BUUCTF_Crypto_[MRCTF2020]Easy_RSA

最新推荐文章于 2024-06-13 23:24:21 发布
最新推荐文章于 2024-06-13 23:24:21 发布
阅读量993 收藏
点赞数 4
文章标签: python 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51999772/article/details/121060872
版权

[MRCTF2020]Easy_RSA

题目描述:

import sympy
from gmpy2 import gcd, invert
from random import randint
from Crypto.Util.number import getPrime, isPrime, getRandomNBitInteger, bytes_to_long, long_to_bytes
import base64

from zlib import *
flag = b"MRCTF{XXXX}"
base = 65537

def gen_prime(N):
    A = 0
    while 1:
        A = getPrime(N)
        if A % 8 == 5:
            break
    return A

def gen_p():
    p = getPrime(1024)
    q = getPrime(1024)
    assert (p < q)
    n = p * q
    print("P_n = ", n)
    F_n = (p - 1) * (q - 1)
    print("P_F_n = ", F_n)
    factor2 = 2021 * p + 2020 * q
    if factor2 < 0:
        factor2 = (-1) * factor2
    return sympy.nextprime(factor2)


def gen_q():
    p = getPrime(1024)
    q = getPrime(1024)
    assert (p < q)
    n = p * q
    print("Q_n = ", n)
    e = getRandomNBitInteger(53)
    F_n = (p - 1) * (q - 1)
    while gcd(e, F_n) != 1:
        e = getRandomNBitInteger(53)
    d = invert(e, F_n)
    print("Q_E_D = ", e * d)
    factor2 = 2021 * p - 2020 * q
    if factor2 < 0:
        factor2 = (-1) * factor2
    return sympy.nextprime(factor2)


if __name__ == "__main__":
    _E = base
    _P = gen_p()
    _Q = gen_q()
    assert (gcd(_E, (_P - 1) * (_Q - 1)) == 1)
    _M = bytes_to_long(flag)
    _C = pow(_M, _E, _P * _Q)
    print("Ciphertext = ", _C)
'''
P_n =  14057332139537395701238463644827948204030576528558543283405966933509944444681257521108769303999679955371474546213196051386802936343092965202519504111238572269823072199039812208100301939365080328518578704076769147484922508482686658959347725753762078590928561862163337382463252361958145933210306431342748775024336556028267742021320891681762543660468484018686865891073110757394154024833552558863671537491089957038648328973790692356014778420333896705595252711514117478072828880198506187667924020260600124717243067420876363980538994101929437978668709128652587073901337310278665778299513763593234951137512120572797739181693
P_F_n =  14057332139537395701238463644827948204030576528558543283405966933509944444681257521108769303999679955371474546213196051386802936343092965202519504111238572269823072199039812208100301939365080328518578704076769147484922508482686658959347725753762078590928561862163337382463252361958145933210306431342748775024099427363967321110127562039879018616082926935567951378185280882426903064598376668106616694623540074057210432790309571018778281723710994930151635857933293394780142192586806292968028305922173313521186946635709194350912242693822450297748434301924950358561859804256788098033426537956252964976682327991427626735740
Q_n =  20714298338160449749545360743688018842877274054540852096459485283936802341271363766157976112525034004319938054034934880860956966585051684483662535780621673316774842614701726445870630109196016676725183412879870463432277629916669130494040403733295593655306104176367902352484367520262917943100467697540593925707162162616635533550262718808746254599456286578409187895171015796991910123804529825519519278388910483133813330902530160448972926096083990208243274548561238253002789474920730760001104048093295680593033327818821255300893423412192265814418546134015557579236219461780344469127987669565138930308525189944897421753947
Q_E_D =  100772079222298134586116156850742817855408127716962891929259868746672572602333918958075582671752493618259518286336122772703330183037221105058298653490794337885098499073583821832532798309513538383175233429533467348390389323225198805294950484802068148590902907221150968539067980432831310376368202773212266320112670699737501054831646286585142281419237572222713975646843555024731855688573834108711874406149540078253774349708158063055754932812675786123700768288048445326199880983717504538825498103789304873682191053050366806825802602658674268440844577955499368404019114913934477160428428662847012289516655310680119638600315228284298935201
Ciphertext =  40855937355228438525361161524441274634175356845950884889338630813182607485910094677909779126550263304194796000904384775495000943424070396334435810126536165332565417336797036611773382728344687175253081047586602838685027428292621557914514629024324794275772522013126464926990620140406412999485728750385876868115091735425577555027394033416643032644774339644654011686716639760512353355719065795222201167219831780961308225780478482467294410828543488412258764446494815238766185728454416691898859462532083437213793104823759147317613637881419787581920745151430394526712790608442960106537539121880514269830696341737507717448946962021
'''

分析程序逻辑:

分别有两个生成P和Q的函数,里面都嵌套了RSA,返回的是p和q的表达式作为P或者Q;

关于P的函数:

已知 n n n f a i ( n ) fai(n) fai(n) ;求p和q; f a i ( n ) = k ∗ n − k ∗ ( p + q ) + 1 fai(n) = k*n-k*(p+q)+1 fai(n)=knk(p+q)+1

所以我们可以知道 ( p + q ) (p+q) (p+q)的值

再通过平方式构造 ( p − q ) (p-q) (pq)的平方;然后开方

得到p和q;求Q的函数同理;

只是Q的函数已知的是 e ∗ d e*d ed;推一下就可以了

e ∗ d − 1 = k ∗ f a i ( n ) e*d-1=k*fai(n) ed1=kfai(n)

f a i ( n ) = n − ( p + q ) + 1 fai(n)=n-(p+q)+1 fai(n)=n(p+q)+1

联立得到:

e ∗ d − 1 = k ∗ ( n − ( p + q ) + 1 ) e*d-1=k*(n-(p+q)+1) ed1=k(n(p+q)+1)

目的是求 k k k进而求得 f a i ( n ) fai(n) fai(n)

$\frac{ed-1}{n}=k+\frac{k(1-(p+q))}{n} $

显然 k ∗ ( 1 − ( p + q ) ) < n k*(1-(p+q))<n k(1(p+q))<n

1 − ( p + q ) < 0 1-(p+q)<0 1(p+q)<0

所以 k ∗ ( 1 − ( p + q ) ) n = − 1 \frac{k*(1-(p+q))}{n} = -1 nk(1(p+q))=1

所以 k = e ∗ d − 1 n + 1 k = \frac{e*d-1}{n}+1 k=ned1+1

f a i ( n ) = e ∗ d − 1 k fai(n)=\frac{e*d-1}{k} fai(n)=ked1

故得解;注意p是小于q的最后需要判断一下;因为求factor的时候两者不能互调

代码实现:

import gmpy2,sympy
from Crypto.Util.number import *
P_n =  14057332139537395701238463644827948204030576528558543283405966933509944444681257521108769303999679955371474546213196051386802936343092965202519504111238572269823072199039812208100301939365080328518578704076769147484922508482686658959347725753762078590928561862163337382463252361958145933210306431342748775024336556028267742021320891681762543660468484018686865891073110757394154024833552558863671537491089957038648328973790692356014778420333896705595252711514117478072828880198506187667924020260600124717243067420876363980538994101929437978668709128652587073901337310278665778299513763593234951137512120572797739181693
P_F_n =  14057332139537395701238463644827948204030576528558543283405966933509944444681257521108769303999679955371474546213196051386802936343092965202519504111238572269823072199039812208100301939365080328518578704076769147484922508482686658959347725753762078590928561862163337382463252361958145933210306431342748775024099427363967321110127562039879018616082926935567951378185280882426903064598376668106616694623540074057210432790309571018778281723710994930151635857933293394780142192586806292968028305922173313521186946635709194350912242693822450297748434301924950358561859804256788098033426537956252964976682327991427626735740
Q_n =  20714298338160449749545360743688018842877274054540852096459485283936802341271363766157976112525034004319938054034934880860956966585051684483662535780621673316774842614701726445870630109196016676725183412879870463432277629916669130494040403733295593655306104176367902352484367520262917943100467697540593925707162162616635533550262718808746254599456286578409187895171015796991910123804529825519519278388910483133813330902530160448972926096083990208243274548561238253002789474920730760001104048093295680593033327818821255300893423412192265814418546134015557579236219461780344469127987669565138930308525189944897421753947
Q_E_D =  100772079222298134586116156850742817855408127716962891929259868746672572602333918958075582671752493618259518286336122772703330183037221105058298653490794337885098499073583821832532798309513538383175233429533467348390389323225198805294950484802068148590902907221150968539067980432831310376368202773212266320112670699737501054831646286585142281419237572222713975646843555024731855688573834108711874406149540078253774349708158063055754932812675786123700768288048445326199880983717504538825498103789304873682191053050366806825802602658674268440844577955499368404019114913934477160428428662847012289516655310680119638600315228284298935201
Ciphertext =  40855937355228438525361161524441274634175356845950884889338630813182607485910094677909779126550263304194796000904384775495000943424070396334435810126536165332565417336797036611773382728344687175253081047586602838685027428292621557914514629024324794275772522013126464926990620140406412999485728750385876868115091735425577555027394033416643032644774339644654011686716639760512353355719065795222201167219831780961308225780478482467294410828543488412258764446494815238766185728454416691898859462532083437213793104823759147317613637881419787581920745151430394526712790608442960106537539121880514269830696341737507717448946962021
e = 65537

def get_fac(n,fai_n):
    p_q_sum = n - fai_n + 1
    difference_square = p_q_sum**2 - 4*n
    difference = gmpy2.iroot(difference_square,2)[0]
    p = (p_q_sum + difference) // 2
    q = p_q_sum - p
    if q < p:
        p,q = q,p
    return p,q

k = (Q_E_D - 1) // Q_n + 1 
Q_fai_n = (Q_E_D - 1) // k
P_p,P_q = get_fac(P_n,P_F_n)
Q_p,Q_q = get_fac(Q_n,Q_fai_n)
factor1 = 2021*P_p + 2020*P_q
if factor1 < 0:
    factor1 = (-1) * factor1
P = sympy.nextprime(factor1)
factor2 =  2021*Q_p - 2020*Q_q 
if factor2 < 0:
    factor2 = (-1) * factor2
Q = sympy.nextprime(factor2)
fai_n = (P-1)*(Q-1)
D = gmpy2.invert(e,fai_n)
M = pow(Ciphertext,D,P*Q)
print(long_to_bytes(M))

思路来源:MRCTF2020]Easy_RSA_前方是否可导?的博客-CSDN博客

M3ng@L
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
[MRCTF2020]Easy_RSA
2er0!=O的博客
07-25 995
[MRCTF2020]Easy_RSA 附件: import sympy from gmpy2 import gcd, invert from random import randint from Crypto.Util.number import getPrime, isPrime, getRandomNBitInteger, bytes_to_long, long_to_bytes import base64 from zlib import * flag = b"MRCTF{XXXX}" base
MRCTF2020——crypto——Easy_RSA——babyRSA
weixin_44159598的博客
03-29 2360
babyrsa 根据主函数可知,首要目的是找到_P和_Q,首先来看_P 可以发现 题目已给出P[9],所以直接目的可以手动测试周围素数,直到找到全部(这里是一部分) 这里我们可以得到N factor = pow(p, base, n) 这一句说明我们应该将这个简单RSA解出来,此时按照一般RSA的步骤求得d 这里已经得到N的所有因数,所以此时N的欧拉函数为所有因数减1相乘,即(p1-...
RSA学习
最新发布
ndjnddjxn的博客
06-13 1005
具体来说,因为me ≡ m(e*d) (mod n)(根据费马定理的原理),所以me ≡ m (mod n),从而证明了m = cd mod n是正确的。取排列的接下来(即第5个到最后的)元素,同样将它们连接成一个字符串,并转换为整数q_guess(假设这些元素代表q的二进制表示)。选取一个整数e作为公钥,要求e与(p-1) * (q-1)互质(即gcd(e, (p-1) * (q-1)) = 1)。利用费马定理,可以找到另一个整数d,使得e * d ≡ 1 (mod (p-1) * (q-1))。
[MRCTF2020]Easy_RSA 1 利用到的不等式
学习,再学习
09-09 183
在确定不了一个数的范围时,可以用已知的数对该数计算不等式。
[MRCTF 2020] - RSA
qtL0ng的博客
07-02 568
easy_RSA 题目: import sympy from gmpy2 import gcd, invert from random import randint from Crypto.Util.number import getPrime, isPrime, getRandomNBitInteger, bytes_to_long, long_to_bytes import base64 from zlib import * flag = b"MRCTF{XXXX}" base = 65537 de
XD MakerCTF 2019 easy_rsa
weixin_30895603的博客
04-17 140
  说实话,这是第一次接触rsa类型的ctf题目,以前太菜了,下午无聊就研究了这道题。   关于RSA,我已经在上学期的密码学课程中了解到了,但是一直没有实战过,我参考到一个不错的博客做出了这道题:https://www.freebuf.com/sectool/163781.html ,主要内容是围绕命令行工具 openssl 、常用的集中rsa分解大数工具如yafu.exe 和pytho...
RSA.zip_Crypto++_crypto RSA_crypto rsa_rsa_rsa加密
09-14
本篇文章将详细讲解RSA算法的基本原理、Crypto++库的使用以及如何利用Crypto++ v5.22实现RSA加密解密。 RSA算法由Ron Rivest、Adi Shamir和Leonard Adleman在1977年提出,其名字正是由他们姓氏首字母组合而成。RSA...
BUUCTF_Crypto_RSA5
qq_58370970的博客
11-23 304
题目:给了一个txt文本,其中有20组c和n 思路:不同的n可能有相同的p或者是q(最大公约数) 通过欧几里得算法求不同n的最大公约数得到p,q,从而算出m 代码: import gmpy2 import libnum e = 65537 n1 = 204749188940517785333052623456018809280882844711218237540497253540724771558737788480550738433458206978866410868426124865412.
BUUCTF_Crypto_rsa2
qq_58370970的博客
11-22 537
BUUCTF_Crypto_rsa2 题目:给了一个py文件,打开查看 明显能够看出是低解密指数攻击 可以参考这位大哥的RSA大礼包 代码: import gmpy2 def continuedFra(x, y): cF = [] while y: cF += [x // y] x, y = y, x % y return cF def Simplify(ctnf): numerator = 0 denominato
BUUCTF_Crypto_[WUSTCTF2020]B@se
qq_58370970的博客
03-07 846
给了一个txt文件: 从题目可以看出是与base64相关,不难发现是base64的变种,将base64的顺序改变了,但还有4个字符不知道 可以写python脚本得到缺失的4个字符 代码如下: import string s = 'JASGBWcQPRXEFLbCDIlmnHUVKTYZdMovwipatNOefghq56rs****kxyz012789+/' j = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+
[BUUCTF]PWN——mrctf2020_easyoverflow
mcmuyanga的博客
01-12 973
mrctf2020_easyoverflow 附件 步骤: 例行检查,64位程序,保护全开 本地试运行的时候就直接一个输入,然后就没了,直接用64位ida打开 只要满足18行的条件,就能够获取shell check() 很简单的检查,就是判断一下v5是否等于n0t_r3@11y_f1@g 看main函数可以知道,v5一开始是ju3t_@_f@k3_f1@g,之后没有对v5的操作了,然后让我们输入v4,看一下v4和v5在栈上的位置,发现v5就在v4下方不远处 v4的输入是用的gets函数,我们可以在
BUUCTF Crypto [V&N2020 公开赛]easy_RSA wp
hsqGOD's blog
04-21 1829
这道题我们看到加密的脚本,首先我们可以关注到,这题目的素数生成机制是不断的乘然后再减一可以得到素数,我们可以发现,因子p再加一也就是p+1是光滑到,于是我们可以使用Williams’p+1 algorithm求解 可以直接调用库的函数 // 命令行调用即可 python2 -m primefac -vs -m=p+1 794137173995657728016066441938374096751...
BUUCTF Crypto [BJDCTF2020]easyrsa wp
hsqGOD's blog
03-20 1690
这题我们可以看到题目加密文件中给到了一条数学公式Fraction(1,Derivative(arctan§,p))-Fraction(1,Derivative(arth(q),q)),然后我们通过查询,发现是p²+q²,再通过一些简单的数学变换就可以很快的得到p和q的值了,很简单就可以得到flag,脚本如下 // python2 from gmpy2 import * from Crypto.Ut...
*CTF 2022 easyRSA
m0_62506844的博客
04-18 1535
源码: from Crypto.Util.number import getStrongPrime from gmpy import next_prime from random import getrandbits from flag import flag p=getStrongPrime(1024) q=next_prime(p^((1<<900)-1)^getrandbits(300)) n=p*q e=65537 m=int(flag.encode('hex'),16) ass
CTF.show——RSA
l2ohvef的博客
02-21 1430
(i-5)*i+6==0 for i in x] 使用列表推导式判断等式是否成立,若成立,返回True,否则False,为使题目运行下去,列表中最终得到的是[True,True]。注意,如果方程没有解,则res1变量将为空列表。“[(i-5)*i+6==0 for i in x]中的‘x’ 是一个列表,符合前面的方程的数字组成一个新列表,即reduce()函数中用到的列表。这段代码通过调用 `f.roots()` 的方法,返回一个列表,列表中包含了方程 f(x)=x^e-c在模p的意义下的所有根。
CTF RSA入门及ctfshow easyrsa1-8 WP
mumuzi的博客
02-27 9844
RSA入门
【CG CTF】Crypto--easy!
VZZmieshenquan的博客
01-22 440
Description: 密文:bmN0Znt0aGlzX2lzX2Jhc2U2NF9lbmNvZGV9 这题做不出来就剁手吧! Solution: 最常见的base64解密 Flag: nctf{this_is_base64_encode}
BUUCTF——rsa系列(4)
Luiino的博客
07-27 4127
给了c、z、n以及e分析一下,首先是它的作用是进行求导,前一个参数表示求导的内容,后一个参数表示求导的主体,如意思是以p为主体对求导得到1/(1+),同理得到1/(1-)。其次对于如Fraction(1,Derivative(arctan(p),p))是以1为分子,以Derivative(arctan(p),p)为分母,这样一来可以得到关系式z=可以进一步得到下面的关系式=z-2n,=z+2n,敲代码解出p、q。............
buuctf crypto rsa
01-22
buuctf crypto rsa是北京邮电大学举办的一场密码学竞赛。RSA是一种非对称加密算法,它使用了两个密钥:公钥和私钥。公钥用于加密数据,只有相应的私钥才能解密。在buuctf crypto rsa比赛中,参赛者需要通过解密RSA加密的数据来获取flag。通常情况下,需要对RSA算法进行分解因子攻击或者求解模数的方法来获取私钥,从而解密加密的数据。参赛者需要具备对RSA加密算法的理解和掌握,以及对相关攻击手段的熟练运用。此外,还需要熟悉一些常见的RSA加密算法的实现,例如使用不同的公钥长度或填充方式等。buuctf crypto rsa比赛不仅考察了参赛者对RSA加密算法的掌握能力,还需要他们具备密码学方面的综合能力,包括数学知识、算法实现、攻击手段等方面的综合应用能力。通过参与buuctf crypto rsa比赛,可以提高参赛者的密码学水平,丰富他们的技术经验,拓展他们的安全技术视野,从而更好地为网络安全事业做出贡献。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M3ng@L

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值