy2
from Crypto.Util.number import *
from binascii import a2b_hex,b2a_hex
import random


q = n //p
#q = 211330365658290458913359957704294614589
phi = (q-1) * (p-1)
e = random.randint(50000,70000)
for e in range(50000,70000):
	if gmpy2.gcd(e,phi) == 1:
		d = gmpy2.invert(e ,phi)
		m = pow(c,d,n)
		if 'flag' in str(long_to_bytes(m)):
			print('e = ',e)
			print(long_to_bytes(m))
			break

ndjnddjxn
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF RSA2&RSA3 解题思路及公式推导
晓寒的博客
07-07 3459
RSA2 题目 e = 65537 n=24825400785152624117772152669890180298583276617622160961225887737162058006043310153832803030521991869764361981420093067961210988553380133534844502375167047843707305554472428068473329805159916766030364518314616149748535863368149212966
Buuctf RSA 详细题解
偷一个月亮
08-31 3938
import Crypto import binascii from Crypto.PublicKey import RSA from Crypto.Util.number import long_to_bytes,bytes_to_long import gmpy2 import rsa r=open('pub.key').read() pub=RSA.importKey(r) n=pub.n e=pub.e print n print e p = 28596046889045163793562944.
BUUCTF 打卡1
qq_52193383的博客
08-19 243
由于后面的知识盲点太多了,就从头开始把之前不会的再做一遍。 1.RSA5 一大串数据,20次加密过程中的m、e相同。我以为是广播攻击,想着用剩余定理来解,自己编的脚本差劲,就用了书上的脚本。解出个’\x01‘。回头再看一下广播攻击的前提,加密指数e较低!!!e = 65537应该算大吧。于是只能将这20个n进行分解,在n5的时候解出了p、q。 import libnum,gmpy2 n = 22822039733049388110936778173014765663663303811791283234361
BUUCTF打卡
Leo8283的博客
04-26 370
[BJDCTF2020]Cookie is so stable 根据提示关注Cookie 在输入框里输入{{7*7}} 页面上回显49 cookie里多了user 但直接用burp重发却没有,因为cookie里没有user,要根据前面的发现自己添加注入 是Twig模板 https://www.k0rz3n.com/2018/11/12/%E4%B8%80%E7%AF%87%E6%96%87%E7%AB%A0%E5%B8%A6%E4%BD%A0%E7%90%86%E8%..
BUUCTF题解之rsarsa
最新发布
2301_77071929的博客
06-27 464
可得答案为flag{5577446633554466577768879988}根据解密公式可以调用powmod进行解密。可以求出e的逆元素d,模数p*q。将文件解压缩以后我们可得题目。题目中给了p,q,e和密文c。
BUUCTF 打卡 21/9/1 Many-Time-Pad
qq_52193383的博客
09-01 584
参考博客:[Pion1eer_blog](Many-Time-Pad 攻击 (ruanx.net)) 因为最近遇到一道一次一密的题目,故把所学的记下。 Many-Time-Pad攻击: 本文讨论的情况是利用简单异或实现的加密,且是一个密钥进行多轮加密。 假设加密的明文分别为M1 , M2 , … , Mi ,对应密文C1 , C2 , … , C3 , 密钥为K。 加密过程为 Ci = Mi ^ K。 根据异或的性质(相同为0,不同为1),我们可以将任意两个密文进行异或,将会得到不含有密钥的式子: Ci
BUUCTF 打卡2
qq_52193383的博客
08-20 385
1.RSA4 题目给出了三组c和n,猜测是广播攻击。猜测e = 3。自己写的脚本有点不靠谱,就借用书上的。值得注意的是题目给出的c和n都是5进制数!!!(仔细点的话可以看出数据中没有出现>=5的数字) #广播攻击??? import gmpy2,libnum from Crypto.Util.number import long_to_bytes,bytes_to_long def broadcast_attack(data): def extended_gcd(a,b):
BUUCTF 每日打卡 2021-7-14
weixin_52446095的博客
07-14 651
引言 鸽了快两个月,假期继续刷BUU,可以的话继续cryptohack 四面八方 看题干也看不出来什么 给了一个txt文件 key1:security key2:information 密文啊这是,骚年加油:zhnjinhoopcfcuktlj 摸不着头脑 找wp,知道是没见过的四方密码 是一种对称加密,多表替换密码 找了一个靠谱的在线工具 然后把结果换成小写套上flag就行 [De1CTF2019]babyrsa 加密代码如下: import binascii from data import e1,
BUUCTF RSA4(中国剩余定理)
晓寒的博客
07-09 3783
RSA4(中国剩余定理) 题目 给出3组n和c N = 331310324212000030020214312244232222400142410423413104441140203003243002104333214202031202212403400220031202142322434104143104244241214204444443323000244130122022422310201104411044030113302323014101331214303223312402430402404413
buuctf rsa刷题记录(记几种类型的RSA攻击二)
舞动的獾
12-06 6487
前言 最近学习了点儿rsa这里总结以下我的buctf rsa部分刷题记录 dp,dp泄露 场景描述: 假设题目仅给出p,q,dp,dq,c,即不给公钥e 这种参数是为了让解密的时候更快速产生的 dp=d%(p-1) dq=d%(q-1) 例如: buuctf RSA1 p = 863763376725700856709965348654109117132049150943361544753916...
buuctf RSA
09-15
buuctf RSA是一种常见的RSA加密算法。根据给出的引用内容,buuctf RSA加密算法涉及到使用公钥加密和私钥解密的过程。根据不同的引用,我们可以得到三个解密的例子。 1. 第一个例子中,给出了使用gmpy2库和rsa库进行...
BUUCTF---RSA
Bigotry77的博客
10-17 2532
如图,这两个文件直接打不开,可以改成.txt结尾的记事本形式,后面flag.txt内容为: A柪YJ^ 柛x秥?y[蔜?旭?緃沚 Pub.txt内容为: -----BEGIN PUBLIC KEY----- MDwwDQYJKoZIhvcNAQEBBQADKwAwKAIhAMAzLFxkrkcYL2wch21CM2kQVFpY9+7+ /AvKr1rzQczdAgMBAAE= -----END PUBLIC KEY----- 然后我去网上看思路,不知道咋得到256bit的,后来...
BUUCTF刷题记录
2301_78965658的博客
09-04 425
现在是暑假第四周,BUU现在是正在刷第三页。加油学,只要能不断超越过去的自己,就是最值得骄傲的事。
buuoj Crypto
qq_41071646的博客
02-03 1276
最近准备刷buuoj 刷的部分是 pwn re 还有crypto 然后打算做一个项目 放到github 当成毕业设计,,,,, md5 这个题目在md5解密网站解一下就出来了 二踢腿 这个题目。。。 就是偏移13的凯撒密码,, 直接解开就好 url解码 直接url 解码就好。。 一眼就解密 直接base64解密就好 摩丝密码 解密一下就好http://www.zhon...
buuctf_crypto_rsarsa+大帝的密码武器
m0_73118788的博客
02-29 223
记得,输入p,q数值时,在第一栏用逗号隔开。自己用python算n,n=p*q。填完p,q和n和e,右键先算D(不然报错),再算明文M。
buuctf新生赛RSA题解
qq_73824585的博客
10-06 2601
CTF crypto rsa
buuctfRSA(五)
ndjnddjxn的博客
05-31 952
连分数可以是有限的(即终止于某个an​),也可以是无限的(即不终止)。A转化为2进制后是2017位,而说明第一项只能为1,相比于第二项,第三项可以忽略,所以对A开316次根,得到y的估计值为83,考虑忽略项,实际y的值小于等于83。看了其他大神的wp,似乎常规解法是根据A来推测x,y的范围,解出x,y,根据q与iroot(n/(x*y),2)的值相接近.从而可以得出p,q的值.接下来可以暴力破解e了,因为e没有给出来,应该不会太大,猜测是四位数字。一看到题目,我就有些蒙了,A是代表了什么,
BUUCTF RSA5浅析
qq_42391153的博客
11-19 2974
RSA5 这道题看起来很麻烦,实际上是一道比较简单的题 m = xxxxxxxx e = 65537 m=pow(c,d,n) ========== n c ========== n = 204749188940517785333052623456018809280882844711218237540497253540724771558737788480550738433458206978866...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值