羊城杯2021 Crypto wp

最新推荐文章于 2024-09-07 16:37:12 发布
最新推荐文章于 2024-09-07 16:37:12 发布
阅读量1.4k 收藏 4
点赞数 1
分类专栏: crypto 文章标签: 线性代数 概率论 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52193383/article/details/120277440
版权
本文介绍了RSA加密算法的原理及其在解密过程中的应用。针对给定的两道RSA题目,详细阐述了解题思路和步骤,包括利用两个模数的公约数分解大素数,以及通过数学公式推导解密密文的方法。通过对题目中加密过程的分析,展示了如何利用Rho算法快速找到大数的因子,从而完成解密。这些案例揭示了RSA算法在信息安全中的重要性和实际应用。
摘要由CSDN通过智能技术生成

文章目录

1.bigrsa

题目

from Crypto.Util.number import *
from flag import *

n1 = 103835296409081751860770535514746586815395898427260334325680313648369132661057840680823295512236948953370895568419721331170834557812541468309298819497267746892814583806423027167382825479157951365823085639078738847647634406841331307035593810712914545347201619004253602692127370265833092082543067153606828049061
n2 = 115383198584677147487556014336448310721853841168758012445634182814180314480501828927160071015197089456042472185850893847370481817325868824076245290735749717384769661698895000176441497242371873981353689607711146852891551491168528799814311992471449640014501858763495472267168224015665906627382490565507927272073
e = 65537
m = bytes_to_long(flag)
c = pow(m, e, n1)
c = pow(c, e, n2)

print("c = %d" % c)

# output
# c = 60406168302768860804211220055708551816238816061772464557956985699400782163597251861675967909246187833328847989530950308053492202064477410641014045601986036822451416365957817685047102703301347664879870026582087365822433436251615243854347490600004857861059245403674349457345319269266645006969222744554974358264

解题

大致意思是题目给出两个模数,对一个明文进行两次加密。

我们可以利用这两个模数来求出他们的公约数,这样就可以分解模数。
之后只要对密文进行两次解密就行了!

代码:

from Crypto.Util.number import *
import gmpy2

n1 = 103835296409081751860770535514746586815395898427260334325680313648369132661057840680823295512236948953370895568419721331170834557812541468309298819497267746892814583806423027167382825479157951365823085639078738847647634406841331307035593810712914545347201619004253602692127370265833092082543067153606828049061
n2 = 115383198584677147487556014336448310721853841168758012445634182814180314480501828927160071015197089456042472185850893847370481817325868824076245290735749717384769661698895000176441497242371873981353689607711146852891551491168528799814311992471449640014501858763495472267168224015665906627382490565507927272073
e = 65537
c = 60406168302768860804211220055708551816238816061772464557956985699400782163597251861675967909246187833328847989530950308053492202064477410641014045601986036822451416365957817685047102703301347664879870026582087365822433436251615243854347490600004857861059245403674349457345319269266645006969222744554974358264
p1 = p2 = gmpy2.gcd(n1,n2)

q1 = n1 // p1
q2 = n2 // p2
d1 = gmpy2.invert(e,(p1-1)*(q1-1))
d2 = gmpy2.invert(e,(p2-1)*(q2-1))

m1 = pow(c,d2,n2)
m2 = long_to_bytes(pow(m1,d1,n1))

print(m2)
#b'SangFor{qSccmm1WrgvIg2Uq_cZhmqNfEGTz2GV8}'

2. RSA?

题目

import os
from Crypto.Util.number import *
'''
flag = "GWHT{xxxxxxxxx}"
p = getPrime(256)
q = getPrime(256)
n = p*q
N = (p-1)*(q-1)
e = 65537
Mx = bytes_to_long(os.urandom(30))
My = bytes_to_long(flag)
Z1 = (Mx*My)%n
inv_Z1 = inverse_mod(Z1, n)
inv_2 = inverse_mod(2, n)
X = ((Z1+inv_Z1)*inv_2)%n
Y = My
inv_Y = inverse_mod(Y, n)
a = ((inv_Z1-X)*inv_Y)%n
D = (a*a)%n

xy = lambda (x1,y1),(x2,y2) : ((x1*x2+D*y1*y2)%n, (x1*y2+x2*y1)%n)
def getloop((x,y), e):
	ret = (x, y)
	for i in range(e-1):
		ret = xy(ret, (x,y))
	return ret
	
print n 
print getloop((X, Y), e)
print a

解题

Mx = bytes_to_long(os.urandom(30))
My = bytes_to_long(flag)
Z1 = (Mx*My)%n
inv_Z1 = inverse_mod(Z1, n)
inv_2 = inverse_mod(2, n)
X = ((Z1+inv_Z1)*inv_2)%n
Y = My
inv_Y = inverse_mod(Y, n)
a = ((inv_Z1-X)*inv_Y)%n
D = (a*a)%n

通过这段代码,可以发现除 M x Mx Mx , M y My My n n n 以外的其它数,基本元素均是由 M x Mx Mx , M y My My组成,而我们要求的也是 M y My My,所以可以将 Z 1 Z_1 Z1 i n v _ Z 1 inv\_Z_1 inv_Z1 X X X Y Y Y i n v _ Y inv\_Y inv_Y a a a D D D都化成只含 M x Mx Mx , M y My My

Z 1 = M x ∗ M y % n Z_1 = Mx * My \%n Z1=MxMy%n
i n v _ Z 1 = 1 M x ∗ M y % n inv\_Z_1 = \frac{1}{Mx * My}\%n inv_Z1=MxMy1%n
X = 1 + M y 2 ∗ M x 2 2 ∗ M x ∗ M y % n X = \frac{1+My^2 * Mx^2}{2 * Mx * My} \%n X=2MxMy1+My2Mx2%n
Y = M y Y = My Y=My
i n v _ Y = 1 M y % n inv\_Y= \frac{1}{My} \%n inv_Y=My1%n
a = 1 − M y 2 ∗ M x 2 2 ∗ M x ∗ M y 2 % n a = \frac{1- My^2 * Mx^2}{2* Mx * My^2} \%n a=2MxMy21My2Mx2%n
D = ( 1 − M y 2 ∗ M x 2 2 ∗ M x ∗ M y 2 ) 2 % n D = (\frac{1- My^2 * Mx^2}{2* Mx * My^2})^2\%n D=(2MxMy21My2Mx2)2%n

同样在getloop中的循环找 xi , yi 规律,写出前几项就可以发现规律:

第一次循环,n = 1, x 1 = 1 + M x 4 ∗ M y 4 2 ∗ M y 2 ∗ M x 2 x1 = \frac{1+ Mx^4 * My^4}{2*My^2*Mx^2} x1=2My2Mx21+Mx4My4 , y 1 = 1 + M x 2 ∗ M y 2 M x y 1= \frac{1+Mx^2*My^2}{Mx} y1=Mx1+Mx2My2
第二次循环, n = 2, x 2 = 1 + M x 6 ∗ M y 6 2 ∗ M y 3 ∗ M x 3 x2 = \frac{1+ Mx^6 * My^6}{2*My^3*Mx^3} x2=2My3Mx31+Mx6My6 , y 2 = 1 + M x 2 ∗ M y 2 + M x 4 ∗ M y 4 M x 2 ∗ M y y2 = \frac{1+Mx^2*My^2+Mx^4*My^4}{Mx^2*My} y2=Mx2My1+Mx2My2+Mx4My4
第三次循环, n = 3, x 3 = 1 + M x 8 ∗ M y 8 2 ∗ M y 4 ∗ M x 4 x3 = \frac{1+ Mx^8 * My^8}{2*My^4*Mx^4} x3=2My4Mx41+Mx8My8 , y 3 = 1 + M x 2 ∗ M y 2 + M x 4 ∗ M y 4 + M x 6 ∗ M y 6 M x 3 ∗ M y 2 y3 = \frac{1+Mx^2*My^2+Mx^4*My^4+Mx^6*My^6}{Mx^3*My^2} y3=Mx3My21+Mx2My2+Mx4My4+Mx6My6
所以规律为 x n = 1 + M x 2 ∗ n + 2 ∗ M y 2 ∗ n + 2 2 ∗ M y 4 ∗ M x 4 x_n = \frac{1+ Mx^{2*n+2} * My^{2*n+2}}{2*My^4*Mx^4} xn=2My4Mx41+Mx2n+2My2n+2 , y 3 = 1 + M x 2 ∗ M y 2 + M x 4 ∗ M y 4 + . . . + M x 2 ∗ n ∗ M y 2 ∗ n M x n ∗ M y n − 1 y3 = \frac{1+Mx^2*My^2+Mx^4*My^4+...+Mx^{2*n}*My^{2*n}}{Mx^n*My^{n-1}} y3=MxnMyn11+Mx2My2+Mx4My4+...+Mx2nMy2n

n ∈ [ 1 , e − 1 ] n\in [1,e-1] n[1,e1]

这样的话,代码的内容基本上都转化为了公式,而现在就要利用公式来求 M y My My

a ∗ y n = ( 1 − M x 2 ∗ M y 2 ) ∗ ( 1 + M x 2 ∗ M y 2 + M x 4 ∗ M y 4 + . . . + M x 2 ∗ n ∗ M y 2 ∗ n ) 2 M n + 1 ∗ M y n + 1 ( m o d   n ) a * y_n = \frac{(1-Mx^2*My^2)*(1+Mx^2*My^2+Mx^4*My^4+...+Mx^{2*n}*My^{2*n})}{2M^{n+1}*My^{n+1}}(mod\ n) ayn=2Mn+1Myn+1(1Mx2My2)(1+Mx2My2+Mx4My4+...+Mx2nMy2n)(mod n)
= 1 − M x 2 ∗ n + 2 ∗ M y 2 ∗ n + 2 2 M n + 1 ∗ M y n + 1 ( m o d   n ) =\frac{1-Mx^{2*n+2} * My^{2 * n+2}}{2M^{n+1}*My^{n+1}}(mod\ n) =2Mn+1Myn+11Mx2n+2My2n+2(mod n)
= x n − ( M x ∗ M y ) n + 1 ( m o d   n ) =x_n - (Mx*My)^{n+1}(mod\ n) =xn(MxMy)n+1(mod n)
于是,我们可以利用给出的 a a a y y y x x x 来求解 ( M x ∗ M y ) n + 1 (Mx*My)^{n+1} (MxMy)n+1
因为 n ∈ [ 1 , e − 1 ] n\in [1,e-1] n[1,e1],所以当循环完成后n + 1 = e = 65537。

令C = ( M x ∗ M y ) n + 1 (Mx*My)^{n+1} (MxMy)n+1 , M = M x ∗ M y Mx*My MxMy,即有 C = M e ( m o d   n ) C = M^e(mod\ n) C=Me(mod n)
,就很容易解出M = M x ∗ M y Mx*My MxMy的值
但是我们求的是 M y My My,需要从 M x ∗ M y Mx*My MxMy中提取 M y My My
a = 1 − M y 2 ∗ M x 2 2 ∗ M x ∗ M y 2 % n a = \frac{1- My^2 * Mx^2}{2* Mx * My^2} \%n a=2MxMy21My2Mx2%n中的分母正好多出了一个 M y My My,从而推出 M y = 1 − ( M x ∗ M y ) 2 2 ( M x ∗ M y ) ∗ a My =\frac{1-(Mx*My)^2}{2(Mx*My)*a} My=2(MxMy)a1(MxMy)2
这才得到了 M y My My的值,从而也就知道了flag。

from Crypto.Util.number import *
import gmpy2
n = 13390709926509813526471364597371124446888078365567927211781799241724742352679484983709219580483800891886832613684875066109177882219522305348565532970795023
(x,y) = (5404548088049249951619519701935576492239293254135836357417714329205323074367876875480850741613547220698045360461761929952847796420174204143917852624050110, 2110372753170830610718226848526649992911771424441223687775304654852191999130502986109306355582366065947895295520226816523397652918227241733632791793362785)
a = 1762039418842677123086894939949574689744108610561557889235294034870342076452734215004689409493802437034960516295735815195656138656970901855976802991519141
p = 115718235064789220654263009993128325569382592506655305434488398268608329541037
q = 115718235064789220654263009993128324769382192706654302434478391267607309966379
e = 65537
D = (a*a)%n
Mx_My_65537 = (x - a*y)%n
d = gmpy2.invert(e,(p-1)*(q-1))
Mx_My = pow(Mx_My_65537,d,n)
My = ((1 - Mx_My**2)*(gmpy2.invert(2,n) * gmpy2.invert(Mx_My,n) * gmpy2.invert(a,n)))%n
print(long_to_bytes(My))
#flag = b'GWHT{pell_equation_is_very_interesting}'

参考:
2021羊城杯 部分CRYPTO WP

3.Easy_Rsa

题目

from Crypto.Util.number import *
from flag import flag
import gmpy2

def gen_prime(nbits, gamma):
    g = getPrime(int(nbits * gamma))
    alpha = 0.5 - gamma
    while True:
        a = getRandomNBitInteger(int(alpha * nbits))
        p = 2 * g * a + 1
        if isPrime(p):
            b = getRandomNBitInteger(int(alpha * nbits))
            q = 2 * g * b + 1
            h = 2 * g * a * b + a + b
            while not isPrime(q) or isPrime(h) or gmpy2.gcd(a, b) != 1:
                b = getRandomNBitInteger(int(alpha * nbits))
                q = 2 * g * b + 1
            return p, q

def encrypt(nbits, gamma):
    p, q = gen_prime(nbits, gamma)
    n = p * q
    e = getPrime(16)
    while gmpy2.gcd(e, gmpy2.lcm(p-1,q-1)) != 1:
        e = getPrime(16)
    m = bytes_to_long(flag)
    c = pow(m, e, n)
    return n, e, c

n, e, c = encrypt(1024, 0.48)
print 'n =', n
print 'e =', e
print 'c =', c

# n = 84236796025318186855187782611491334781897277899439717384242559751095347166978304126358295609924321812851255222430530001043539925782811895605398187299748256080526691975084042025794113521587064616352833904856626744098904922117855866813505228134381046907659080078950018430266048447119221001098505107823645953039
# e = 58337
# c = 13646200911032594651110040891135783560995665642049282201695300382255436792102048169200570930229947213493204600006876822744757042959653203573780257603577712302687497959686258542388622714078571068849217323703865310256200818493894194213812410547780002879351619924848073893321472704218227047519748394961963394668

解题

可以看出 p − 1 p-1 p1 , q − 1 q-1 q1 具有一个很大的相同的因数,可以利用Rho算法来快速分解大数。
Rho算法
文献.pdf

import gmpy2,sympy
from Crypto.Util.number import *

def f(x, n):
    return (pow(x, n - 1, n) + 3) % n


def rho(n):
    i = 1
    while True:
        a = getRandomRange(2, n)
        b = f(a, n)
        j = 1
        while True:
            p = GCD(abs(a - b), n)
            print('{} in {} circle'.format(j, i))
            if p == n:
                break
            elif p > 1:
                return (p, n // p)
            else:
                a = f(a, n)
                b = f(f(b, n), n)
            j += 1
        i += 1

n = 84236796025318186855187782611491334781897277899439717384242559751095347166978304126358295609924321812851255222430530001043539925782811895605398187299748256080526691975084042025794113521587064616352833904856626744098904922117855866813505228134381046907659080078950018430266048447119221001098505107823645953039
e = 58337
c = 13646200911032594651110040891135783560995665642049282201695300382255436792102048169200570930229947213493204600006876822744757042959653203573780257603577712302687497959686258542388622714078571068849217323703865310256200818493894194213812410547780002879351619924848073893321472704218227047519748394961963394668

p,q = rho(n)
d = gmpy2.invert(e,(p-1)*(q-1))

m = pow(c,d,n)
print(long_to_bytes(m))
#b'SangFor{0a8c2220-4c1b-32c8-e8c1-adf92ec7678b}'
gal2xy
关注
专栏目录
2021羊城 部分CRYPTO WP
机智的钢板的博客
09-13 5718
Bigrsa from Crypto.Util.number import * from flag import * n1 = 10383529640908175186077053551474658681539589842726033432568031364836913266105784068082329551223694895337089556841972133117083455781254146830929881949726774689281458380642302716738282547.
鹤城2021 Crypto Writes up
weixin_56678592的博客
10-08 3397
鹤城2021 Crypto Writes up 这比赛原题横行有点水,跟着大佬们拿了个34名。 #1 easy_crypto 附件: 公正公正公正诚信文明公正民主公正法治法治诚信民主自由敬业公正友善公正平等平等法治民主平等平等和谐敬业自由诚信平等和谐平等公正法治法治平等平等爱国和谐公正平等敬业公正敬业自由敬业平等自由法治和谐平等文明自由诚信自由平等富强公正敬业平等民主公正诚信和谐公正文明公正爱国自由诚信自由平等文明公正诚信富强自由法治法治平等平等自由平等富强法治诚信和谐 社会主义核心价值观加密,在线解
[羊城 2021]Easy_Rsa
最新发布
weixin_73049307的博客
09-07 523
先生成大素数 g,然后生成随机数a,b,计算p = 2 * g * a + 1和q = 2 * g * b + 1,接着检查 q 是否为素数,且 p 和 q 的乘积的因数 h 不是素数,同时 a 和 b 互质,这样生成的 p 和 q 用于构建RSA密钥对。生成的 p 和 q 来计算 n = p * q,并生成一个16位的大素数 e 作为公钥的指数。生成密钥对,并计算密文 c,参数 1024 表示密钥对的位数,0.48 是生成素数时的随机性调整参数。定义生成大素数的函数gen_prime。
[羊城 2021]Bigrsa(共享素数)
2302_80322812的博客
03-31 235
题目中对明文进行了两次的加密,分别使用两次的n,要通过密文解出明文m,那么就得知道两次加密的解密钥d,要求出解密钥d就得需要知道p,q通过求逆元的方法求出d。但是n1和n2的值非常大,通过爆破求因式分解显示不太可能。因此可以看看两个n之间是否存在共用的素数。
2021羊城CTF wp
qq_45603443的博客
09-12 5828
2021羊城WP(部分) ​Web web1 only 4 def start_flag(s): global stop_threads while True: if stop_threads: break f = io.BytesIO(b'a' * 1024 * 50) url = 'http://192.168.41.134:8000/? gwht=/var/lib/php5/sess_1&ycb=http://127.0.0.1' headers = {'Cookie': 'PHPSES
2021羊城pwn部分wp
eeeeeight的博客
09-12 6535
前言: 羊城的how2heap没做出来, rctf也爆零了, 哎, 颓了 BabyRop: 最基础的栈溢出rop链, 直接贴exp了: from pwn import * #p=process('./BabyRop') p=remote('192.168.41.23', 11000) context.log_level='debug' sh=0x804c029 system=0x80490a0 #gdb.attach(p,'b *0x804926a') p.sendline('a'*0x28+'b'*
2021年9月广州羊城CRYPTOBigRsa
沐一 · 林 的博客
09-12 1009
2021年9月广州羊城CRYPTOBigRsa 下载附件,pub.py: . . 打开文件,发现内容是RSA加密过程: from Crypto.Util.number import * from flag import * n1 = 10383529640908175186077053551474658681539589842726033432568031364836913266105784068082329551223694895337089556841972133117083455781254
2021羊城Web-wp
weixin_45805993的博客
09-12 617
0x01涉及考点 laravel debug cve (CVE-2021-3129) ftp-redis打ssrf 0x02题目分析 扫目录发现一个文件中开启了6379端口和redis的dmp文件,推测要用redis来ssrf 之后了解了CVE-2021-3129 https://xz.aliyun.com/t/9030 大致是Ignition默认提供的vendor/facade/ignition/src/Solutions/MakeViewVariableOptionalSolution.php中可控f
2022年羊城wp
xjh8023的博客
09-04 1966
大赛由中共广州市委网络安全和信息化委员会办公室作为指导单位,广州市网络安全产业促进会主办,广东外语外贸大学、杭州安恒信息技术股份有限公司承办,广州市信息安全测评中心、广州互联网协会协办。 大赛以“网络安全为人民、网络安全靠人民”为主题,旨在通过竞赛的方式提高参赛选手攻防兼备的网络安全实践技能,实现以赛促学、以赛会友,加强不同院校及单位间的技术交流。
2020YCBCTF:2020羊城官方writeup及
03-24
2020年 2020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
UNCTF2021 部分wp.pdf
12-10
本文档对 UNCTF2021 部分 WP 进行了详细的解题报告,涵盖了 WEB、PHP、MYSQL、CRYPTO 等方面的知识点。 1. Fuzz_md5Get 和 Post 传参绕过 在 UNCTF2021 的 WEB 部分中,我们遇到了一个 fuzz_md5Get 的问题,需要...
ctfshow Crypto wp(持续更新)
YanSheng46的博客
03-25 895
经过各种加密的尝试后,可以得出是Atbash编码,可以解出flag{atbase_code_from_ctfshow}组成的密文,判断为jsfuck,F12控制台输入密文,得到flag。根据文本内容,可以很明显的分辨出是Brainfuck加密,用在线网站解密即可得到flag。看一下,我们的密文开头是 3EP/ ,而flag的base64编码为:ZmxhZw==通过题目提示,密钥与加密方法一致,也是Rabbit,解密就可以得到flag。一眼猜测凯撒密码,通过测试,偏移量为1的时候就可以得到flag。
东华2021 Crypto writeups
weixin_56678592的博客
11-07 688
东华2021 Crypto writeups #1 fermat’s revenge 题目: from Crypto.Util.number import * f = open('flag.txt', 'rb') m = bytes_to_long(f.read()) f.close() e = 65537 p = getPrime(1024) q = getPrime(1024) n = p * q c = pow(m, e, n) hint = pow(1010 * p + 1011, q, n) f
[羊城 2021]Bigrsa wp
2301_81462177的博客
07-20 256
本题考查共享素数,共享素数是指RSA加密时进行了两次加密,并且给出了加密钥e,两次加密的n1和n2,密文c。得flag:NSSCTF{qSccmm1WrgvIg2Uq_cZhmqNfEGTz2GV8}
[WP]2021羊城-Web部分
Y4tacker的博客
09-14 1954
文章目录写在前面WebCross The SideCheckin_GoOnly 4 (非预期解法)Only 4 (预期解法)NO SQLEasyCurl 写在前面 这次拿了第一还是比较开心的,一晚上没睡觉… Web Cross The Side 版本信息Laravel v8.26.1 (PHP v7.4.15) 目录扫描 应该是开启了redis 联系版本号,尝试debug-rce 既然有file_get_contents与file_put_contents,尝试ftp passivemode 成功出
羊城 部分wp
akxnxbshai的博客
09-10 540
羊城 wp
2021羊城 Rsa?题解
a5555678744的博客
09-24 452
yafu分解n很快就可以得到p,q但是没什么用 仔细观察getloop可以找到像杨辉三角类似的结构 其中x1是其中的奇数项和,y1是其中的偶数项和 实际上最后得到的x1和y1满足 ((X+aY)^65536)mod n=(s1 + a*s2)mod n 随后根据a = ((inv_Z1-X)*inv_Y)%n ,得知(s1 + a*s2)mod n就是inv Z1 随后算出Z1,得到X 最后Y =(n+x_add_ay-X)*gmpy2.invert(a,n)%n得到flag ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值