西湖论剑_unknown_dsa_复现

最新推荐文章于 2024-04-17 02:45:33 发布
最新推荐文章于 2024-04-17 02:45:33 发布
阅读量3.1k 收藏 4
点赞数
分类专栏: CTF比赛复现 文章标签: 密码学 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51999772/article/details/122291477
版权

unknown_dsa

题目描述

from Crypto.Util.number import *
from Crypto.PublicKey import DSA
from Crypto.Hash import SHA
from gmpy2 import invert,powmod
import random
from secret import flag,m1,m2,ul,vl,wl

def encrypt():
    key = DSA.generate(int(1024))
    q = key.q
    p = key.p
    g = key.g
    x1 = bytes_to_long(flag[:len(flag)//2])
    x2 = bytes_to_long(flag[len(flag)//2:])
    assert x1<q and x2<q
    t = powmod(g, p*q-(p+q), p*q)
    hm1 = bytes_to_long(SHA.new(m1).digest())
    hm2 = bytes_to_long(SHA.new(m2).digest())
    k = random.randint(1, q-1)
    r1 = powmod(g, k, p) % q
    s1 = (hm1 + x1*r1) * invert(k, q) % q
    s2 = (hm2 + x1*r1) * invert(k, q) % q
    r2 = powmod(g, x1, p) % q
    s3 = (hm1 + x2*r2) * invert(k, q) % q
    print(p*q, (p-1)//q, t, sep=', ')
    print(r1, s1, s2, sep=', ')
    print(r2, s3, sep=', ')

def main():
    for i in range(len(ul)):
        assert ul[i]**2 - wl[i]* vl[i]**2==1
    e = 7
    cl1 = [int(powmod(bytes_to_long(m1), e, x)) for x in ul]
    cl2 = [int(powmod(bytes_to_long(m2), e, y)) for y in vl]
    print(wl, cl1, cl2, sep=', ')
    
    encrypt()

if __name__ == '__main__':
    main()

'''
[3912956711, 4013184893, 3260747771], [2852589223779928796266540600421678790889067284911682578924216186052590393595645322161563386615512475256726384365091711034449682791268994623758937752874750918200961888997082477100811025721898720783666868623498246219677221106227660895519058631965055790709130207760704, 21115849906180139656310664607458425637670520081983248258984166026222898753505008904136688820075720411004158264138659762101873588583686473388951744733936769732617279649797085152057880233721961, 301899179092185964785847705166950181255677272294377823045011205035318463496682788289651177635341894308537787449148199583490117059526971759804426977947952721266880757177055335088777693134693713345640206540670123872210178680306100865355059146219281124303460105424], [148052450029409767056623510365366602228778431569288407577131980435074529632715014971133452626021226944632282479312378667353792117133452069972334169386837227285924011187035671874758901028719505163887789382835770664218045743465222788859258272826217869877607314144, 1643631850318055151946938381389671039738824953272816402371095118047179758846703070931850238668262625444826564833452294807110544441537830199752050040697440948146092723713661125309994275256, 10949587016016795940445976198460149258144635366996455598605244743540728764635947061037779912661207322820180541114179612916018317600403816027703391110922112311910900034442340387304006761589708943814396303183085858356961537279163175384848010568152485779372842]
85198615386075607567070020969981777827671873654631200472078241980737834438897900146248840279191139156416537108399682874370629888207334506237040017838313558911275073904148451540255705818477581182866269413018263079858680221647341680762989080418039972704759003343616652475438155806858735982352930771244880990190318526933267455248913782297991685041187565140859, 106239950213206316301683907545763916336055243955706210944736472425965200103461421781804731678430116333702099777855279469137219165293725500887590280355973107580745212368937514070059991848948031718253804694621821734957604838125210951711527151265000736896607029198, 60132176395922896902518845244051065417143507550519860211077965501783315971109433544482411208238485135554065241864956361676878220342500208011089383751225437417049893725546176799417188875972677293680033005399883113531193705353404892141811493415079755456185858889801456386910892239869732805273879281094613329645326287205736614546311143635580051444446576104548
498841194617327650445431051685964174399227739376, 376599166921876118994132185660203151983500670896, 187705159843973102963593151204361139335048329243
620827881415493136309071302986914844220776856282, 674735360250004315267988424435741132047607535029
'''

涉及的知识点按解题顺序有Pell方程中国剩余定理模数不互素的情况DSA算法以及k共享情况

Pell方程

(10条消息) Pell方程_M3ng@L的博客-CSDN博客

首先通过求解Pell方程来算得vl,ul;也就是在之后RSA加密中使用的模数

中国剩余定理模数不互素的情况

(10条消息) 中国剩余定理模数不互素的情况_M3ng@L的博客-CSDN博客

这里使用低加密指数广播攻击,且模数不互素,推导过程在上面这篇文章中

可以算得消息 m 1 , m 2 m_1,m_2 m1,m2

这样就可以知道稍后在DSA算法中用到得 H ( m 1 ) , H ( m 2 ) H(m_1),H(m_2) H(m1),H(m2)

DSA算法

(10条消息) DSA算法_M3ng@L的博客-CSDN博客

先求 q q q

由于已知 p ∗ q p*q pq ( p − 1 ) / / q (p-1)//q (p1)//q

两者相乘得到 p ∗ ( p − 1 ) p*(p-1) p(p1)在对这个一元二次方程求解即可得到 p p p

那么 q q q​也可以得到

有三组DSA算法

其中两组使用了相同的 r 1 , k , x 1 r1,k,x1 r1,k,x1​​

使用k共享的攻击方式,通过 k = ( H ( m 1 ) − H ( m 2 ) ) ∗ ( s 1 − s 2 ) − 1 ( m o d   q ) k=(H(m_1)-H(m_2))*(s_1-s_2)^{-1}(mod~q) k=(H(m1)H(m2))(s1s2)1(mod q)求得 k k k

那么 k , r 1 , s 1 , s 2 k,r1,s1,s2 k,r1,s1,s2​​​​​已知,可以通过同余式 x 1 ≡ r 1 − 1 ∗ ( k ∗ s 1 − H ( m 1 ) ) ( m o d   q ) x1\equiv r1^{-1}*(k*s1-H(m1))(mod~q) x1r11(ks1H(m1))(mod q)​​​​求得 x 1 x1 x1​​​​​

剩下的一组也是使用的相同的 k k k

由于 r 2 , s 3 r2,s3 r2,s3​已知,那么可以求得 x 2 x2 x2

整道题的代码实现

from Crypto.Util.number import *
import gmpy2,sympy
from Crypto.Hash import SHA

wl = [3912956711, 4013184893, 3260747771]
cl1 = [2852589223779928796266540600421678790889067284911682578924216186052590393595645322161563386615512475256726384365091711034449682791268994623758937752874750918200961888997082477100811025721898720783666868623498246219677221106227660895519058631965055790709130207760704, 21115849906180139656310664607458425637670520081983248258984166026222898753505008904136688820075720411004158264138659762101873588583686473388951744733936769732617279649797085152057880233721961, 301899179092185964785847705166950181255677272294377823045011205035318463496682788289651177635341894308537787449148199583490117059526971759804426977947952721266880757177055335088777693134693713345640206540670123872210178680306100865355059146219281124303460105424] 
cl2 = [148052450029409767056623510365366602228778431569288407577131980435074529632715014971133452626021226944632282479312378667353792117133452069972334169386837227285924011187035671874758901028719505163887789382835770664218045743465222788859258272826217869877607314144, 1643631850318055151946938381389671039738824953272816402371095118047179758846703070931850238668262625444826564833452294807110544441537830199752050040697440948146092723713661125309994275256, 10949587016016795940445976198460149258144635366996455598605244743540728764635947061037779912661207322820180541114179612916018317600403816027703391110922112311910900034442340387304006761589708943814396303183085858356961537279163175384848010568152485779372842]
pq1 = 85198615386075607567070020969981777827671873654631200472078241980737834438897900146248840279191139156416537108399682874370629888207334506237040017838313558911275073904148451540255705818477581182866269413018263079858680221647341680762989080418039972704759003343616652475438155806858735982352930771244880990190318526933267455248913782297991685041187565140859
pq2 = 106239950213206316301683907545763916336055243955706210944736472425965200103461421781804731678430116333702099777855279469137219165293725500887590280355973107580745212368937514070059991848948031718253804694621821734957604838125210951711527151265000736896607029198
t = 60132176395922896902518845244051065417143507550519860211077965501783315971109433544482411208238485135554065241864956361676878220342500208011089383751225437417049893725546176799417188875972677293680033005399883113531193705353404892141811493415079755456185858889801456386910892239869732805273879281094613329645326287205736614546311143635580051444446576104548
r1,s1,s2 = 498841194617327650445431051685964174399227739376, 376599166921876118994132185660203151983500670896, 187705159843973102963593151204361139335048329243
r2,s3 = 620827881415493136309071302986914844220776856282, 674735360250004315267988424435741132047607535029


# Pell方程求解部分
# sagemath
# def Pell(D,trynumber = 1000):
#     temp = continued_fraction(sqrt(D))
#     for i in range(trynumber):
#         denom = temp.denominator(i)
#         num = temp.numerator(i)
#         if num^2- D * denom^2 == 1:
#             return num,denom
#     return None,None
# for i in wl:
#     Pell(i)
# (10537190383977432819948602717449313819513015810464463348450662860435011008001132238851729268032889296600248226221086420035262540732157097949791756421026015741477785995033447663038515248071740991264311479066137102975721041822067496462240009190564238288281272874966280,168450500310972930707208583777353845862723614274337696968629340838437927919365973736431467737825931894403582133125917579196621697175572833671789075169621831768398654909584273636143519940165648838850012943578686057625415421266321405275952938776845012046586285747)
# (121723653124334943327337351369224143389428692536182586690052931548156177466437320964701609590004825981378294358781446032392886186351422728173975231719924841105480990927174913175897972732532233,1921455776649552079281304558665818887261070948261008212148121820969448652705855804423423681848341600084863078530401518931263150887409200101780191600802601105030806253998955929263882382004)
# (1440176324831562539183617425199117363244429114385437232965257039323873256269894716229817484088631407074328498896710966713912857642565350306252498754145253802734893404773499918668829576304890397994277568525506501428687843547083479356423917301477033624346211335450,25220695816897075916217095856631009012504127590059436393692101250418226097323331193222730091563032067314889286051745468263446649323295355350101318199942950223572194027189199046045156046295274639977052585768365501640340023356756783359924935106074017605019787)


# 中国剩余定理模数不互素部分求解
ml1 = [10537190383977432819948602717449313819513015810464463348450662860435011008001132238851729268032889296600248226221086420035262540732157097949791756421026015741477785995033447663038515248071740991264311479066137102975721041822067496462240009190564238288281272874966280,121723653124334943327337351369224143389428692536182586690052931548156177466437320964701609590004825981378294358781446032392886186351422728173975231719924841105480990927174913175897972732532233,1440176324831562539183617425199117363244429114385437232965257039323873256269894716229817484088631407074328498896710966713912857642565350306252498754145253802734893404773499918668829576304890397994277568525506501428687843547083479356423917301477033624346211335450]
ml2 = [168450500310972930707208583777353845862723614274337696968629340838437927919365973736431467737825931894403582133125917579196621697175572833671789075169621831768398654909584273636143519940165648838850012943578686057625415421266321405275952938776845012046586285747,1921455776649552079281304558665818887261070948261008212148121820969448652705855804423423681848341600084863078530401518931263150887409200101780191600802601105030806253998955929263882382004,25220695816897075916217095856631009012504127590059436393692101250418226097323331193222730091563032067314889286051745468263446649323295355350101318199942950223572194027189199046045156046295274639977052585768365501640340023356756783359924935106074017605019787]
cl1 = [2852589223779928796266540600421678790889067284911682578924216186052590393595645322161563386615512475256726384365091711034449682791268994623758937752874750918200961888997082477100811025721898720783666868623498246219677221106227660895519058631965055790709130207760704, 21115849906180139656310664607458425637670520081983248258984166026222898753505008904136688820075720411004158264138659762101873588583686473388951744733936769732617279649797085152057880233721961, 301899179092185964785847705166950181255677272294377823045011205035318463496682788289651177635341894308537787449148199583490117059526971759804426977947952721266880757177055335088777693134693713345640206540670123872210178680306100865355059146219281124303460105424] 
cl2 = [148052450029409767056623510365366602228778431569288407577131980435074529632715014971133452626021226944632282479312378667353792117133452069972334169386837227285924011187035671874758901028719505163887789382835770664218045743465222788859258272826217869877607314144, 1643631850318055151946938381389671039738824953272816402371095118047179758846703070931850238668262625444826564833452294807110544441537830199752050040697440948146092723713661125309994275256, 10949587016016795940445976198460149258144635366996455598605244743540728764635947061037779912661207322820180541114179612916018317600403816027703391110922112311910900034442340387304006761589708943814396303183085858356961537279163175384848010568152485779372842]

i = 0
def CRT(cl,ml):
    global i
    clist = cl
    moudlelist = ml
    if i == 0:
        m1,m2 = ml[i],ml[i+1]
        c1,c2 = cl[i],cl[i+1]
    else:
        m1,m2 = ml[i],ml[len(ml)-1]
        c1,c2 = cl[i],cl[len(cl)-1]
    d = gmpy2.gcd(m1,m2)
    print(d)
    c = c2 - c1
    assert c % d == 0
    # X = c // d * gmpy2.invert(m1 // d,m2 // d)
    _,k1,k2 = gmpy2.gcdext(m1,m2) 
    X = c // d * k1 * m1
    if i == 0:
        clist.append((X + c1) % gmpy2.lcm(m1,m2))
        # moudlelist.append(m1*m2 // d)
        moudlelist.append(gmpy2.lcm(m1,m2))
        i += 2
    else:
        clist[len(clist)-1] = (X + c1) % gmpy2.lcm(m1,m2)
        # moudlelist[len(moudlelist)-1] = m1*m2 // d
        moudlelist[len(moudlelist)-1] = gmpy2.lcm(m1,m2)
        i += 1
    return clist,moudlelist


ii = 3
temp_cl,temp_ml = CRT(cl1,ml1)
while len(cl1) - ii > 0:
    temp_cl,temp_ml = CRT(temp_cl,temp_ml)
    ii += 1
final_c = temp_cl[len(temp_cl)-1]
m1 = long_to_bytes(gmpy2.iroot(final_c,7)[0])
print(long_to_bytes(gmpy2.iroot(final_c,7)[0]))
ii = 3
i = 0
temp_cl,temp_ml = CRT(cl2,ml2)
while len(cl2) - ii > 0:
    temp_cl,temp_ml = CRT(temp_cl,temp_ml)
    ii += 1
final_c = temp_cl[len(temp_cl)-1]
m2 = long_to_bytes(gmpy2.iroot(final_c,7)[0])
print(long_to_bytes(gmpy2.iroot(final_c,7)[0]))


# DES算法求解部分
hm1 = bytes_to_long(SHA.new(m1).digest())
hm2 = bytes_to_long(SHA.new(m2).digest())

# sagemath
# temp = pq1 * pq2
# p = var('p')
# solve([p*(p-1)==temp],p)
p = 95139353880772104939870618145448234251031105153406565833029787299040378395002190438381537974853777890692924407167823818980082672873538133127131356810153012924025270883966172420658777903337576027105954119811495411149092960422055445121097259802686960288258399754185484307350305454788837702363971523085335074839
q = pq1 // p
re_s12 = gmpy2.invert(s1-s2,q)
k = (hm1 - hm2) * re_s12 % q

re_r1 = gmpy2.invert(r1,q)
x1 = re_r1 * (k*s1 - hm1) % q
re_r2 = gmpy2.invert(r2,q)
x2 = re_r2 * (k*s3 - hm1) % q
print(bytes.decode(long_to_bytes(x1)),end="")
print(bytes.decode(long_to_bytes(x2)))

参考文章

2021年西湖论剑网络安全技能大赛部分WP - 安全客,安全资讯平台 (anquanke.com)

M3ng@L
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[ CTF ]天格战队WriteUp-首届数字空间安全攻防大赛(初赛)
ZXW_NUDT的博客
07-16 777
首届数字空间安全攻防大赛
2023西湖论剑-(部分)WP
xccwxy的博客
02-03 2315
2023西湖论剑-(部分)WP
crypto-PellRSA(2022 ISG CTF)
耐酸碱高温固化材料近距离传输研究
12-31 1306
已知,则利用韦达定理求解该方程,若解为整数即可进一步推出。其中x和y都未知需要进行枚举。最后老套路RSA解密即可。RSA新套路,记录一下。题目一开始是佩尔方程。
2023西湖论剑pwn 部分wp
cainiao78777的博客
02-18 635
也就是*(&v3 + i) = v0 修改一个字节的内容,但是我们也要解一下这个方程,以免程序被exit()而且在buf的下面的变量都是能够覆盖的,也就是说,我们能通过覆盖 i 的值进行数组溢出。一个格式化字符串漏洞,一个栈溢出,但是只能副盖rbp和返回地址,所有要考虑栈迁移。我看有个大佬的解法很奇特,准备学习一下,待我学成,再来补充另外一种方法。泄露出这个函数地址,就能得到 libc——base。根据距离rbp的距离将相应的变量填入。这里的main指的是start,第二次getshell。
2024西湖论剑-数据安全-PHPEMS_西湖论剑2024wp(1),网络安全架构师之路
最新发布
code8889的博客
04-17 458
phar触发点在 app/weixin/controller/index.api.php 中的file_getcontents,其中$picurl从xml数据中获取。exec中 虽然说用到了预处理,但是是prepare部分我们仍可以控制,那么这个预处理即使在这里那也是无效的,并不能防止注入。使用上面的exp我们就能把后台密码修改为123456,进入后台就能RCE,这个我们下面在写。题目给的源码中有几个点可以触发注入,但是能用的只有一个点,因为其他的php类没有被加载(利用substr截取。
dsa.rar_SUNPLUS_dsa_dsa 通信
09-19
DSA通信协议在SUNPLUS MCU中的应用及学习解析》 在嵌入式系统开发中,数据安全算法(Data Security Algorithm,简称DSA)扮演着至关重要的角色,它为设备间的通信提供安全保障。本文将深入探讨SUNPLUS微控制器...
DSA_Java.zip_DSA java_algorithms_dsa
09-22
标题 "DSA_Java.zip_DSA java_algorithms_dsa" 暗示了这个压缩包包含的是与Java编程语言相关的数字签名算法(Digital Signature Algorithm,简称DSA)实现。DSA是一种广泛使用的公钥密码学算法,主要用于数据签名和...
dsa.rar_DSA C语言_DSA算法_c dsa_dsa
09-24
DSA(Digital Signature Algorithm)是一种基于离散对数问题的数字签名算法,由美国国家安全局(NSA)设计,被广泛用于网络安全领域,如数据完整性验证和身份认证。它提供了不可否认性和防止数据篡改的能力。 在...
DSAParams.rar_Dsa interface_dsa
09-24
DSA(Digital Signature Algorithm)是一种基于离散对数问题的数字签名算法,由美国国家标准与技术研究所(NIST)在1991年提出,并被广泛应用于网络安全领域,特别是在电子签名和公钥基础设施(PKI)中。这个...
dsa.rar_C Builder_dsa
09-19
总结,DSA算法在C++ Builder中的实现涉及到对数论和加密原理的理解,以及对C++编程和特定加密库的熟练运用。通过理解DSA算法的基本原理和操作流程,开发者可以有效地在C++ Builder环境下实现安全的数字签名功能,为...
2022西湖论剑pwn部分wp
N1rvana的博客
02-05 846
西湖论剑2022pwn
2021西湖论剑网络安全大赛部分WP
七堇年的博客
12-23 4687
2021西湖论剑网络安全大赛WP
2022西湖论剑-初赛CTF部分wp-Zodiac
toto的博客
02-03 3340
2023西湖论剑初赛CTF部分wp
西湖论剑2021 Crypto unknown_dsa wp
Fred_Bohr_Locke的博客
11-21 664
题目 from Crypto.Util.number import * from Crypto.PublicKey import DSA from Crypto.Hash import SHA from gmpy2 import invert,powmod import random from secret import flag,m1,m2,ul,vl,wl def encrypt(): key = DSA.generate(int(1024)) q = key.q p = ke
WP-2021西湖论剑
ce666666的博客
01-16 1067
2021西湖论剑-wp 前言 全靠大佬打,我是划水的。 灏妹的web 页面开发中 Dirsearch扫一下,idea泄露 ezupload 查看页面源代码,发现提示 ?source=1 发现使用_FILE进行上传,构造上传表单 访问并随便上传一个文件,放到bp里回显no 查看源码最后一个else,在此情况进行渲染temper/index.latte,同时文件也被写入temper。也就是我们上传index.latte的文件。 waf测试 {if “${nl /f*>1}”}{/if} 然后上
python实现DSA
weixin_49563201的博客
11-12 625
由于在网上查找了很多python实现DSA的资料也没有找到合适的代码,所以最终还是凭着网上查找到的代码与自己研究勉强写下了以下代码。以上便是我所写的代码,如有欠妥之处,还请多多批评指正,以便共同进步。
openssl 非对称加密算法DSA命令详解
weixin_30662539的博客
04-08 430
1、DSA算法概述 DSA算法是美国的国家标准数字签名算法,它只能用户数字签名,而不能用户数据加密和密钥交换。 DSA与RSA的生成方式不同,RSA是使用openssl提供的指令一次性的生成密钥(包括公钥),而通常情况下,DSA是先生成DSA的密钥参数,然后根据密钥参数生成DSA密钥(包括公钥),密钥参数决定了DSA密钥的长度,而且一个密钥参数可以生成多对DSA密钥对。 DSA生成的密钥参数...
Linux服务器SSH无法通过DSA证书登录的解决方法
weixin_30888707的博客
07-30 442
来源:https://www.cnblogs.com/luanlengli/p/8733704.html 从openssh7.0开始,ssh-dss密钥被默认禁用。 修改服务器端的openssh设置重新开启 # vim /etc/sshd/sshd_config添加以下选项PubkeyAcceptedKeyTypes=+ssh-dss 重启sshd服务 # s...
Pell方程
M3ng@L的博客
12-28 714
Pell方程 形如x2−D∗y2=1x^2-D*y^2=1x2−D∗y2=1​​的方程 当DDD​不为完全平方数时有整数解 又因为每一个不是完全平方数的整数DDD​,其平方根可以写成简单循环连分数的形式 取D\sqrt{D}D​​的连分数的有限周期作为一个有限分数 则分子、分母分别对应x、yx、yx、y的最小值 sagemath实现 def Pell(D,numbers=100): temp = continued_fraction(sqrt(D)) for i in range(number):
`TORCH_USE_CUDA_DSA`
10-24
`TORCH_USE_CUDA_DSA` 是一个编译选项,用于启用设备端断言。当你在使用 PyTorch 进行深度学习训练时,如果出现了 `Compile with TORCH_USE_CUDA_DSA to enable device-side assertions.` 的报错,那么可能是因为你的 PyTorch 没有启用设备端断言。要解决这个问题,你需要重新编译 PyTorch 并启用 `TORCH_USE_CUDA_DSA` 选项。不过,在大多数情况下,这个报错是由于显存不足导致的,你可以尝试降低显存或者使用 `torch.cuda.empty_cache()` 函数来释放显存。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M3ng@L

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值