正常的共模攻击,找的别的师傅的脚本,带入数值,解出flagNSSCTF{xxxxx******xxxxx}
from Crypto.Util.number import *
from gmpy2 import gmpy2
c1= 100156221476910922393504870369139942732039899485715044553913743347065883159136513788649486841774544271396690778274591792200052614669235485675534653358596366535073802301361391007325520975043321423979924560272762579823233787671688669418622502663507796640233829689484044539829008058686075845762979657345727814280
c2= 86203582128388484129915298832227259690596162850520078142152482846864345432564143608324463705492416009896246993950991615005717737886323630334871790740288140033046061512799892371429864110237909925611745163785768204802056985016447086450491884472899152778839120484475953828199840871689380584162839244393022471075
e1= 3247473589
e2= 3698409173
# e1=4
# e2=8
n= 103606706829811720151309965777670519601112877713318435398103278099344725459597221064867089950867125892545997503531556048610968847926307322033117328614701432100084574953706259773711412853364463950703468142791390129671097834871371125741564434710151190962389213898270025272913761067078391308880995594218009110313
def RSA_ComModAtk(e1, e2, c1, c2, n):
e1, e2, c1, c2, n = int(e1), int(e2), int(c1), int(c2), int(n)
if gmpy2.gcd(e1, e2) == 1:
s = gmpy2.gcdext(e1, e2) # 扩展欧几里得算法-辗转相除法使得 x*e1+y*e2=1,求出t和z
x = s[1]
y = s[2]
if x < 0:
x = - x # 变指数为正值
c1 = gmpy2.invert(c1, n) # 求c1的逆元
if y < 0:
y = -y # 变指数为正值
c2 = gmpy2.invert(c2, n) # 求c2的逆元
m = (pow(c1, x, n) * pow(c2, y, n)) % n # (c1^x*c2^y)%n=m^e1x*me2y%n=m^(e1x+e2y)%n=m%n=m
return m
else:
return bytes_to_long(b'e1 and e2 are not relatively prime') # e1和e2不互质
result = RSA_ComModAtk(e1, e2, c1, c2, n)
print(long_to_bytes(result))