- 博客(25)
- 问答 (6)
- 收藏
- 关注
RSS订阅
原创 SEKAICTF2023 Crypto
SEKAICTF2023 Crypto我刚学密码时,做个SEKAI2022,一个都不会,今年刚好这个比赛又开了,想看看能做几个。题目质量都是没得说的也是做了下前四题,在noisier CRC卡住了就没往下做了。文章目录SEKAICTF2023 CryptocryptoGRAPHytask1(*)task2(**)task3(****)Noisy CRC(***)Noiser CRC(*****)DiffecientwoRandSubWarecryptoGRAPHy代码有点长,是实现了对图的最短路
2023-08-28 11:03:06
140
原创 NepCTF2023 Crypto wp
先通过类似boneh and durfee attack获得p,q,d,后面爆破一下p,q的位置,然后随机数预测就行。这个没注意到P和的线性无关条件,复杂度没降下来,也是稍微改了下原代码就出了。注意一下,要判断ABC每个数生成的环的数量,长度相等,可以筛选掉大部分值。遍历密钥空间,然后判断环是否与给定的加密结果的环相同。没做,看起来恢复一下轮密钥就出了,解的人挺多。爆一下p,q位置,后面常规的随机数预测。稍微看一下源代码就发现漏洞点吧?就用题目上这个人的攻击思路就ok。二元cop解一下就行。
2023-08-14 21:42:44
395
7
原创 巅峰极客2023 Crypto Rosita
浅浅的记录一下。跟强网杯2022 Lattice 这个有很大的相似之处。这个折磨我好久所以看着太熟悉了可惜我太久没做ECC,忘记ECC 的smart attack。
2023-07-21 22:41:39
791
11
原创 CISCN2023 badkey1&badkey2
这里只有n,e,d,没有p,q所以会跳到下面的else。再对生成的q,依次每个素数进行二次剩余判断是否等于上述由p生成的结果。后面使用while循环生成q的同时爆破a,对于a爆破(0,e)就好。p是给定的,使用可以先计算15个素数在模p的二次剩余和二次非剩余。查看当前生成的碰撞字典长度为10的个数,这里有2万个就足够了。即对每个数,有1/2的可能满足,所有2到50一共15个素数。源码分解取的g是2到100间的偶数。生成3000个也有大概10%的概率找到一个q。这样写肯定是不行的,可以先本地生成。
2023-05-29 14:57:50
901
6
原创 2023闽盾杯线上初赛Crypto wp
实际上m<512bits也能格出来,但是最好是已知flag的长度,构造相应的格。然后对于结果矩阵R只知道第0,2,4,6次项。所以我只需要取出变换矩阵p的第0,2,4,6行。其中p为变换矩阵,N为Jordan标准型,不知道的话可以搜一下学一学。后来就变成矩阵的运算了,这块递推还是自己看比较好。就是dsa签名,然后私钥取值太小了,考虑用格解一下就出了。是一个小于512bits,即小于64字节的flag。的第一位,也就是上面矩阵运算结果的第一位。下面我们的问题就转成矩阵运算的形式了。,然后带入到第一个等式中。
2023-05-25 18:02:28
804
原创 上海市大学生CTF(华东杯CTF) Crypto 全解
这里就算不知道原始理论上界,也可以通过依次下调的方法知道edge。这里当未知474bits或更小时是可以使用small_roots算出来的,在高了就不行了。这里epsilon肯定要下调的0.03,求较小解是这样的。gcd一下就行,具体可参考NSSCTF round11,我的前面wp有写。总之是界限卡的很死,只能爆破最后一位大写字母,后面的AES解密都还好。多线程爆破,什么tree构造不用关,爆破完了适当调顺序就OK了。后面的AES,CBC模式就不用多说了。后续的解密按照他实现的运算就行。
2023-05-21 00:41:39
613
1
原创 2023春秋杯春季赛Crypto方向全解
2023春秋杯春季赛Crypto wp 全解侥幸ak了checkin题目from Crypto.Util.number import *# from secret import flag, x, yflag=b'flag{????????????}'def keygen(nbit): p, q = [getPrime(nbit) for _ in range(2)] return (p, q)p, q = keygen(1024)n = p * qt = len(
2023-05-19 19:53:56
1985
6
原创 DASCTF Apr.2023 Crypto 全解
其实通过这个点就能发现,只要我的string1,string2在key[i]=0时对应的字符串不一样就得到flag了。s2='11',错了就s1='110';首先算a,b,在环上定义三个方程组(由三个点),然后在理想集求解groebner_basis(),得到a,b,n。官方wp给的是在2^383下进行的,我复现一下在2^383下数据还是太大了,是不行的。给了三个e,共模攻击,通过gcd发现e1,e3,gcd(e1,e3)=1。2^230在2^240格上,又是经典的格求解,板子格,具体看看我之前的。
2023-04-22 18:39:49
1110
3
原创 GDOUCTF2023 Crypto Pwn
比赛用的蠢方法做的,发现x为52位时可以使用small_roots,(这个很好找到上界,没考虑epsilon参数)然后简单爆破2^12=4096解空间。这个用ctypes库加载libc文件,然后随机数就一模一样了,没见过的话,可以看一看,感觉很好用。参数的默认值为0.05,该默认参数下的bound不足以解出本题的小整数解,根据。我做的时候忘记看题目名字了,溢出大小还行,用常规的ret2libc做的。我直接把fake的base64密文全删了,然后就给了一个压缩包出来了。这不是misc题吗?
2023-04-16 20:07:50
651
原创 lattice入门学习
起初是想做一下去年红明谷的SM2然后在安全客上看了一篇,学习到了HNP,突然感觉摸到了格的门槛有这样的一些等式,然后A,B已知,k的bit位数要小于p的bit位数,等式数量足够的情况下,少6bit位数可以求解k具体构造如下矩阵其中K为ki同bit位数的数(bit_length(ki)=250 K=2^250)Z为需要自己构造的数要尽可能的满足Z*x的bit位数与K一致。
2023-04-05 14:07:48
2168
3
原创 第七届楚慧杯 Crypto
还有你这个矩阵数据读起来很浪费时间,两次对称,周期为4,所以四次变换都试一下。得到随机数列表,贴心给了625个数据,多一个给我们来验证.老套路了随机数预测,不过最后才更新附件什么意思?然后就很简单的随机数向前向后预测。base64变种,做替换。
2023-03-30 18:44:50
506
原创 NKCTF2023 Crypto 部分wp
--------------------------------------------------------------------------------------------------------------------------------补一下这个格。泄露低444位,高位不知道泄露多少,但是flag总不会有 1024-444 位吧,只需高位570-444=126位就可以计算出中间的,跟常规的p低位泄露其实差不多。不知道这有啥问题,但是把-符号给replace了?
2023-03-27 21:38:44
1072
Crypto题RSA,有没有会CTF的
2022-07-29
Crypto,已知密钥生成函数,e,n1,n2,c1,c2
2022-06-25
CTF的逆向IDA反汇编之后代码
2022-06-22
50一个CTF的入门级别的题,都没人能做吗?
2022-06-19
CTF的Web,代码审计,pop链
2022-06-06
一个CTF Web。pop链问题
2022-06-06
TA创建的收藏夹 TA关注的收藏夹
TA关注的人