[De1CTF2019]babyrsa-BUUCTF(新手推荐)

已于 2024-07-17 20:46:56 修改
阅读量349 收藏
点赞数
分类专栏: crypto 文章标签: 笔记
于 2023-06-12 13:52:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57235775/article/details/131167215
版权
文章详细描述了一位技术专家在解决一道RSA加密问题时的步骤,包括使用中国剩余定理进行计算,通过指数爆破求解未知数,以及处理非互质情况下的RSA解密。作者通过逐步分析和计算,最终成功解密并获取flag,强调了对RSA算法深入理解和灵活应用的重要性。
摘要由CSDN通过智能技术生成

题目

附件

拿到附件后一看,傻眼了,仔细看,分为四个部分,那就一步一步慢慢来。

第一步

给了多组n,c,虽然这里只显示了三行,但其实有四组,那应该是中国剩余定理,四组n,c求出来是m**4,需开四次方,根据已知的最后一行可知这里求的是p,上脚本

import binascii,gmpy2
from functools import reduce

import libnum


def CRT(mi, ai):
    assert(reduce(gmpy2.gcd,mi)==1)
    assert (isinstance(mi, list) and isinstance(ai, list))
    M = reduce(lambda x, y: x * y, mi)
    ai_ti_Mi = [a * (M // m) * gmpy2.invert(M // m, m) for (m, a) in zip(mi, ai)]
    return reduce(lambda x, y: x + y, ai_ti_Mi) % M

e= 4  #xiao
n= []
c= []

m=gmpy2.iroot(CRT(n, c), e)[0]
print(m)
print(libnum.n2s(int(m)))

结果:

拿到p,继续。

第二步

看见ee2 = 3,一般情况下发现低指数幂,很有可能是突破口,这里还可以发现tmp的3次方与n大小相差不大

已知:

k*n+ce2 == (e2 + tmp)**3

可以爆破k,从而解出e2

import gmpy2
ee1 = 42
ee2 = 3
ce1 = 
ce2 = 
tmp = 
n = 

for k in range(42000):
    if(gmpy2.iroot(k*n+ce2,3)[0]==int(gmpy2.iroot(k*n+ce2,3)[0])):
        print(gmpy2.iroot(k*n+ce2,3)[0]-tmp)

一般来说e2不会太大,这里只需找到刚好从负值到正值的那个数就是e2

至于e1,仔细观察可以发现ce1的值与n的值相差了数十个数量级,从概率统计的意义上讲,如果比n小的每个数作为结果的可能相同,那么这种事情发生的概率非常小,但是还有一种可能就是,由于e1很小,e1的42次方都比n小,从而导致模n没起效果。

我们试着给ce1开42次方,果然直接得到一个差不多的整数,证实了猜想。

第三步

这里给出很常规的n,e,c,上RsaCtfTool解

结果:

不过这一步的作用似乎微乎其微。

第四步

这一步也是最难的,难就难在gcd(e,phi) != 1,一般来说遇到这种情况都是让e除去其与欧拉函数的最大公约数,让这两个数重新互质,然后求m**gcd(e,phi)的值。

这里我没办法了,只能看看大佬的 wp(由于时间紧,下面就贴过来了)

import gmpy2
from Crypto.Util.number import *
q1=   
q2 =  
c1 =  
c2 =  
e1=15218928658178
e2=381791429275130
p=
n =  [ q1, q2]
a=gmpy2.gcd(e1,(p-1)*(q1-1))
b=gmpy2.gcd(e2,(p-1)*(q2-1))
#a,b相同
c =  [ gmpy2.powmod(c1,gmpy2.invert(e1//a,(p-1)*(q1-1)),q1), gmpy2.powmod(c2,gmpy2.invert(e2//b,(p-1)*(q2-1)),q2)]
M=n[0]*n[1]
m=[0]*2
t=[0]*2
x=0
for i in range(2):
    m[i]=M//n[i]
    t[i]=gmpy2.invert(m[i],n[i])#t[i]是m[i]的模n[i]逆元
    x+=(c[i]*t[i]*m[i])
x=x%M
print(x)
#x=
e=7
d=gmpy2.invert(e,(q1-1)*(q2-1))
flag=gmpy2.iroot(gmpy2.powmod(x,d,q1*q2),2)[0]
print(long_to_bytes(flag))

这个问题碰巧a=b=14,那么最后就求出来了m**14相关的两个式子,这个幂次还是有点高,不好处理。

这里就有很巧妙的一招可以把复杂度降下来:

两个式子其实可以用中国剩余定理求m**14,为了使求出来的数尽可能小我们采用:

m14 ☰a1 mod p
m14 ☰ a1 mod q1
m14 ☰ a2 mod p
m 14 ☰ a2 mod q2

然后用求出来的(m2)7%(q1q2)组成一个新的RSA解密,e=7,n=q1q2

但是用这个实际操作的时候就发现

那么可以直接用第二和第四两个式子求出x(m**2)

随后常规RSA解密后开方,即可得到flag

成功拿到flag!!!

小结:RSA任需努力!

[De1CTF2019]babyrsa(比较综合的rsa类型题目)
weixin_44110537的博客
07-18 3652
encrypt import binascii from data import e1,e2,p,q1p,q1q,hint,flag n = [20129615352491765499340112943188317180548761597861300847305827141510465619670536844634558246439230371658836928103063432870245707180355907194284861510906071265352409579441048101084995
buu [GUET-CTF2019]BabyRSA
ao52426055的博客
12-01 1389
查看题目 观察题目给的条件,给了p+q,(p+1)(q+1),e,d,以及密文C. RSA的解密公式:M=C^d mod n 所以我们只要求出n即可。(n = pq) n = (p+1)(q+1) - (p+q) - 1 求M的值,已知C,d,n后 用函数pow(),即可求出 import libnum a = 0x1232fecb92adead91613e7d9ae5e36fe6bb765317d6ed38ad890b4073539a6231a6620584cea5730b5af83a3e80cf30
BUUCTF 每日打卡 2021-7-14
weixin_52446095的博客
07-14 707
引言 鸽了快两个月,假期继续刷BUU,可以的话继续cryptohack 四面八方 看题干也看不出来什么 给了一个txt文件 key1:security key2:information 密文啊这是,骚年加油:zhnjinhoopcfcuktlj 摸不着头脑 找wp,知道是没见过的四方密码 是一种对称加密,多表替换密码 找了一个靠谱的在线工具 然后把结果换成小写套上flag就行 [De1CTF2019]babyrsa 加密代码如下: import binascii from data import e1,
CTF -[GWCTF 2019]babyRSA
最新发布
weixin_64751732的博客
08-22 350
RSA的基本加解密过程,以及针对RSA中大整数n的分解。
打卡 21/9/3 [De1CTF2019]babyrsa
qq_52193383的博客
09-03 809
[De1CTF2019]babyrsa 给出的代码分为四部分: 1.第一部分(求p): n = [20129615352491765499340112943188317180548761597861300847305827141510465619670536844634558246439230371658836928103063432870245707180355907194284861510906071265352409579441048101084995923962148527097370705452
[De1CTF2019]babyrsa
2er0!=O的博客
07-25 496
[De1CTF2019]babyrsa 附件 import binascii from data import e1,e2,p,q1p,q1q,hint,flag n = [2012961535249176549934011294318831718054876159786130084730582714151046561967053684463455824643923037165883692810306343287024570718035590719428486151090607126535240957
BUUCTF [De1CTF2019]cplusplus
weixin_53349587的博客
01-04 661
拿到文件,IDA打开,进入主函数main(): 通过分析,函数第60行为标志性的获取输入函数。 然后在第104行出现了关键函数判断: 其中v47是我们输入的字符串,所以第108行和109行也是关键函数,对我们的输入进行了加密。 先进入104行sub_140005910函数: 函数中有三个sub_140005A90函数,通过动态调试发现,就是将我们输入的字符串每一个都转化为十六进制数。 进入sub_140005A90函数: 因为在关键判断的函数中一共有三个将输入的字符转为16进制的函数...
[De1CTF2019]xorz
2er0!=O的博客
08-02 1515
[De1CTF2019]xorz 附件: from itertools import * from data import flag,plain key=flag.strip("de1ctf{").strip("}") assert(len(key)<38) salt="WeAreDe1taTeam" ki=cycle(key) si=cycle(salt) cipher = ''.join([hex(ord(p) ^ ord(next(ki)) ^ ord(next(si)))[2:].zfill
buuctf-[De1CTF 2019]SSRF Me
weixin_43345082的博客
12-30 1101
打开页面就是源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefault...
BUUCTF [NCTF2019]babyRSA解题思路
weixin_45441024的博客
11-29 2711
BUUCTF [NCTF2019]babyRSA 这是一道RSA的题目,前几天看祥云杯的RSA做到自闭,做点简单的题转换一下心情。 下载文件之后是一个压缩包,里面有一个py文件,题目如下: from Crypto.Util.number import * from flag import flag def nextPrime(n): n += 2 if n & 1 else 1 while not isPrime(n): n += 2 return n p
[De1CTF2019]babyrsa writeup
a5555678744的博客
05-27 2518
总述 对于学习RSA来说,这道题无疑是很好的教材,这道题集合了许多常考的RSA的出题点,前三步解密较为简单,但是第四步有一定难度,要想做出来得费不少功夫。总而言之是一道很不错的Crypto题。 题解 第一步 最上面一层给了4组n和c,中国剩余定理估计是八九不离十了,而且这里用的lambda函数希望对python不熟悉的可以去查一下了解一下,算是一个很方便的小函数创建,也经常在Crypto的py脚本中出现。 中国剩余定理的python脚本如下: import gmpy2 import mat
RSA之 两组e与φ(n)不互素解法
weixin_44617902的博客
11-13 3184
[De1CTF2019]babyrsa遇事不慌先拆解求p求 e1 e2求q1求flag 遇事不慌先拆解 题目源代码有四部分,分析最后一部分与flag有关的未知参数有 p,e1,e2,q1 所以解题步骤4步:1.求p(在第一部分)2.求e1,e2(在第二部分)3.求q1(在第三部分)4.求出flag 求p 一个未知数,两个列表,模运算,想到中国剩余定理。最后在开4次根解出p import gmpy2 def CRT(r,d): M = 1 l = len(r) for i in ra
BUUCTF [GUET-CTF2019]BabyRSA
sky_hhd的博客
07-04 445
最后得flag{cc7490e-78ab-11e9-b422-8ba97e5da1fd}通过题目得知,p+q,(p+1)(q+1),e,d,c,我们只需要求出N即可。
BUUCTF-------[GWCTF 2019]BabyRSA1
woshicainiao666的博客
09-24 315
**因为n的值太大,所以创建一个.txt文件,将n的值放进去,切记第一行要空出来,否则就会报错***1.首先解压文件,得到两个文件,分析代码,知道了。2.已知n=q*p,求q和p,n数太大了,通过。c1,c2知道后,接下来就是求f1,f2。从后往前推导,想要知道。
[NCTF2019]babyRSA
weixin_44110537的博客
07-08 3248
问题 拿到压缩包,解压后得到一个加密脚本 脚本分析 from Crypto.Util.number import * from flag import flag def nextPrime(n): n += 2 if n & 1 else 1 while not isPrime(n): n += 2 return n p = getPrime(1024) q = nextPrime(p) n = p * q e = 0x10001 d = inverse
BUU-RSA [RoarCTF2019]babyRSA(威尔逊定理)
晓寒的博客
07-21 3018
[RoarCTF2019]babyRSA(威尔逊定理) 题目 import sympy import random def myGetPrime(): A= getPrime(513) print(A) B=A-random.randint(1e3,1e5) print(B) return sympy.nextPrime((B!)%A) p=myGetPrime() #A1=2185696345246163043734827843419143400006607675
BUUCTF_Crypto_[GWCTF 2019]BabyRSA
qq_58370970的博客
12-08 630
题目:给了一个py文件和一个txt文件(用txt打开) 可以看出flag是分成两段被加密了 通过 可以知道p,q相差不大,可以通过yafu直接分解出来 得到p,q 解出c1,c2后依旧要接F1+F2=c1,F1**3+fF2**3=c2 大佬的解法 代码: import gmpy2 import libnum from z3 import * from sympy.abc import a,b import binascii e=0x10001 n=63658514...
[de1ctf 2019]ssrf me 1
03-16
好的,我来回答这个问题。 [de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后应用程序将请求发送到该URL,并将响应返回给用户。因此,我们可以在URL参数中输入我们想要访问的目标HTTP服务的地址,然后查看返回结果。 然而,为了防止应用程序被滥用,开发人员在应用程序中实现了一些安全措施。例如,应用程序会检查URL参数中是否包含一些不被允许的字符串,比如localhost、127.0.0.1等。此外,还有一些其他限制条件需要考虑。 因此,我们需要找到一种方法来绕过这些安全措施,从而成功访问目标HTTP服务。一种常见的技巧是使用一些特殊的URL协议,例如file协议、gopher协议等,来绕过安全检查。此外,我们还可以利用DNS rebinding攻击来绕过防御,但是需要特别注意,这种攻击可能涉及到一些法律和道德上的问题。 总之,这道题目需要具备一定的SSRF漏洞利用经验和技能,同时还需要对网络安全有一定的了解。如果你想进一步了解SSRF漏洞的原理和防御方法,可以查看相关的资料和教程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

余切66

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值