DASCTF2022九月赛-Crypto-easySignin

已于 2022-09-21 17:36:02 修改
阅读量1.2k 收藏 1
点赞数
分类专栏: 偶然遇到的一些CTF题 文章标签: 网络安全 python
于 2022-09-21 16:57:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38798840/article/details/126955828
版权

题目py文件:

from Crypto.Util.number import *
import libnum
from random import randint
from secret import flag

p = getPrime(512)
d = getPrime(40)
m = libnum.s2n(flag)
a = randint(2,p)
b = randint(2,p)
c = randint(2,p)
g = d

for i in range(10):
    g = (c*d^2 + b*g + a)%p
    a = (a*b - c) % p
    b = (b*c - a) % p 
    c = (c*a - b) % p 

t = (m+d)^2 %p

print('p=',p)
print('a=',a)
print('b=',b)
print('c=',c)
print('g=',g)
print('t=',t)

'''
p= 7591656713055743077369340861541583433090841738590989539280316533530045331013958613146671718809022799047779468311222607020894006899032327866283558110087799
a= 4392865163304254999527172406061971162689920565151840813033448791785156740502864894051809689255751412382468345217962713758808061870635744521996229554057672
b= 2119856022628544669301306700581535843188073099896481101405665476192582614655960576092254118367775147735092457551317887281026710342124525625026559538165667
c= 3370586754351688470908526079815435343732016329743637661764947106415792049906966624513736208696137655804912688128186282852926377345819134856707156640355705
g= 2221154642536617375933147254663757148609834736621720750750043572054496685087600339999953459509198087870095805651320901316659013390557077204194753685935362
t= 6426975621182152052236088849377616252912408340750729257254509090637526282051064469268808395760737262115678691330037039061905028548054911000486882481093832
'''

反正拿过来是不会,一看好家伙这循环,后来仔细观察了一下a、b、c是可以逆着循环求出来初值的,但之后还是不会,一看同事也一直没交,寻思害他也不会,无所谓咯~后来才知道人家周末根本没看这个题,然后吃完午饭回来那会儿工夫人家就做完了……(可恶
啊至于我,我到现在也不太懂(笑死
所以说努力有啥意义啊,再努力也比不上别人本来有天赋(哭死

碎碎念结束,看题。

首先还是逆着循环去求解abc,这里把每一次循环的a、b、c的值都缓存下来方便后续使用
知识点:线性同余式求解未知因数。(好像是叫这个吧?
就是说:

对于式子a*b mod p = c,b、p、c均已知时,可以求出a,a=c*invert(b,p) mod p

本题中 c = (c*a - b) % p ,等式左侧的c已知,a、b、p已知,想要求等式右侧和a相乘的那个c的值,原式可以转化为:

c+b mod p = c*a mod p

也就有c=(c+b)*invert(a,p) mod p,
同理有b=(b+a)*invert(c,p) mod p和a=(a+c)*invert(b,p) mod p
写Python脚本求解出从第10轮至第1轮循环的c、b、a的值,并缓存到一个列表abc中,列表的每个元素又是一个列表,存着每一轮循环求得的a、b、c的值。

a= 4392865163304254999527172406061971162689920565151840813033448791785156740502864894051809689255751412382468345217962713758808061870635744521996229554057672
b= 2119856022628544669301306700581535843188073099896481101405665476192582614655960576092254118367775147735092457551317887281026710342124525625026559538165667
c= 3370586754351688470908526079815435343732016329743637661764947106415792049906966624513736208696137655804912688128186282852926377345819134856707156640355705
p= 7591656713055743077369340861541583433090841738590989539280316533530045331013958613146671718809022799047779468311222607020894006899032327866283558110087799
abc=[0]*10
for i in range(9,-1,-1):
    c=(c+b)*gmpy2.invert(a,p)%p
    b=(b+a)*gmpy2.invert(c,p)%p
    a=(a+c)*gmpy2.invert(b,p)%p
    abc[i]=[int(a),int(b),int(c)]

然后进入新的世界:
借助SageMath求解题目文件中t = (m+d)^2 % p这个式子中(m+d)的值,这里t和p都是已知的。
关于SageMath怎么用(在macOS下:
先下载下来,我是从这里下的:http://mirrors.ustc.edu.cn/sagemath/osx/intel/index.html
然后在终端进入SageMath目录下,输入./sage,回车
在sage下输入:(要注意语法格式

p= 7591656713055743077369340861541583433090841738590989539280316533530045331013958613146671718809022799047779468311222607020894006899032327866283558110087799
t= 6426975621182152052236088849377616252912408340750729257254509090637526282051064469268808395760737262115678691330037039061905028548054911000486882481093832
R.<x>=Zmod(p)[]
f=x^2-t
f.roots()

这里p和t都是题目中已知的。
sage求解m+d
得到两组解,不知道为什么要取下面那个,题目看上去并没有交代m+d的取值范围,所以这里暂且认为最后将两个值都代入计算试一试,确定需要的值是130661655927230795642760431379039778633673372572819159728043876332994399613135476225358。
所以到这里知道了m+d的值。

m+d=130661655927230795642760431379039778633673372572819159728043876332994399613135476225358

接下来就是借助for循环中对g值更新的运算来求d
观察表达式g = (c*d^2 + b*g + a)%p,之前我们已经计算出并缓存了每一次循环的a、b、c的值,最后一次循环结束后的g值已知,又知道循环开始前的g=d,可以设未知数d为xg的“临时值”(就是指循环结束得到最后的g之前的那些g的值,即从循环开始前的g=d到倒数第二次循环得到的g的值)为tg,且循环开始前tg=x,列出循环中的计算式,每轮循环参与计算g = (c*d^2 + b*g + a)%p的a、b、c直接用之前存在列表abc中的值,把这些已知条件都告诉SageMath,SageMath就可以求解出x即d的值。

没看明白?那直接往下看在SageMath里的代码怎么写吧,没想到还可以这么写,而且这么写还能求解出想要的值(属实不敢想
先在SageMath中给出需要的值,包括通过运行之前的Python脚本得到的列表abc,题目已知的p、g,然后还是按sage中的语法格式去设未知数x,注意在循环前要先写tg=x。个人理解,对于g = (c*d^2 + b*g + a)%p,d是x,有x的式子默认最后要%p,循环结束后得到的g移到另一侧,就有了f=tg-g,最后f.roots()得到方程的两组解。

abc=[[184972745971509494177749002438471045142431744349694071290568699875759696273259964144195521605616391458033949428260257403866133106081122954953351131066266, 5203346575880216155246099170513405396695418799624477309823705848477387257144158566705537881272662895232085767641640102113789121259979434162072009911706202, 5128252735042950570541661862704057778697777367682675179255508249069206116108008236364688726497066420198915103127328652153920791569475715644224564332100639], [2563221664374872663278726447352893822468787748826688543449083601814070735291152495522031395953021486479126489409553661909467374804495083097067023461101241, 6566088464708310995642409028807288393979344735404620168989682843309896029461182739839950463522656561353959979803920824844492121990544498716716047723977910, 130057529710426488213137583219999255587156240884036482222085445611551740946428211680329413666239014546023650006579524537602274302379152576119520068108319], [5342408465355821539357986311892676556199271023491659460379476187712977833146964566593532451072939601789180818278583745555483090452024642159007064165800081, 3283554726718737444389729631016035434015751338535189074295640854481651942378365746643274759572464743981861848971330295577364787640389158084889350283978821, 3140055548802978995474977115602107560914575889710138407298306721971016304575233705366565976404902888283840198356431969988949513149516351192261087493740890], [599541426740541398930281198217219002055776031533759543636607757629213787169680162194126045830416834733408242600490845122211014165748273997720985171688041, 5957207859384881463025007501710389658802332383558267293322714086358938193388741893071655615153092025747579772703124512208782459441100652478549738180467978, 4682713376946075123598629989240562117774633362251661889503646233262116515006093065833206615375846947185403405658122109052452004335578521197128755538142562], [7103657963548914558151473809474075771611185618134380111586031973749843445270500043215388123926986228575345423314499611151032605087785285456086954143332795, 2437090089471763281003268510083600543608846252680223991273908345135602309589620097292474114081336144065225051782014698516867570373062887759704073445145766, 7263633592969865940568162914112873033425552832716604041970494862239901164707781850676711734033552643405919601738169630448608427244505351343621156673841732], [6787260216003704037436828249042950501442135219256212863721237923906944473725953011789953225572229483386321885419169052842430604831287326826367535177852053, 7289837746969742837562254130441459418716174243333286884721893365447520299330685353689480042055570758502172720594554142917472501623012005474566631566544775, 6581191704328187480538895638259936434391238929209425408851189613318327811764420001620980504352179287185565444922372294504832272119209006602669933898480878], [750395498918226777040527843867196113458405311943647981774216787181612352604554317713785604945826407015377270019505130311300614336277162115563565360618478, 4840449299234867971000534596756931162830835855867819145058680308392558160966470220222109505723871889664721592993291696185055331584842480392441058196006436, 5412702039966146294395879633578487882240433694451709440397732707557193056889334787123501521744362953062885714266204930622216103885338311445206792741932999], [1276816869879639977990203528882856601012474784947810512487591115574428646605781380422735500626575579669016136844540271053533311757951144082015936557489087, 1239916973932615451066506751318691392204788751681844835551848034385300794677700028988929557778553964903346405673924363004228948262352704973820706023958891, 2285860412837188443208576330203052996086133758687332958176255791492234226477257282920036027518499672369420512593972418102867910390592209259341791773808425], [4234783580347301415219055168004953720021990043845525530978728641401141280688765768255841044951798583995682343024907380189589165570451045720056452326485618, 5718235690118251228617104726479064921991314663732805083156370432971341367382827271609557691898846816407222614032051075708178029254271041725207957347236569, 6011203979414507997009462186342176669941053585431071624148473597721460653407597205937696793979140839505480847287174278929294086631363969339351348575352856], [1558327918173916685276061896009146814462087603675562547749464338567789777526157067883836812063086030139306395351744800560094726977076742887829461268635558, 4514148881631515061858934147505049323883430087629553393687379588421262903144178261541888640294288831031133809383907481714613701220966378839463140096771142, 6852227333661582809040997504319324351902752602498116902003495662316181290311509340056889282031693078153608180707421739904104897716102066595433625160283868]]
p= 7591656713055743077369340861541583433090841738590989539280316533530045331013958613146671718809022799047779468311222607020894006899032327866283558110087799
g= 2221154642536617375933147254663757148609834736621720750750043572054496685087600339999953459509198087870095805651320901316659013390557077204194753685935362
R.<x>=Zmod(p)[]                                                           
tg=x                                                                      
for i in range(10): 
     a,b,c=abc[i][0],abc[i][1],abc[i][2] 
     tg=c*x^2+b*tg+a
f=tg-g
f.roots()

从得到的两组解中,选取符合“d是长度40bit素数”的值,所以取d=793009095377
sage中运行结果如图:
在sage中求出d
求出了m+d,又求出了d,那么明文就呼之欲出了:

from Crypto.Util.number import *
md=130661655927230795642760431379039778633673372572819159728043876332994399613135476225358
d=793009095377
print(long_to_bytes(md-d))

运行Python脚本输出flag是CBCTF{cjx_H0pe_that_love_1s_forever}

想要变强的47
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DASCTF三月
weixin_44687621的博客
04-10 3205
DASCTF2022.3部分题目 Web ezpop 题目源码如下 <?php class crow { public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->world(); } } class fin {
sm-crypto-master.zip
12-17
国密算法SM2公私钥加解密及签名验签以及前端js sm-crypto,附件说明及参考及测试方法;
DASCTF X GFCTF 2024|四月 EasySignin复现
最新发布
qq_74825121的博客
04-23 231
观察url是图片链接地址,猜测是ssrf漏洞利用。使用file:///etc/passwd,被过滤。sql读取/flag文件 use test;看wp了解到,使用Gopherus工具打mysql,kali下载好后,cd Gopherus。成功修改登录admin账户才能打开照片。再将base64解码拿到flag。然后需要进行一次url编码再传入。修改密码,抓包修改为admin。
2022年 HSC-1th中CRYPTOEasy SignIn
沐一 · 林 的博客
02-28 376
2022年 HSC-1th中CRYPTOEasy SignIn 下载附件,一个 txt 文本: 5445705857464579517A4A48546A4A455231645457464243566B5579556C7053546C4A4E524564565646644D515670455130354C5755644F5231685256314A5452315A5552304E57576C5A49525430395054303950513D3D . 无非是传统密码的混合,直接用 ciphey 工具即可
ctfshow 愚人杯easy_signin
Kavint的博客
04-21 343
哦对,要把index.php转成base64得aW5kZXgucGhw。打开界面是一个滑稽脸,注意到url后面?根据CTF-web定理中的“有啥就读啥”定理(瞎编的)好诶,报错了,还带出了index.php。很像base64编码,解一下看看。解出来是源代码,flag也有了。好哦,一大串base64编码。
DASCTF
qq_53755216的博客
04-08 806
ez_serialize 题目网址: http://684f47cd-5c9d-41cb-ad29-98d48096cc9a.machine.dasctf.com/ <?php error_reporting(0); highlight_file(__FILE__); class A{ public $class; public $para; public $check; public function __construct() { $thi
DASCTF X CBCTF 2022九月挑战 Writeup
末初的CSDN博客
09-20 1466
DASCTF X CBCTF 2022九月挑战 Writeup
commons-crypto-1.0.0-API文档-中文版.zip
05-02
赠送jar包:commons-crypto-1.0.0.jar; 赠送原API文档:commons-crypto-1.0.0-javadoc.jar; 赠送源代码:commons-crypto-1.0.0-sources.jar; 赠送Maven依赖信息文件:commons-crypto-1.0.0.pom; 包含翻译后的API...
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
Charm-Crypto-0.43_Python3.tar.gz
08-15
**Charm-Crypto-0.43_Python3.tar.gz** 是一个包含了Charm加密库的版本0.43的压缩文件,专为Python 3编程语言设计。这个库为开发者提供了一整套强大的加密工具,包括了身份基加密(IBE)、属性基加密(ABE)以及对称...
spring-security-crypto-5.6.1-API文档-中文版.zip
05-04
赠送jar包:spring-security-crypto-5.6.1.jar; 赠送原API文档:spring-security-crypto-5.6.1-javadoc.jar; 赠送源代码:spring-security-crypto-5.6.1-sources.jar; 赠送Maven依赖信息文件:spring-security-...
第七届“湖湘杯”Crypto的signin
沐一 · 林 的博客
11-27 1182
第七届“湖湘杯”Crypto的signin 下载附件,打开查看题目逻辑代码: from Crypto.Util.number import * from secret import flag import random m1 = bytes_to_long(flag[:len(flag) // 2]) m2 = bytes_to_long(flag[len(flag) // 2:]) def gen(pbits, qbits): p1, q1 = getPrime(pbits), getPrim
[DASCTF][Java反序列化]easyjava简单分析
Y4tacker的博客
08-02 2503
文章目录写在前面easyjava推荐文章 写在前面 昨天题目环境似乎出了点小问题,咋也不好问,咋也不敢说,题目有意思,当然还有其他链子猜测jdbc应该也可以打,没试过太懒了 easyjava 首先下载源码发现Java版本是1.7的,先放这里 看看在evil路由下面,很明显是去触发反序列化,但是有过滤 ban了这么多,cc链基本上不用想了,一方面是低版本不起作用,另一方面Transformer被ban了,看来只能用TemplatesImpl去执行字节码试一试,想到了Java7U21反序列化(可以看我博客分
DASCTF:BitMap
末初的CSDN博客
10-14 1640
来源于今天一位师傅给的题目附件,从解出来的flag只知道是安恒的题目,但是具体哪里的就不清楚了,觉得题目还有记录一下的价值 BitMap文件很明显是bmp图片修改了BMP文件头和位图信息头,不过一些还原信息的必要数据位置还是给了出来的,比如位深度 详细的还原过程可以参考我之前给白帽子社区端午节活动的出的题目:白帽子社区端午节活动-白帽寻宝记-纪念屈原Writeup 这里可以添加一个后缀.bmp,然后使用010 Editor打开;借助010 Editor强大的插件分析功能,还是能显示出文件基本结构 可以.
DASCTF_Misc_holmes
Le1a's Blog
05-29 279
下载附件得到一张福尔摩斯的图片 上面有跳舞小人加密,通过对照表解密得到YOUAREHOLMES 用Foremost分离得到一个压缩包,用刚刚得到的YOUAREHOLMES作为密码解压得到一个python文件,打开得到一个程序 flag="flag{********************************}" encflag=[] for i in range(len(flag)): encflag.append((ord(flag[i])+i)%128) print(encflag) '
DASCTF 2022.4
weixin_44687621的博客
04-25 2695
Web warmup_php 查看主页源码如下 <?php spl_autoload_register(function($class){ require("./class/".$class.".php"); }); highlight_file(__FILE__); error_reporting(0); $action = $_GET['action']; $properties = $_POST['properties']; class Action{ public funct
DASCTF 虚假的签到
qq_45631641的博客
07-25 456
格式化字符串 栈溢出 调试得%2$x时为栈地址 from pwn import * context.log_level='debug' #sh=process('./qiandao') sh=remote('183.129.189.60','10013') sh.recv() sh.sendline('%2$x') t=sh.recv(8) print t sh.recv() sleep(0.2) print t x=int(t,16) ret=0x0804857D sh.sendline('a'*0x.
# Dasctf 7月赋能 WP
as you know, nlp is fantasitc!
07-27 525
每次通过比都能学到很多东西,对于之前的知识点有一知半解的地方重新认识了,比如ssti的盲注,以前只知道{{}}、{%%}能执行语句,但是没有想过他们的区别,通过一道ssti的题目就能更加深入地区分这两者的区别。...
【WP】DASCTF2021
車鈊的博客
06-06 851
补发WP ez_serialize 源码 <?php error_reporting(0); highlight_file(__FILE__); class A{ public $class; public $para; public $check; public function __construct() { $this->class = "B"; $this->para = "ctfer"; e
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值