[De1CTF2019]Babylfsr

已于 2022-08-13 17:08:49 修改
阅读量344 收藏
点赞数 1
分类专栏: crypto 文章标签: crypto CTF
于 2022-08-13 17:01:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52193383/article/details/126321693
版权 
import hashlib
from secret import KEY,FLAG,MASK

assert(FLAG=="de1ctf{"+hashlib.sha256(hex(KEY)[2:].rstrip('L')).hexdigest()+"}")
assert(FLAG[7:11]=='1224')

LENGTH = 256

assert(KEY.bit_length()==LENGTH)
assert(MASK.bit_length()==LENGTH)

def pad(m):
    pad_length = 8 - len(m)
    return pad_length*'0'+m

class lfsr():
    def __init__(self, init, mask, length):
        self.init = init
        self.mask = mask
        self.lengthmask = 2**(length+1)-1

    def next(self):
        nextdata = (self.init << 1) & self.lengthmask 
        i = self.init & self.mask & self.lengthmask 
        output = 0
        while i != 0:
            output ^= (i & 1)
            i = i >> 1
        nextdata ^= output
        self.init = nextdata
        return output


if __name__=="__main__":
    l = lfsr(KEY,MASK,LENGTH)
    r = ''
    for i in range(63):
        b = 0
        for j in range(8):
            b = (b<<1)+l.next()
        r += pad(bin(b)[2:])
    with open('output','w') as f:
        f.write(r)

题目给出了504bits的output,可惜的是连掩码mask都是未知的。所以首要任务是求出掩码mask。考虑矩阵求解,建立256×256的init矩阵A,以及256×1的output矩阵C,显然需要512bits的output,故尝试遍历后8bits的情况。代码如下:

import hashlib 
from itertools import product

cipher = '001010010111101000001101101111010000001111011001101111011000100001100011111000010001100101110110011000001100111010111110000000111011000110111110001110111000010100110010011111100011010111101101101001110000010111011110010110010011101101010010100101011111011001111010000000001011000011000100000101111010001100000011010011010111001010010101101000110011001110111010000011010101111011110100011110011010000001100100101000010110100100100011001000101010001100000010000100111001110110101000000101011100000001100010'

for maybe in product([0, 1], repeat = 8):
    A = Matrix(GF(2),256,256)
    C = Matrix(GF(2),256,1)
    output = [int(i) for i in cipher] + list(maybe)
    
    for i in range(256):
        A[i] = [int(each) for each in output[i:i+256]]
        C[i] = [int(output[i+256])]
        
    try:
        #mask = A.inverse()*C
        mask = A.solve_right(C)#两种方式求出来的结果不尽相同,所以这个原理到底是什么呢?
        mask = [int(mask[i][0]) for i in range(256)]#得int化
        
    except:
        pass

接下来就是简单的还原过程,通过后生成的255bits的output推出前1bit的output或key。

(从阮师傅博客中看到了更简洁的方法😋,之前遇到的是32bits的mask,就直接挑出里面为1的位😂)

import hashlib 
from itertools import product

cipher = '001010010111101000001101101111010000001111011001101111011000100001100011111000010001100101110110011000001100111010111110000000111011000110111110001110111000010100110010011111100011010111101101101001110000010111011110010110010011101101010010100101011111011001111010000000001011000011000100000101111010001100000011010011010111001010010101101000110011001110111010000011010101111011110100011110011010000001100100101000010110100100100011001000101010001100000010000100111001110110101000000101011100000001100010'

for maybe in product([0, 1], repeat = 8):
    A = Matrix(GF(2),256,256)
    C = Matrix(GF(2),256,1)
    output = [int(i) for i in cipher] + list(maybe)
    
    for i in range(256):
        A[i] = output[i:i+256]
        C[i] = output[i+256]#[]
        
    try:
        #mask = A.inverse()*C
        mask = A.solve_right(C)#两种方式求出来的结果不尽相同,所以这个原理到底是什么呢?
        mask = [int(mask[i][0]) for i in range(256)]#得int化
        
        key = []
        for i in range(256):
            init = [0] + key + output[0:255-i]
            res = [init[k] & mask[k] for k in range(len(a))]
            if res.count(1)%2 == output[255-i]:
                key = [0] + key
            else:
                key = [1] + key
        
        key = hex(int(''.join(str(i) for i in key),2))[2:]
        sha = hashlib.sha256(key.encode()).hexdigest()
        if sha[:4] == '1224':
            print('de1ctf{' + sha + '}')
    except:
        pass
#de1ctf{1224473d5e349dbf2946353444d727d8fa91da3275ed3ac0dedeb7e6a9ad8619}

参考:

Babylfsr writeup (ruanx.net)

gal2xy
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[De1CTF2019]babyrsa(比较综合的rsa类型题目)
weixin_44110537的博客
07-18 3501
encrypt import binascii from data import e1,e2,p,q1p,q1q,hint,flag n = [20129615352491765499340112943188317180548761597861300847305827141510465619670536844634558246439230371658836928103063432870245707180355907194284861510906071265352409579441048101084995
[De1CTF2019]babyrsa
2er0!=O的博客
07-25 454
[De1CTF2019]babyrsa 附件 import binascii from data import e1,e2,p,q1p,q1q,hint,flag n = [2012961535249176549934011294318831718054876159786130084730582714151046561967053684463455824643923037165883692810306343287024570718035590719428486151090607126535240957
De1CTF.zip
07-20
De1CTF逆向 pwn等,除web,misc外均有
De1CTF2020:De1CTF2020
02-18
ctftime xctftime 电报
CTF竞赛密码学 之 LFSR
蚁景网安学院
03-24 2960
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
DelCTF2019 weapon WP
qq_41252520的博客
10-06 353
保护 分析 程序一共只有三个操作:增、删、改。又是没有泄露,看来又是利用IO_FILE泄露内存了。 漏洞还是很明显的,在删除操作中没有将free掉的指针置NULL 并且编辑的时候没有检测指针的合法性,因此形成了UAF。 在添加操作中限制了分配的大小 利用 程序中多处存在scanf函数,根据前面的文章可以知道,scanf可以帮我们得到一块unsortbin的chunk,我们构造的攻击链如...
[De1CTF2019]Babylfsr(B-M算法)
m0_62506844的博客
04-25 574
参考:ctfwiki 根据B-M算法的介绍,我们至少需要知道2n长度的序列,则可以推测出初始化seed 题目源码: import hashlib from secret import KEY,FLAG,MASK assert(FLAG=="de1ctf{"+hashlib.sha256(hex(KEY)[2:].rstrip('L')).hexdigest()+"}") assert(FLAG[7:11]=='1224') LENGTH = 256 assert(KEY.bit_length.
De1CTF-Crypto-LFSR略解
feng_2016的博客
05-14 890
好不容易做出来,记录一下吧 wp: https://www.anquanke.com/post/id/181811 https://www.anquanke.com/post/id/184828 官方wp好像是爆破 不过是有技巧地爆破 减少了很多计算量,让爆破有了可能性
[De1CTF2019]babyrsa writeup
a5555678744的博客
05-27 2083
总述 对于学习RSA来说,这道题无疑是很好的教材,这道题集合了许多常考的RSA的出题点,前三步解密较为简单,但是第四步有一定难度,要想做出来得费不少功夫。总而言之是一道很不错的Crypto题。 题解 第一步 最上面一层给了4组n和c,中国剩余定理估计是八九不离十了,而且这里用的lambda函数希望对python不熟悉的可以去查一下了解一下,算是一个很方便的小函数创建,也经常在Crypto的py脚本中出现。 中国剩余定理的python脚本如下: import gmpy2 import mat
De1ctf 2020 -‘check in’ writeup
01-09
这道题很有意思,考察知识点:.htaccess文件上传、改文件type、字符匹配的绕过 文件内容过滤了很多字符 perl|pyth|ph|auto|curl|base|>|rm|ruby|openssl|war|lua|msf|xter|telnet in contents! ...
writeup:CTF挑战撰写
05-28
欢迎阅读我们的文章! 自2018年以来,r3kapig是一个统一的CTF团队,主要来自Eur3kA和... :2020 de1ctf写入 :0CTF / TCTF 2020质量报告 :GeekPwn云上挑战赛 20201020-n1ctf :N1CTF 2020撰写 20210111-rwctf-
DE1-soc 内部资料
03-10
DE1-soc 内部资料 项目历程
任务二:Crypto学习
weixin_44171487的博客
05-09 5064
任务二:Crypto学习 内容: ① 掌握RSA加解密原理以及算法实现,在理解原理的过程中可以结合PPT对数论部分的相关内容进行学习。学习掌握AES加解密原理、代码实现。 ② 完成2020数字中国虎符网络安全赛比赛题目的复现。 RSA 基本信息: ①RSA加密算法是一种非对称加密算法。在公开密钥加密和电子商业中被广泛使用,于1977年由在麻省理工学院工作的三人提出。 ②1973年,在英国政府通讯总...
通过SECRET_KEY绕过flask的session认证
笑笑生的博客
07-24 4236
转载:https://www.secpulse.com/archives/97707.html 前言 最近读到一篇英文文章,甚是有趣,所以想把关键内容提取并翻译出来,记录自己学习的同时也方便他人阅读,原文地址。 0x00 漏洞细节 一般来说,安全的session存储,客户端的cookie应该是不可读的,但flask的cookie却不完全是这样,这里直接贴原作者的图。 通过.隔开的3段内容,第一段其实就是base64 encode后的内容,但去掉了填充用的等号,若decode失败,自己需..
HGAME2020 Week4 Writeup
wh201906的博客
02-14 1302
完结撒花 Crypto - ToyCipher_Linear 题目: Why encryption based on XOR and Rotation is easy to break? 还有加解密的脚本: #!/usr/bin/env python3 # -*- coding: utf-8 -*- import os, binascii from secret import flag d...
为什么要使用API Key 和Secret Key
热门推荐
yudajiangshan的博客
12-26 1万+
这是一对同时出现的账号密码,API Key 是用户的ID,Secret Key是密码。 正如一位网友说的“你需要两把钥匙,一把钥匙告诉他们你是谁,另一把钥匙证明你是你所说的人” 参考:https://cloud.tencent.com/developer/ask/41556 ...
古典密码(部分合集)
qq_52193383的博客
08-08 1万+
古典密码一. 移位密码1. 简单移位密码2. 曲路密码3. 云影密码4. 栅栏密码二. 代替密码单表代替密码1.凯撒密码2.ROT133.埃特巴什密码4.经典单表替代密码5.摩斯密码6.培根密码7.图形替换密码猪圈密码圣堂武士密码标准银河密码8.仿射密码多表代替密码1.棋盘密码PlayfairPolybiusADFGXADFGVX2.维吉尼亚密码 古典密码在形式上可分为移位密码和替换密码两类,其中代替密码又可分为单表替换和多表替换。 一. 移位密码 1. 简单移位密码 可以理解为明文根据密钥进行了位置的变换
[de1ctf 2019]ssrf me 1
最新发布
03-16
[de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值