BackdoorCTF 2018 BIT_LEAKER

最新推荐文章于 2023-12-22 23:12:17 发布
最新推荐文章于 2023-12-22 23:12:17 发布
阅读量331 收藏
点赞数
分类专栏: RSA 文章标签: python rsa 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40282835/article/details/117848881
版权
该博客介绍了Least Significant Bit Oracle Attack(LSB Oracle Attack / Parity Oracle)的原理和应用,特别是在BackdoorCTF 2018 BIT_LEAKER挑战中的实例。通过解释如何利用oracle获取明文最低位的奇偶信息,展示了一个使用二分查找算法在对数时间内解密RSA密文的方法。文章还讨论了解题过程中处理随机数影响和修正误差的策略。
摘要由CSDN通过智能技术生成

Least Significant Bit Oracle Attack (LSB Oracle Attack / Parity Oracle)

适用情况:可以选择密文并泄露明文的最低位(奇偶性)。

原理介绍

在这里插入图片描述

假设存在一个oracle(可以理解为一个方法),它能对给定密文进行解密并给出对应明文的奇偶信息。利用这个oracle,进行二分查找,则只需要 log(N)次就能解密任意密文。

在一次RSA加密中,明文为 m 模数为 n,加密指数为 e,密文为 c我们可以构造出

c ′ = ( ( 2 e ) ∗ c ) % n = ( ( 2 e ) ∗ ( m e ) ) % n = ( ( 2 ∗ m ) e ) % n c′=((2^e)*c)\% n=((2^e)*(m^e))\% n=((2*m)^e)\% n c=((2e)c)%n=((2e)(me))%n=((2m)e)%n

因为 m的两倍可能大于 n,所以经过解密得到的明文是 m ′ = ( 2 ∗ m ) % n m′=(2*m)\%n m=(2m)%n

我们还能够知道 m′的最低位lsb是1还是0:因为 n 是奇数,而 2*m 是偶数,那么如果lsb是0,可以说明(2*m)%n 是偶数,没有超过 n(超过n的话,取余后就会变为奇数),即 m < n 2 m<\frac{n}{2} m<2n;反之则 m > n 2 m>\frac{n}{2} m

最低0.47元/天 解锁文章
qq_40282835
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Backdoor CTF 2013: Web 50
Gunther的博客
09-05 959
Web 50 最近开始接触了一个新网站(外文)   backdoor  ---------适合新手 题目: H4x0r在早期就做了一个认证系统。他显然觉得他拥有最先进的制度,但我们知道他实际上是多么辉煌。告诉他,成为管理员是多么容易。成为管理员后,您可以访问此链接获取标志。 提示:cookie 我是直接点击this link后, 在页面上打开chrom
back_doorctf_2013_bin_500
baidu_28138887的博客
08-17 628
0x0 前言 昨天看了一下backdoorctf2013 的bin500。一道vb题, vb不是很熟,大概就是一些关键的函数之类的。废话不多说了, 直接分析吧。对了题目的地址 0x1 Start 直接把bin丢 进IDA ,然后ida上全是hex ,看不懂,记得以前分析过的vb好像不是这样的,那么一定是做了相应的保护,或者本人太挫疏忽了什么。 不能静态分析那就只能动态了, 这货只
Backdoor CTF 2017:Fun Signals
qq_45540735的博客
08-22 199
例题来自2017年的Backdoor CTF。程序的保护机制全部关闭,并且有权限RWX的段。 程序分析 首先可以看到_start()函数里有两个syscall。第一个是read(0, $rsp, 0x400)(调用号0x0),它从标准输入读取0x400个字节到rsp指向的内存,也就是栈上。第二个是sigreturn()(调用号0xf),它将从栈上读取sigreturn frame。所以我们就可以伪造一个frame。 flag其实就在二进制文件里,读取它需要一个write(1, &fl
Backdoor CTF 2013: 杂项 75-----定时求随机个素数之和
Gunther的博客
09-05 460
题目 打开传送门之后,题目要求在3秒内提交前N(随机个)素数的和。 re.findall(pattern, string):详细看 搜索string,以列表形式返回全部能匹配的子串。 r(raw)用在pattern之前,表示单引号中的字符串为原生字符,不会进行任何转义 +加号,指定将前面的RE重复1次或者任意多次,而且总是试图尽量多次地匹配。 re.findall(r'[a
i春秋 “百度杯”CTF比赛 十月场 Backdoor
include_heqile的博客
09-20 2889
https://www.ichunqiu.com/battalion?t=1&amp;amp;amp;amp;amp;amp;r=0 这道题应该是我目前遇到的最有难度的一道题了,不过解题过程很有意思 首先还是进入题目链接,根据题目提示去查看网站目录下的敏感文件,我尝试了flag.php,但并未得到有价值的提示,然后我们再尝试一下敏感目录,当我在Challenges下输入.git的时候,出现了403 Forbidden错误,说明网站中存在...
leaker-0.1内存泄漏检查
01-07
很好的内存泄漏检查算法,本人已多次应用于嵌入式项目中,在此分享给大家。主要功能包括: 系统内存堆申请内存不够时,dump当前系统中所有申请未释放的文件名,函数名,行数,以及申请次数。 很好用,极力推荐。...
VA_X_Setup1859破解版
02-21
VA_X_Setup1859 破解版, 2010,2008,2005,2003,vc6
c++ modern design(c++设计新思维_简繁英)
02-16
《C++ Modern Design》是C++编程领域的一本经典著作,由Andrei Alexandrescu撰写,探讨了如何利用C++的模板元编程和设计模式来实现更为高效、灵活且可维护的代码。这本书的主要目标是引入“现代”设计原则到C++编程...
MemoryLeakerDemo:示例应用程序以及我关于 Android RAM 和内存的讲座
06-05
MemoryLeakerDemo 示例应用程序以及我关于 Android RAM 和内存的讲座。 SampleLeaks.java 由 alexjlockwood 创建 - 我正在使用这个示例以及我制作的其他示例来解释和展示我的讲座中的要点。 ...
2021年工业信息安全技能大赛CTF-03-msbackdoor的附件.zip
08-03
2021年工业信息安全技能大赛CTF-03
2018年金融业ctf竞赛 backdoor 流量数据分析writeup
qq_42773814的博客
08-08 3401
Backdoor   flag:flag{b3c4r3fortheChinaChopperFHGJKUI^U%}   解题过程: 利用wireshark打开文件,过滤http报文,任意选择一个报文右键选择追踪流-&gt;http流 追踪流里面包含大量16进制代码,观察前几位发现它是zip压缩文件的文件头 将z1后面的参数复制下来 以16进制形式粘贴到C32asm工具里 ...
[BackdoorCTF 2023] pwn
最新发布
weixin_52640415的博客
12-22 672
libc2.35 uaf, 格式化字符串o
RSALib-cve漏洞-[GKCTF2020]Backdoor
菜鸟之路
08-27 1223
RSALib-cve漏洞-[GKCTF2020]Backdoor 题目提示:p=k*M+(65537**a %M) 打开后发现一个算法.py文件,flag.enc和一个pub.pem 查看算法,发现就是最普通的rsa,大意是用pub里的公钥n和e对flag进行了加密,加密后的结果进行base63后存在flag.enc中。 打开flag.enc解密,得到 02142af7ce70fe0ddae116bb7e96260274ee9252a8cb528e7fdd29809c2a6032727c05526133ae
[BUUCTF] RSA公钥解析
rang的博客
11-09 1308
思路:同[GKCTF2020]Backdoor 先进行公钥解析得到 n e 分解n得 p q factordb 根据p q e得到d 最后用公钥加密的密文 和 私钥解密 rsa.PrivateKey(n,e,d,q,p) 私钥包含(n,e,d,p,q) rsa.decrypt(f,key) f:公钥加密结果 key:私钥 最后脚本: from Crypto.Util.number import * from Crypto.PublicKey import RSA impo
易霖博CTF——Writeup
Lethe's Blog
03-30 1744
签到题 EasyRSA 给了flag.en和rsa_private_key.pem私钥,直接用openssl解密,得到flag{We1c0meCtf3r_elab} Web1 rce_nopar php的无参数rce,利用PHPSESSID,参考:https://xz.aliyun.com/t/6316#toc-8 脚本如下: import requests import binascii p...
2022鹏城杯CTF---Crypto
Luiino的博客
09-18 2273
第一部分,e与phi_n不互素,gcd(e,phi_n) == 4,此时e对phi_n没有逆元,但gcd(e//t,phi_n) == 1。mod n,由上面的for循环可以知道M与初始m的关系:M = m * (p-q-1)!对n进行分解,得到p、q,小的是q。记print(pow(m,e,n))里的m为M,故有c2 =第三部分, 看到M = 2022 * m * 1011 * p,又n = p*q,且c =记两输出结果分别为c1、c2,由print(pow(2,e,n))可以得到:c1 =
RSA 常见攻击方法
热门推荐
4ct10n
04-22 1万+
0x01 RSA简介 那么,有无可能在已知n和e的情况下,推导出d? 首先要知道   (1)ed≡1 (mod φ(n))。只有知道e和φ(n),才能算出d。   (2)φ(n)=(p-1)(q-1)。只有知道p和q,才能算出φ(n)。   (3)n=pq。只有将n因数分解,才能算出p和q。 结论:如果n可以被因数分解,d就可以算出,也就意
leaker对象是什么
04-03
leaker对象指的是可能会泄露或透露机密信息的人或组织。这个词通常用于描述那些有意或无意地披露机密信息的人,包括内部员工、政府官员、记者、黑客和其他相关方。leaker对象可能会泄露各种类型的信息,包括商业机密...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值