[*CTF 2022]ezRSA

已于 2023-04-10 12:14:11 修改
阅读量418 收藏 3
点赞数 1
分类专栏: crypto 文章标签: python 开发语言 crypto 安全
于 2023-04-08 23:23:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shshss64/article/details/130036190
版权

这是一道经典的对于p的处理和获得部分p值的patral-p问题求解,这种求解方法对于大量类似题型有极大的借鉴意义。

from Crypto.Util.number import getStrongPrime
from gmpy import next_prime
from random import getrandbits
from flag import flag

p=getStrongPrime(1024)
q=next_prime(p^((1<<900)-1)^getrandbits(300))
n=p*q
e=65537

m=int(flag.encode('hex'),16)
assert m<n
c=pow(m,e,n)

print(hex(n))
#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

print(hex(c))
#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

首先,我们分析题目,可知p是随机的,q是基于p生成的,其中p和q的后124为bit数值相同,q后900bit与(1<<900)-1)^getrandbits(300)进行异或求得,其中,中间600bit的部分我们可以求出。

第一步:

求出前124bit

p = k1 * (2^900) + k2

q = k1 * (2^900) + (2^900 - k2) +k3

n = p*q = k1^2 * (2^1800) + 2k1k2 * (2^900) + k1 * (2^1800) + L(可忽略不计)

我们即可对n//2^1800,即只剩下k1一个未知量,即可求解。

PR.<m> = PolynomialRing(Zmod(n))
f = int(n,16)//(2^1800) - m^2 - m
x = f.small_roots()
print(x)

top_bits = 20226195070633070235386534147535171929

 第二步

我们可知,当pq越相接近时,pq相乘的值越大。所以,我们一开始将p后900bit全部设置为1,而q全部为0,进行乘法运算与n进行大小比较,这样不断接近n值,从而求得中间的600bit数值

p = top_bits<<900 | (2**900 - 1)
q = top_bits<<900
# Start from 125th bits (1024-125)
for i in range(899, 301, -1):
	cur = 1<<i
	# Swap p to 0 and q to 1
	# if less than n then is correct order
	# else no changes
	if (p^cur) * (q^cur) < n:
		p ^= cur
		q ^= cur
print(hex(p))
print(hex(q))

 最后,就是典型的部分p泄露脚本带入即可。

PR.<x> = PolynomialRing(Zmod(n))
f = p + x
m = f.small_roots()
print(int(p+m[0]))

sb​​​​​​​starctf2022/exp.sage at main · sixstars/starctf2022 (github.com)(标准wp可见)

JustGo12
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF-CRYPTO-RSA-ECC
zippo1234的博客
11-26 2767
CTF-CRYPTO-RSA-ECCRSA-ECC题目分析1.题目2.分析(1)加密过程分析(2)理论基础(3)sage分解脚本4.get flag结语 这几天在准备一个培训,身心俱疲,略有懈怠。。。 每天一题,只能多不能少 RSA-ECC 题目分析 ECC椭圆曲线方程 sage求因式 gcd(p,n) != 1 1.题目 ecn.py from fastecdsa.point import Point from Crypto.Util.number import bytes_to_long, isPr
2022-03-09
m0_57291352的博客
03-09 371
d3factor (来源:AntCTF & Dˆ3CTF 2022) from Crypto.Util.number import bytes_to_long, getPrime from secret import msg from sympy import nextprime from gmpy2 import invert from hashlib import md5 flag = 'd3ctf{'+md5(msg).hexdigest()+'}' p = getPrime(256) q
BUUCTF 每日打卡 2021-5-8
weixin_52446095的博客
05-08 7321
引言 together 附件有两个 公钥,pem 和 flag(base64编码) 文件 联想题目,容易猜想是 RSA 共模攻击 编写代码验证: from Crypto.PublicKey import RSA with open("pubkey1.pem", "r") as f: key = RSA.import_key(f.read()) print(key.n) print(key.e) with open("pubkey2.pem", "r") as f: key
BUUCTF 每日打卡 2021-4-27
weixin_52446095的博客
04-27 259
引言 明天数分考试 我吐了 RSA 附件如下: A=(((y%x)**5)%(x%y))**2019+y**316+(y+1)/x p=next_prime(z*x*y) q=next_prime(z) A = 26833491826787145242474695127934760098610147810049249054841274803081613777681928680615618865770486464323821289608814874634274141761144868858306939594
记录111
最新发布
Emmaaaaa's blog
09-08 280
不一样的高位,多项式RSA,多项式dlp
*CTF 2023 Misc
07-30
**CTF 2023 Misc** CTF(Capture The Flag)是一种网络安全竞赛,参与者通过解谜、破解、分析和编程来解决各种信息安全问题。"Misc"通常代表混合类别,意味着这个CTF挑战包含了多种不同领域的知识,比如密码学、...
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
Imaginary CTF 2022 真题
08-01
"Imaginary CTF 2022 真题"是网络安全竞赛中的一种挑战集,这类活动通常由各种组织举办,旨在检验参赛者在逆向工程、取证分析、网络攻防、密码学以及杂项技能等多个IT领域的知识和能力。 Imaginary CTF 平台...
imaginary ctf 2022 writeups
08-07
imaginary ctf 2022 writeups
CTF真题-Dest0g3CTF2022招新赛
06-01
CTF真题-Dest0g3CTF2022招新赛,来自BUUCTF
[NPUCTF2020]EzRSA
m0_64598287的博客
07-30 249
使用暴力破解,因为可以通过N值分解得到p和q的值,可以确定(p-1)(q-1)的位数是2048,且(p-1,q-1)的位数,即gift的位数是2045位,那就说明[p-1,q-1]的位数是3bits。也就说明了[p-1,q-1]的范围是[4,8]首先因为有N值 而且可分解 尝试过用分解后的p、q值以及e去求解d值,但是会报错提示(p-1)(q-1)和e值并不是互素的,这是因为e值本身就不是素数。所以这种想法只能抛弃。那么把p-1和q-1带入后就能得到(p-1)(q-1)的值,那怎么求[p-1,q-1]呢?
[NPUCTF2020]EzRSA Writeup
bestkasscn的博客
12-02 539
[NPUCTF2020]EzRSA 题目描述 from gmpy2 import lcm , powmod , invert , gcd , mpz from Crypto.Util.number import getPrime from sympy import nextprime from random import randint p = getPrime(1024) q = getPrime(1024) n = p * q gift = lcm(p - 1 , q - 1) e = 54722 fl
*CTF 2022 easyRSA
m0_62506844的博客
04-18 1487
源码: from Crypto.Util.number import getStrongPrime from gmpy import next_prime from random import getrandbits from flag import flag p=getStrongPrime(1024) q=next_prime(p^((1<<900)-1)^getrandbits(300)) n=p*q e=65537 m=int(flag.encode('hex'),16) ass
[CTF/randcrack]python随机数预测模块分析及改进方案
qq_42557115的博客
12-07 4621
CTF randcrack模块原理分析 Python random库破解,部分例题利用介绍,randcrack库改进优化策略分析
CTF【解密】字符串flag被加密成已知新字符串,请解密出flag,可以使用Python解码出WriteUp
星如雨落
03-06 9523
CTF-解密: 找出flag task.py # -*- coding: utf-8 -*- assert flag[0:5] == 'flag{' strAlphabet = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ' def encode(strOld, x, y, n): strNew = '' for i in strOld: if i in strAlphabet:
CTF-Crypto题目分析__3
a6b6c6d5488的博客
04-26 885
CTF-Crypto题目分析__3 题目描述: 下载后,发现有个python文件 解题思路:打开ezrsa.py 发现: 1 需要通过对密文c进行解密得到明文flag,c=m^e mod n 2 q = 5*p+i q是p的五倍多一点 3 n=pqr, 因为p<q,所以p的三次<pqr=n,即p的三次 mod n =p的三次, p=对p的三次开三次方,顺推出q,r #tips:n=pqr时,phi=(p-1)(q-1)(r-1) 解题过程: 解题脚本如下: from Cr
CTF WriteUp】2020全国工业互联网安全技术技能大赛密码题(Crypto)wp
qq_45603443的博客
10-24 4531
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 护网杯2020wp一、题目 2E二、根据题目给脚本推出EXP如下:1.Task.py2. print(key)3. print(1)4. mt.py得到flag![在这里插入图片描述](https://img-blog.csdnimg.cn/20201024231116648.jpg#pic_center) 一、题目 2E 二、根据题目给脚本推出EXP如下: 1.Task.py 代码如下(示例): import random from
2020DASCTF七月赛-ezrsa
k0414的博客
07-25 3087
一道不难的RSA 题目: from Crypto.Util.number import getPrime,inverse,bytes_to_long,long_to_bytes from sympy import isprime m = bytes_to_long(flag) i=0 p=getPrime(1024) r=getPrime(1024) while True: i+=1 q = 5*p+i if isprime(q) : break n=p*q*r

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值