ctfshow-新手杯-crypto4新手村难度-wp

最新推荐文章于 2023-11-27 23:25:11 发布

mxx307

最新推荐文章于 2023-11-27 23:25:11 发布

阅读量1.5k

点赞数 1

分类专栏： CTF 文章标签： python 安全

本文链接：https://blog.csdn.net/qq_53283643/article/details/127225158

版权

CTF 专栏收录该内容

25 篇文章 6 订阅

订阅专栏

ctfshow-新手杯

先贴一贴官方wp

国庆放假摆得太厉害，忘记了还有比赛，放完后赶紧回来补一补

crypto4 新手村难度

贴贴题目

from Crypto.Util.number import *
from sympy import totient as phi
import sys
import random

def pr(x, end='\n'):
    sys.stdout.write(f'{x}{end}')
    sys.stdout.flush()

def newbie(naive, p):
    if (len(naive) == 0):
        return 1
    NB = 1
    PH = phi(p) # AAHPH
    for i in range(len(naive)-1, -1, -1):
        if (NB > 4396): # clearlove picked the blind monk
            return pow(naive[0], int(newbie(naive[1:], PH) + PH), int(p))
        NB = naive[i] ** NB
    return NB % p

BANNER = '''
+-------------------+
|     *             |
|     **     ****** |
|  ******** ******* |
|  ******** ***     |
|   *    ** ***     |
|    *  *** ***     |
| *************     |
| ***************** |
|     **    ******* |
|     **    *** **  |
|  ******** *** **  |
|     **    *** **  |
|   * ****  *** **  |
|  ** ** ** **  **  |
|  *  **  ****  **  |
| **  **   ***  **  |
|   ****  **    **  |
|                   |
+-------------------+

比赛名称：新手杯
比赛时间：2022年10月3日20时，共48小时
比赛类型：个人赛
比赛难度：新手村难度
比赛奖品：神兽抱枕(女用)
题目投稿：ctfshow@163.com
投稿奖品：神兽抱枕(男用)
投稿截止：10月1日20时
'''

pr(BANNER)

p = getPrime(64)
while True:
    p = getPrime(64)
    if (p % 15 == 2):
        break

with open('flag.txt', 'rb') as f:
    flag = f.read()
flag = f'0{bytes_to_long(flag):b}'

pr(f'{p = }')
pr(f'{len(flag) = }')
while True:
    pr('> ', end='')
    seed = int(input())
    random.seed(seed)
    newbie_flag = list(flag)
    random.shuffle(newbie_flag)
    sometimes_naive = [int(x) * 2 + 3 for x in newbie_flag]
    pr(f'{newbie(sometimes_naive, p) = }')

对照着官方 $wp$ 一顿复现，结果发现 $wp$ 都没怎么看得懂，~~没想通二次剩余是怎么用的~~，终究还是我太菜了

先瞅瞅题目整个流程（简化题目，简化问题）

对 $f l a g$ 的操作：将 $f l a g$ 转成0/1的比特流，然后用 $r an d o m . s h u ff l e ()$ 打乱顺序，接着将 $(0, 1)$ 分别映射到 $(3, 5)$ 上，最后丢到 $n e w bi e ()$ 里面去

再瞧瞧 $n e w bi e ()$ 函数：不如看 $wp$ 分析，我讲不出什么名堂来，不过可以确定的是 $n e w bi e ()$ 函数的返回值是 $S_0^{S_1}$ ，看得更简单些就是 $3^{2*k+1}$ 或 $5^{2*k+1}$

【提示】crypto4 提示为：幂次必为奇数

我自己的想法是既然幂次必为奇数，那么如果 $3^{2*k+1}$ 或 $5^{2*k+1}$ 再乘以底数，幂次就变成了偶数（ $2 * k + 2$ ），这样就可以很合理地有限域开方。如果乘 $3$ 以后能开出来那么底就是 $3$ ，那个 $bi t$ 就为 $0$ 了…这样就求出了第一位的值

利用 $s h u ff l e$ 来让不同位置的都变成 $a_0$ 来得到所有bit的值

题目需要输入 $see d$ ，可以控制这样的伪随机，多变变 $see d$ 来得到所有位置bit的值

先贴贴exp1

p % 4 != 3会挂掉，要重新跑，懒得写while true try了，将就用吧

拿带pwntools的sage跑，如果sage里面没有pwntools可以分两段，先拿有pwntools的python拿下newbie的值，然后再用sage

#!usr/bin/python3
# -*- coding: utf-8 -*-
# @Time    : 2022/10/8 19:20
# @Author  : mxx307
# @FileName: newbie.py
# @Software: PyCharm

import random
import tqdm
from pwn import *
from Crypto.Util.number import *

re = remote('pwn.challenge.ctf.show', 28104)
tmp = re.recvuntil(b'p = ')
p = int(re.recvline().decode()[:-1])
if p % 4 != 3:
    re.close()
    exit()
tmp = re.recvuntil(b'len(flag) = ')
flag_len = int(re.recvline().decode()[:-1])
print(p,flag_len)
# flag_len = 368
flag = [-1 for i in range(flag_len)]
# C = []
INDEX = []
SEED = []
seed = 0
while len(SEED) != flag_len:
    random.seed(seed)
    randlist = list(range(flag_len))
    random.shuffle(randlist)
    indexx = list(range(flag_len)).index(randlist[0])
    if indexx not in INDEX:
        INDEX.append(indexx)
        SEED.append(seed)
    seed += 1
assert len(SEED) == flag_len
for i in tqdm.tqdm(range(len(SEED))):
    tmp = re.recvuntil(b'> ')
    re.sendline(str(SEED[i]).encode())
    tmp = re.recvuntil(b'newbie(sometimes_naive, p) = ')
    c = int(re.recvline().decode()[:-1])
    # C.append(c)
    PR.<x> = Zmod(int(p))[]
    f1 = x * x - 3 * c
    f2 = x * x - 5 * c
    res1 = f1.roots()
    res2 = f2.roots()
    if res1 and res2 == []: flag[INDEX[i]] = 0
    elif res1 == [] and res2: flag[INDEX[i]] = 1
    if flag.count(-1) == 0:
        flag = [str(i) for i in flag]
        print(long_to_bytes(int(''.join(flag),2)))
        break
re.close()

# print(f'{C = }')
# from Crypto.Util.number import *
# flag = [-1 for i in range(flag_len)]
# for i in range(len(C)):
#     c = C[i]
#     PR.<x> = Zmod(int(p))[]
#     f1 = x * x - 3 * c
#     f2 = x * x - 5 * c
#     res1 = f1.roots()
#     res2 = f2.roots()
#     if res1 and res2 == []: flag[INDEX[i]] = 0
#     elif res1 == [] and res2: flag[INDEX[i]] = 1
#     if flag.count(-1) == 0:
#         flag = [str(i) for i in flag]
#         print(long_to_bytes(int(''.join(flag),2)))
#         break

写 $wp$ 回过头来思考二次剩余怎么用上去（数论没学好）

根据 $wp$ ，若有 $p\equiv3\ (mod\ 4)$ ，那么 $(\frac{3}{p})=1$ ，即 $3$ 是模 $p$ 的二次剩余。既然 $3$ 是二次剩余，那么 $3^k$ 呢？那必须也得是啊，无论 $k$ 是奇数还是偶数，那么意味着 $3^{2*k+1}$ 可以被有限域开方求根，但是 $5^{2*k+1}$ 不行(所以用上面那个exp直接对c开方，能开出来就是3，开不出来就是5，这样也能求，对开方情有独钟)

再想想有没有啥办法不求根就能判断是否为二次剩余呢？

嗯~ o(￣▽￣)o，我想不到，于是

随便找了一篇，看到了Euler判别准则（欧拉准则）

对于奇素数 $p$ 和 $p\nmid a$ （ $p$ 不能被 $a$ 整除）有
$a^{(p-1)/2} \equiv \left(\frac{a}{p}\right) \equiv \left\{\begin{aligned}1\ (mod\ p) ,若x^2\equiv a\ (mod\ p)有解 \\-1\ (mod\ p),若x^2\equiv a\ (mod\ p)无解\end{aligned} \right.$
判断是否为二次剩余确定是 $3$ 还是 $5$

酱紫就简单了些，可能这才是预期解吧（maybe）

最喜欢春哥出的题目辣，每次都能学到很多，这次学到了二次剩余+欧拉准则+高斯二次互反律

春哥yyds

贴贴expplus

p % 4 != 3会挂掉，要重新跑，懒得写while true try了，将就用吧

#!usr/bin/python3
# -*- coding: utf-8 -*-
# @Time    : 2022/10/9 13:29
# @Author  : mxx307
# @FileName: expplus.py
# @Software: PyCharm

import random
import tqdm
from pwn import *
from Crypto.Util.number import *

re = remote('pwn.challenge.ctf.show', 28105)
re.recvuntil(b'p = ')
p = int(re.recvline().decode()[:-1])
if p % 4 != 3:
    re.close()
    exit()
re.recvuntil(b'len(flag) = ')
flag_len = int(re.recvline().decode()[:-1])
print(p, flag_len)
flag = [-1 for i in range(flag_len)]
INDEX = []
SEED = []
seed = 0
while len(SEED) != flag_len:
    random.seed(seed)
    randlist = list(range(flag_len))
    random.shuffle(randlist)
    indexx = list(range(flag_len)).index(randlist[0])
    if indexx not in INDEX:
        INDEX.append(indexx)
        SEED.append(seed)
    seed += 1
assert len(SEED) == flag_len
for i in tqdm.tqdm(range(len(SEED))):
    re.recvuntil(b'> ')
    re.sendline(str(SEED[i]).encode())
    re.recvuntil(b'newbie(sometimes_naive, p) = ')
    c = int(re.recvline().decode()[:-1])
    check = pow(c, (p - 1) // 2, p)
    flag[INDEX[i]] = 0 if check == 1 else 1
flag = [str(i) for i in flag]
print(long_to_bytes(int(''.join(flag), 2)))
 
re.close()