[NPUCTF2020]Mersenne twister

于 2022-08-13 17:07:34 发布
阅读量358 收藏 1
点赞数
分类专栏: crypto 文章标签: CTF crypto
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52193383/article/details/126321781
版权

[NPUCTF2020]Mersenne twister

from hashlib import *
from itertools import *
from binascii import hexlify , unhexlify

from flag import flag ,seed

assert len(flag) == 26
assert flag[:7] == 'npuctf{'
assert flag[-1] == '}'

XOR = lambda s1 ,s2 : bytes([x1 ^ x2 for x1 ,x2 in zip(s1 , s2)])

class mt73991:
    def __init__(self , seed):
        self.state = [seed] + [0] * 232
        self.flag = 0
        self.srand()
        self.generate()
    def srand(self):
        for i in range(232):
            self.state[i+1] = 1812433253 * (self.state[i] ^ (self.state[i] >> 27)) - i
            self.state[i+1] &= 0xffffffff


    def generate(self):
        for i in range(233):
            y = (self.state[i] & 0x80000000) | (self.state[(i+1)%233] & 0x7fffffff)
            temp = y >> 1
            temp ^= self.state[(i + 130) % 233]
            if y & 1:
                temp ^= 0x9908f23f
            self.state[i] = temp
    def getramdanbits(self):
        if self.flag == 233:
            self.generate()
            self.flag = 0
        bits = self.Next(self.state[self.flag]).to_bytes(4 , 'big')
        self.flag += 1
        return bits
        
    def Next(self , tmp):
        tmp ^= (tmp >> 11)
        tmp ^= (tmp << 7) & 0x9ddf4680
        tmp ^= (tmp << 15) & 0xefc65400
        tmp ^= (tmp >> 18) & 0x34adf670
        return tmp

def encrypt(key , plain):
    tmp = md5(plain).digest()
    return hexlify(XOR(tmp , key))

if __name__ == "__main__":
    flag = flag.encode()
    random = mt73991(seed)
    f = open('./cipher.txt' , 'wb')
    for i in flag:
        key = b''.join([random.getramdanbits() for _ in range(4)])
        cipher = encrypt(key , chr(i).encode())
        f.write(cipher)

容易知道要求出seed才能解密。

通过分析可知,加密过程中一个字符对应 4 个随机数,根据题目给出的已知flag格式,可以求得前28个随机数和最后4个随机数(也就是第101~104)。通过这些随机数,写出Next()的逆过程,可以求出相应的generate之后的state。

Next逆过程如下:

浅析MT19937伪随机数生成算法 - 安全客,安全资讯平台 (anquanke.com)

# right shift inverse
def inverse_right(res, shift, bits=32):
    tmp = res
    for i in range(bits // shift):
        tmp = res ^ tmp >> shift
    return tmp

# right shift with mask inverse
def inverse_right_mask(res, shift, mask, bits=32):
    tmp = res
    for i in range(bits // shift):
        tmp = res ^ tmp >> shift & mask
    return tmp

# left shift inverse
def inverse_left(res, shift, bits=32):
    tmp = res
    for i in range(bits // shift):
        tmp = res ^ tmp << shift
    return tmp

# left shift with mask inverse
def inverse_left_mask(res, shift, mask, bits=32):
    tmp = res
    for i in range(bits // shift):
        tmp = res ^ tmp << shift & mask
    return tmp

def recover_state(tmp):
    tmp = inverse_right_mask(tmp, 18,0x34adf670)
    tmp = inverse_left_mask(tmp, 15, 0xefc65400)
    tmp = inverse_left_mask(tmp, 7, 0x9ddf4680)
    tmp = inverse_right(tmp, 11)
    return tmp

仔细观察generate()

def generate(self):
        for i in range(233):
            y = (self.state[i] & 0x80000000) | (self.state[(i+1)%233] & 0x7fffffff)
            temp = y >> 1
            temp ^= self.state[(i + 130) % 233]
            if y & 1:
                temp ^= 0x9908f23f
            self.state[i] = temp

轮新的状态值【i】由这一轮的【i】(提供最高位)和【i+1】(提供除最高bit位)拼接,右移1位后异或【(i + 130) % 233】而来。随后根据y & 1选择要不要异或0x9908f23f。

而此时我们正好已知state[0]和state[103],于是我们可以猜测state[104]。

  1. 根据y&1的情况(也就是state[104]最低 bit 位)选择是否进行异或。
  2. 异或state[0]。
  3. 求出相应情况的y。
  4. 猜测state[104]最高 bit 位的情况,求出state[104]。

至此我们得到了srand()之后的state[104],那怎么求出seed呢?

仔细观察srand()

def srand(self):
    for i in range(232):
        self.state[i + 1] = 1812433253 * (self.state[i] ^ (self.state[i] >> 27)) - i
        self.state[i + 1] &= 0xffffffff

我们可以从这里逆出seed。& 0xffffffff是不是就是mod (0xffffffff+1),于是/1812433253就相当于乘它的逆元。而self.state[i] ^ (self.state[i] >> 27)这步操作,只需要再执行一遍就可以求出原来的state[i]。

相应代码如下

def recover_seed(seed):
    mod = 0xffffffff + 1
    inv = int(invert(1812433253,mod))
    init = [0]*104 + [seed]
    for i in range(103, -1, -1):
        init[i] = ((init[i+1] + i)*inv) % mod
        init[i] = init[i] ^ (init[i] >> 27)
    return init[0]

求出了seed之后还有进行判断是否是对的,只需要再执行一遍srand()和generate(),得到的结果跟已知的generate()之后的state[]做对比就行了。

求出了seed之后,后面的解密就很简单了。

总体代码如下:

import hashlib
from binascii import hexlify , unhexlify
from gmpy2 import invert

XOR = lambda s1, s2 : bytes([x1 ^ x2 for x1, x2 in zip(s1, s2)])

# right shift inverse
def inverse_right(res, shift, bits=32):
    tmp = res
    for i in range(bits // shift):
        tmp = res ^ tmp >> shift
    return tmp

# right shift with mask inverse
def inverse_right_mask(res, shift, mask, bits=32):
    tmp = res
    for i in range(bits // shift):
        tmp = res ^ tmp >> shift & mask
    return tmp

# left shift inverse
def inverse_left(res, shift, bits=32):
    tmp = res
    for i in range(bits // shift):
        tmp = res ^ tmp << shift
    return tmp

# left shift with mask inverse
def inverse_left_mask(res, shift, mask, bits=32):
    tmp = res
    for i in range(bits // shift):
        tmp = res ^ tmp << shift & mask
    return tmp

def recover_state(tmp):
    tmp = inverse_right_mask(tmp, 18,0x34adf670)
    tmp = inverse_left_mask(tmp, 15, 0xefc65400)
    tmp = inverse_left_mask(tmp, 7, 0x9ddf4680)
    tmp = inverse_right(tmp, 11)
    return tmp

with open(r'cipher.txt', 'rb') as f:
    cipher = unhexlify(f.readline())
#print(len(hashlib.md5(b'n').digest()))#16bits

key1 = XOR(hashlib.md5(b'n').digest(), cipher[:16])
state0 = recover_state(int.from_bytes(key1[:4], 'big'))
print(state0)
key2 = XOR(hashlib.md5(b'}').digest(), cipher[-16:])
state103 = recover_state(int.from_bytes(key2[-4:], 'big'))
print(state103)

#用state[104]恢复seed
def recover_seed(seed):
    mod = 0xffffffff + 1
    inv = int(invert(1812433253,mod))
    init = [0]*104 + [seed]
    for i in range(103, -1, -1):
        init[i] = ((init[i+1] + i)*inv) % mod
        init[i] = init[i] ^ (init[i] >> 27)
    return init[0]

#生成初始state
def srand(seed):
    state = [seed] + [0]*232
    for i in range(232):
        state[i+1] = 1812433253 * (state[i] ^ (state[i] >> 27)) - i
        state[i+1] &= 0xffffffff

    return state

#检验
def check(state):
    for i in range(233):
        y = (state[i] & 0x80000000) | (state[(i + 1) % 233] & 0x7fffffff)
        temp = y >> 1
        temp ^= state[(i + 130) % 233]
        if y & 1:
            temp ^= 0x9908f23f
        state[i] = temp
    if state[0] == state0 and state[103] == state103:
        return True
    else:
        False

#恢复generate之前的state[104]
def dec_generate(a,b):#a为state0,b为state103
    maybe_list = []
    #if state[104]最低bit为0
    temp = b
    temp ^= a
    y = (temp << 1) + 0
    #猜 state[104]最高bit为0,1
    may1 = 0x80000000 + (y & 0x7fffffff)
    may2 = y & 0x7fffffff
    # if state[104]最低bit为1
    temp ^= 0x9908f23f
    temp ^= a
    y = (temp << 1) + 1
    # 猜 state[104]最高bit为0,1
    may3 = 0x80000000 + (y & 0x7fffffff)
    may4 = y & 0x7fffffff
    maybe_list = [may1, may2, may3, may4]
    print(f'maybe_list = {maybe_list}')
    for each in maybe_list:
        seed = recover_seed(each)
        state = srand(seed)
        if check(state.copy()) == True:
            return seed

    return -1

seed = dec_generate(state0, state103)
print(f'seed = {seed}')

class mt73991:
    def __init__(self, seed):
        self.state = [seed] + [0] * 232
        self.flag = 0
        self.srand()
        self.generate()

    def srand(self):
        for i in range(232):
            self.state[i + 1] = 1812433253 * (self.state[i] ^ (self.state[i] >> 27)) - i
            self.state[i + 1] &= 0xffffffff

    def generate(self):
        for i in range(233):
            y = (self.state[i] & 0x80000000) | (self.state[(i + 1) % 233] & 0x7fffffff)
            temp = y >> 1
            temp ^= self.state[(i + 130) % 233]
            if y & 1:
                temp ^= 0x9908f23f
            self.state[i] = temp

    def getramdanbits(self):
        if self.flag == 233:
            self.generate()
            self.flag = 0
        bits = self.Next(self.state[self.flag]).to_bytes(4, 'big')
        self.flag += 1
        return bits

    def Next(self, tmp):
        tmp ^= (tmp >> 11)
        tmp ^= (tmp << 7) & 0x9ddf4680
        tmp ^= (tmp << 15) & 0xefc65400
        tmp ^= (tmp >> 18) & 0x34adf670
        return tmp


def decrypt(key, cipher):
    tmp = XOR(key, cipher)
    for i in range(20, 127):
        if hashlib.md5(chr(i).encode()).digest() == tmp:
            return chr(i)


random = mt73991(seed)
flag = ''
for i in range(0, len(cipher), 16):
    key = b''.join([random.getramdanbits() for _ in range(4)])
    ch = decrypt(key, cipher[i:i+16])
    flag += ch

print(flag)

参考:

2022DASCTF MAY 出题人挑战赛 - gla2xy’s blog (gal2xy.github.io)

浅析MT19937伪随机数生成算法 - 安全客,安全资讯平台 (anquanke.com)

gal2xy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[NPUCTF2020]Mersenne twister(mt73991伪随机)
weixin_44110537的博客
09-06 470
encrypt from hashlib import * from itertools import * from binascii import hexlify , unhexlify from flag import flag ,seed assert len(flag) == 26 assert flag[:7] == 'npuctf{' assert flag[-1] == '}' XOR = lambda s1 ,s2 : bytes([x1 ^ x2 for x1 ,x2 in zip(
mersenne-twister-predictor:根据前624个生成的数字预测MT19937 PRNG。 Python标准库的“随机”有专门的
05-31
Mersenne Twister 预测器 根据前624个生成的数字预测MT19937 PRNG。 Python标准库的“随机”有一个专门化。 用法 安装 $ pip install mersenne-twister-predictor 作为图书馆 该库具有 CPython 标准random的特殊...
[NPUCTF2020]Mersenne twister 已知明文推测随机数seed
m0_62506844的博客
07-04 476
[NPUCTF2020]Mersenne twister 已知明文推测随机数seed 伪随机数算法
NPUCTF 2020 Crypto writeup
Slightwind's Blog
04-24 3530
认清形势,建立信心 题目中给了 2e mod n2^e \ mod \ n2e mod n, 4e mod p4^e \ mod \ p4e mod p 和 8e mod p8^e \ mod \ p8e mod p。令它们分别为 ...
生成和为0的随机数组_浅析MT19937伪随机数生成算法
weixin_39787345的博客
11-25 628
引言近年来MT19937在各大CTF赛事中出现的频率越来越高,本文主要讨论CTF中的常见的MT相关问题,并利用几道典型的赛题进行实战分析,尤其是今年二月份pwnhub的一道零解题(详见扩展题型)。感谢zzh师傅的细心指点,赛后才勉强解出了这道CoinFlip2。前置知识MT19937是一种周期很长的的伪随机数生成算法,可以快速的产生高质量的伪随机数,主要分为三部分。如果读者对该算法不...
impact-plugin-mersenne-twister:Impact JS Mersenne Twister 插件
06-22
Impact JS Mersenne Twister 插件 这个插件允许 yoy 使用 Mersenne Twister 生成伪随机数。 该插件基于 MT19937 算法,代码由 安装 作为子模块,从 git 命令行: git submodule add ...
mersenne twister-19937
07-04
Mersenne Twister随机数发生器是目前常用的能快速产生高质量伪随机序列的发生器,就目前来看它一共有3个变种,分别是MT19937,MT19937-64,SFMT(或者DSFMT)。 相比较前人的LCG算法和GFSR算法(广义的反馈移位寄存器...
Mersenne Twister 伪随机数生成算法
09-27
Mersenne Twister算法译为马特赛特旋转演算法,是伪随机数发生器之一,其主要作用是生成伪随机数。此算法是Makoto Matsumoto (松本)和Takuji Nishimura (西村)于1997年开发的,基于有限二进制字段上的矩阵线性再生。...
改进的快速Mersenne twister随机数算法 非常适合做FPGA算法使用 随机性好
06-03
Mersenne Twister是一种高效的伪随机数生成器(PRNG),由日本数学家Takuji Nishimura和Minoru Matsumoto在1997年提出。它因其优秀的统计性质和长周期特性而广受赞誉,被广泛应用于各种领域,包括科学计算、模拟、...
随机数生成器
explorer9607的博客
11-05 1万+
上帝到底掷不掷骰子? "random"(随机)这个词看似简单易懂,但若深究,问题就会上升到量子力学和哲学的高度。 爱因斯坦说出的那句名言: "God does NOT play dice with the Universe!" 一直被人们视为他否定量子力学的证据(虽然事实好像并非如此),而量子力学把随机性看做物理世界的内在性质。 很多人持有这样的观点,即宇宙中所发生的一切从宇宙诞生的那一刻(...
伪随机数生成——梅森旋转(Mersenne Twister/MT)算法笔记
热门推荐
tick_tock97的博客
11-28 2万+
前言 最近在看吴军博士的《数学之美》一书,把很多之前没注意到,没用到,甚至不知道怎么用的数学知识和实际问题联系了起来,感觉打开了新世界的大门一样。这本书很多知识点还有技术都是点到为止,并没有深入,所谓师傅领进门,修行在个人吧。所以从本篇开始,博主将对数学之美一书中的一些提到的东西做个总结。不对的地方希望各位看官大佬们多多指正。 在本书第16章《信息指纹及其应用》一文中,介绍到了现在常用的
BUUCTF 每日打卡 2021-7-24
weixin_52446095的博客
07-25 532
引言 台风天,还练了一天车,淦 [SUCTF2019]MT 来填坑了 首先看加密代码: from Crypto.Util import number from flag import flag def convert(m): m = m ^ m >> 13 m = m ^ m << 9 & 2029229568 m = m ^ m << 17 & 2245263360 m = m ^ m >> 19 r
【MT19937】学习分析
MangoFengC++
05-26 1219
MT19937伪随机数生成算法题型学习 32位的MT19937的python代码: def _int32(x): return int(0xFFFFFFFF & x) class MT19937: # 根据seed初始化624的state def __init__(self, seed): self.mt = [0] * 624 self.mt[0] = seed self.mti = 0 for i in r
Crypto_[NPUCTF2020]共 模 攻 击
M3ng@L的博客
11-21 3346
[NPUCTF2020]共 模 攻 击 题目描述: hint文件: from gmpy2 import * from Crypto.Util.number import * from secret import hint m = bytes_to_long(hint) p = getPrime(256) c = pow(m, 256, p) print(p) p, q = getPrime(256), getPrime(256) n = p * q e1, e2 = getPrime(32), getP
随机数算法
Wendell的计算机之旅
08-15 3432
Mersenne twister -- 目前为止最好的随机数算法 <!-- /* Font Definitions */ @font-face {font-family:Wingdings; panose-1:5 0 0 0 0 0 0 0 0 0; mso-font-charset:2; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:0 268435456 0 0 -2147483648
详细说明Mersenne Twister算法
最新发布
07-17
Mersenne Twister(梅森旋转算法)是一种广泛使用的伪随机数生成算法,它具有良好的随机性和周期性特性。下面详细说明Mersenne Twister算法的工作原理: 1. **初始化种子**: Mersenne Twister算法需要一个种子值来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值