2022蓝帽杯初赛密码wp(复现)

已于 2022-07-11 18:31:46 修改
阅读量717 收藏 6
点赞数 2
分类专栏: CTF 文章标签: python
于 2022-07-11 18:21:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53283643/article/details/125727453
版权

2022蓝帽杯密码wp(复现)

corrupted_key

题目
from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_OAEP
from secret import flag

key = RSA.generate(1024)
open("flag.enc",'wb').write(PKCS1_OAEP.new(key.publickey()).encrypt(flag))
open('priv.pem','wb').write(key.exportKey('PEM'))

-----BEGIN RSA PRIVATE KEY-----
MIICXgIBAAKBgQDXFSUGqpzsBeUzXWtG9UkUB8MZn9UQkfH2Aw03YrngP0nJ3NwH
UFTgzBSLl0tBhUvZO07haiqHbuYgBegO+Aa3qjtksb+bH6dz41PQzbn/l4Pd1fXm
dJmtEPNh6TjQC4KmpMQqBTXF52cheY6GtFzUuNA7DX51wr6HZqHoQ73GQQIDAQAB








yQvOzxy6szWFheigQdGxAkEA4wFss2CcHWQ8FnQ5w7k4uIH0I38khg07HLhaYm1c
zUcmlk4PgnDWxN+ev+vMU45O5eGntzaO3lHsaukX9461mA==
-----END RSA PRIVATE KEY-----
解析

给了不完整的PRIVATE KEY,很蓝帽,信息丢失,要恢复私钥。

先分析一下私钥文件。私钥文件包含 n , e , d , p , q , d % ( p − 1 ) , d % ( q − 1 ) , i n v e r t ( q , p ) n,e,d,p,q,d\%(p-1),d\%(q-1),invert(q,p) n,e,d,p,q,d%(p1),d%(q1),invert(q,p)及标签头,再将在这些base64后得到 p e m pem pem文件。将缺失的密钥分成两部分,base64解码后转成16进制查看更清晰。

MIICXgIBAAKBgQDXFSUGqpzsBeUzXWtG9UkUB8MZn9UQkfH2Aw03YrngP0nJ3NwH
UFTgzBSLl0tBhUvZO07haiqHbuYgBegO+Aa3qjtksb+bH6dz41PQzbn/l4Pd1fXm
dJmtEPNh6TjQC4KmpMQqBTXF52cheY6GtFzUuNA7DX51wr6HZqHoQ73GQQIDAQAB

30 82 02 5e 02 01 00 02 81 81 00 d7 15 25 06 aa 9c ec 05 e5 33 5d 6b 46 f5 49 14 07 c3 19 9f d5 10 91 f1 f6 03 0d 37 62 b9 e0 3f 49 c9 dc dc 07 50 54 e0 cc 14 8b 97 4b 41 85 4b d9 3b 4e e1 6a 2a 87 6e e6 20 05 e8 0e f8 06 b7 aa 3b 64 b1 bf 9b 1f a7 73 e3 53 d0 cd b9 ff 97 83 dd d5 f5 e6 74 99 ad 10 f3 61 e9 38 d0 0b 82 a6 a4 c4 2a 05 35 c5 e7 67 21 79 8e 86 b4 5c d4 b8 d0 3b 0d 7e 75 c2 be 87 66 a1 e8 43 bd c6 41 02 03 01 00 01

yQvOzxy6szWFheigQdGxAkEA4wFss2CcHWQ8FnQ5w7k4uIH0I38khg07HLhaYm1c
zUcmlk4PgnDWxN+ev+vMU45O5eGntzaO3lHsaukX9461mA==

c9 0b ce cf 1c ba b3 35 85 85 e8 a0 41 d1 b1 02 41 00 e3 01 6c b3 60 9c 1d 64 3c 16 74 39 c3 b9 38 b8 81 f4 23 7f 24 86 0d 3b 1c b8 5a 62 6d 5c cd 47 26 96 4e 0f 82 70 d6 c4 df 9e bf eb cc 53 8e 4e e5 e1 a7 b7 36 8e de 51 ec 6a e9 17 f7 8e b5 98

通过标签头定位可以得到一下信息:

n = 0xd7152506aa9cec05e5335d6b46f5491407c3199fd51091f1f6030d3762b9e03f49c9dcdc075054e0cc148b974b41854bd93b4ee16a2a876ee62005e80ef806b7aa3b64b1bf9b1fa773e353d0cdb9ff9783ddd5f5e67499ad10f361e938d00b82a6a4c42a0535c5e76721798e86b45cd4b8d03b0d7e75c2be8766a1e843bdc641
e = 0x10001
u = 0xe3016cb3609c1d643c167439c3b938b881f4237f24860d3b1cb85a626d5ccd4726964e0f8270d6c4df9ebfebcc538e4ee5e1a7b7368ede51ec6ae917f78eb598 # u * q % p = 1
dq_low = 0xc90bcecf1cbab3358585e8a041d1b1 # dq_low = d % (q - 1) % 2**120

之后就是恢复私钥。

一般常见的是泄露 d p dp dp, 可以恢复 p p p。同理,在这里给了 d q dq dq低120位,那么就恢复 q q q的低120位,再通过 q q q的低120位和 u u u恢复 q q q
e ∗ d q = k ∗ ( q − 1 ) + 1 ∵   d q < q − 1 ,   ∴   e > k e ∗ d q + k − 1 = k ∗ q   m o d (   2 120 ) ( e ∗ d q + k − 1 ) ∗ i n v e r t ( k , 2 120 ) = q   m o d (   2 120 ) e * dq = k*(q-1) + 1 \\ ∵\ dq < q-1,\ ∴\ e > k \\ e * dq + k - 1 = k * q\ mod(\ 2^{120})\\ (e * dq + k - 1) * invert(k, 2^{120}) = q\ mod(\ 2^{120}) edq=k(q1)+1 dq<q1,  e>kedq+k1=kq mod( 2120)(edq+k1)invert(k,2120)=q mod( 2120)
所以遍历 k ← ( 1 , 65537 ) k ←(1,65537) k(1,65537)即可求出 q q q的低120位。

然后求 q q q
u ∗ q = 1   m o d ( q ) u ∗ q = k ∗ p + 1 u ∗ q ∗ q − q = k ∗ p u ∗ q ∗ q − q = 0   m o d ( p ) u * q = 1\ mod(q)\\ u * q = k*p + 1\\ u * q * q - q = k * p\\ u*q*q-q = 0\ mod(p) uq=1 mod(q)uq=kp+1uqqq=kpuqqq=0 mod(p)
然后 C o p p e r s m i t h Coppersmith Coppersmith一下就可以啦

image-20220711175435089

exp
from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_OAEP
from Crypto.Util.number import *
from gmpy2 import *
from tqdm import tqdm

n = 0xd7152506aa9cec05e5335d6b46f5491407c3199fd51091f1f6030d3762b9e03f49c9dcdc075054e0cc148b974b41854bd93b4ee16a2a876ee62005e80ef806b7aa3b64b1bf9b1fa773e353d0cdb9ff9783ddd5f5e67499ad10f361e938d00b82a6a4c42a0535c5e76721798e86b45cd4b8d03b0d7e75c2be8766a1e843bdc641
e = 0x10001
cf = 0xe3016cb3609c1d643c167439c3b938b881f4237f24860d3b1cb85a626d5ccd4726964e0f8270d6c4df9ebfebcc538e4ee5e1a7b7368ede51ec6ae917f78eb598
d_low = 0xc90bcecf1cbab3358585e8a041d1b1
q_low = []
for i in tqdm(range(1, e, 2)):
    try:
        q0 = invert(i, 2 ** 120) * (e * d_low + i - 1) % 2 ^ 120
        q_low.append(q0)
    except:
        continue
PR.<x> = Zmod(n)[]
roots = []
for i in tqdm(range(len(q_low))):
    f = cf * (2^120*x + int(q_low[i])) ^ 2 - (2^120*x + int(q_low[i]))
    root = f.monic().small_roots(X = 2^(512-120))
    if root:
        q = 2^120*int(root[0]) + int(q_low[i])
        p = n // q
        assert p * q == n
        d = inverse(e, (p - 1) * (q - 1))
        rsa = RSA.construct((int(n), int(e), int(d), int(p), int(q)))
        # c = bytes_to_long(open('flag.enc', 'rb').read())
        c = 96458723724899437870554342796876171017896652413964521193266438981853945238446913579867464909353925601873532290626111170073532116639383463734148270579305067733147411306325252107181823453497914478588342362177625026365513002442585949837516090367171824895036711246039928723021679235071368954348296729327873680822
        c = long_to_bytes(c)
        print(PKCS1_OAEP.new(rsa).decrypt(c))
# c = 96458723724899437870554342796876171017896652413964521193266438981853945238446913579867464909353925601873532290626111170073532116639383463734148270579305067733147411306325252107181823453497914478588342362177625026365513002442585949837516090367171824895036711246039928723021679235071368954348296729327873680822
# p = 12112790828812363063315417237469719611888243756064158121348026938824270601623590308149025542977097905953795136774300936003505715307199422663647014200158449
# q = 12469144192094336933187534132907623337514842804208163244218540727384104398951558782195384932941310035462094951428865175221316720981428462265191789302379089
# d = inverse(e, (p - 1) * (q - 1))
# rsa = RSA.construct((n, e, d, p, q))
# print(PKCS1_OAEP.new(rsa).decrypt(open('flag.enc', 'rb').read()))
小总结

比赛的时候想到了单纯的用 u ∗ q ∗ q − q = 0 u*q*q-q=0 uqqq=0来求 q q q,但是没有出来,可能约束不够吧。

第二天上午复现的时候想到了通过 d q dq dq低位求 q q q的低位,但把同时将上面的联立起来给忘记了,虽然 q q q的低位也没求出来

下午有了脚本后豁然开朗(从别的师傅那里来的),思路还是不够灵活,不能串在一起,老了。

遇到的一点点问题:

上面说到 ( e ∗ d q + k − 1 ) ∗ i n v e r t ( k , 2 120 ) = q   m o d (   2 120 ) (e * dq + k - 1) * invert(k, 2^{120}) = q\ mod(\ 2^{120}) (edq+k1)invert(k,2120)=q mod( 2120),但 ( e ∗ d q − 1 ) ∗ i n v e r t ( k , 2 120 ) + 1 = q   m o d (   2 120 ) (e * dq - 1) * invert(k, 2^{120}) + 1 = q\ mod(\ 2^{120}) (edq1)invert(k,2120)+1=q mod( 2120)

不太行;

解出来得到 p , q , d p,q,d p,q,d后直接 p o w ( e , d , n ) pow(e,d,n) pow(e,d,n)也不太行(可能和 P K C S 1 _ O A E P PKCS1\_OAEP PKCS1_OAEP有点关系吧)。

mxx307
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【电子取证】网站取证(第六届”蓝帽杯“全国大学生网络安全技能大赛)
07-12
在第六届“蓝帽杯”全国大学生网络安全技能大赛中,参赛者可能需要掌握这项技术来解决实际问题。电子取证,也被称为数字取证,是指在法律允许的范围内,对电子设备中的数据进行收集、分析、验证,以获取与法律纠纷或...
红帽杯wp红帽杯wp
05-06
红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp
2023蓝帽杯初赛
2202_75317918的博客
09-02 634
2023蓝帽杯初赛
2022蓝帽杯初赛部分WP 复现
xxfsa的博客
03-12 335
(答案参考格式:flag{abcABC123})TrueCrypt加密中存在的flag值为?(答案参考格式:flag{abcABC123})把文件导出之后,连个office文件都经过加密,猜测pass.txt为字典,字典爆破。如果用取证大师可以直接看到 新建文本文档.txt是TrueCrypt加密。如果没有取证大师,把文件提出来之后打开也能发现不对劲,文件体积太大了。取证大师分析.dd文件,可以看到几个被加密文件以及pass.txt。还可以用取证大师的内存分析工具直接获取TrueCrypt的密钥文件。
第五届蓝帽杯初赛 misc 赛后复现
volcano的博客
05-01 1579
挺可惜的,比赛当天正好是我这个月事情最多的一天,一共也就不到30分钟做题时间,那个图片题差一点就出来了… 说到底还是自己太菜了,下次好好努力 冬奥会_is_coming 前面还是基础操作,binwalk分离出一个压缩包,发现注释信息处有提示 得到的mp3文件先用Audacity看一下频谱和波形,没有异常,那应该就是mp3隐写了,这里提示的eight numbers应该是密码的提示,冬奥会主题+8位数字,很容易联想到冬奥会举办日期:20220204 使用MP3Stego,命令如下,成功解密 解出的文本en
2021第五届蓝帽杯初赛取证复现1
wha1e的博客
05-15 2382
嫌疑人X的硬盘
2023蓝帽杯初赛复现
qq_73722777的博客
09-03 238
答案格式:http://www.baidu.com]19.【计算机取证】请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码?16.【计算机取证】请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1?[答题格式:com.bai.cc.initactivity][答题格式:http://sles.vips.com]11.【计算机取证】请给出计算机镜像pc.e01的SHA-1值?1.【APK取证】涉案apk的包名是?[答题格式:com.baid.ccs][答题格式:com.baidu.ces]
2022.7.9 第六届蓝帽杯复现
Pai_Space
07-11 789
2022.7.9 第六届蓝帽杯复现
2022蓝帽杯】file_session && 浅入opcode
weixin_45751765的博客
07-28 1642
每次蓝帽的web总能让人坐牢事情太多(人也菜)断断续续磨了很长一段时间的东西。
蓝帽杯半决赛2022
m0_64180167的博客
08-24 386
直接通过盘古石取证 打开取证大师和火眼不知道为什么都无法提取这个。
第五届蓝帽杯初赛 冬奥会 is_coming WP
weixin_46219841的博客
11-17 314
第五届蓝帽杯初赛 冬奥会 is _coming 开始直接给了一个png图片
【电子取证】程序分析(第六届”蓝帽杯“全国大学生网络安全技能大赛)
07-12
第六届”蓝帽杯“全国大学生网络安全技能大赛
蓝帽杯 2022 初赛Misc计算机取证所用工具和题目文件
最新发布
06-23
包含Arsenal-Image-Mounter、DiskGenius 64bit、Passware Kit工具,和题目用的内存镜像
【MISC】domainhacker2(第六届”蓝帽杯“全国大学生网络安全技能大赛)
07-11
【MISC】domainhacker2 是一场比赛项目,源自第六届"蓝帽杯"全国大学生网络安全技能大赛。这个比赛旨在提升大学生在网络安全领域的实践能力和理论知识,促进网络安全技术的学习与交流。从提供的文件名来看,我们可以...
2021-07-01
mxx307的博客
07-01 2969
2021.7.1 任性的三道签到题的小小的大不Ⅵ屁题一:MT1993([GKCTF 2021]Random改)一、题目描述二、解题思路三、小小的脚本啊四、小小的总结题二:boneh_durfee一、题目描述二、解题思路三、解题脚本:四、小总结题三:Pohlig-hellman([WDB2020]you raise me up改)一、题目描述二、解题思路及脚本三、小小小总结大的小总结 今天介个特殊的日子里,我的脑子里的知识仍是一片贫瘠,吓得我赶紧做了做赵总给的三道传说中的签到题,充实一下自己,记录一下在这个伟
2022年春秋杯网络安全联赛春季赛勇者山峰密码部分wp
mxx307的博客
05-08 2641
2022年春秋杯网络安全联赛春季赛勇者山峰部分wp Crypto bob’s enc bob自己编写了一套加密算法,但是在加密的过程中,似乎混入了一些噪音,你能帮助他恢复出明文吗? 题目 #python2 from secret import * import random prime = 2141 print len(flag) flag = map(ord, flag) flag1 = flag[:21] flag2 = flag[21:] row = 64 def add(msg1, msg
2022DASCTF Apr X FATE 防疫挑战赛 Crypto-wp
mxx307的博客
04-26 2180
2022 DASCTF Apr X FATE 防疫挑战赛 Crypto Wp
第六届”蓝帽杯“全国大学生网络安全技能大赛半决赛部分WriteUp
mxx307的博客
08-08 1957
蓝帽杯部分wp
2023蓝帽杯初赛misc下载
12-04
2023蓝帽杯初赛misc下载是指在2023年举办的蓝帽杯网络安全竞赛中的一项miscellaneous(杂项)类题目的下载。在初赛中,参赛选手需要下载与miscellaneous相关的题目文件或资源,并进行分析和解决。 首先,参赛选手...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mxx307

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值