BUUCTF 每日打卡 2021-4-10

最新推荐文章于 2024-05-23 22:14:24 发布
最新推荐文章于 2024-05-23 22:14:24 发布
阅读量697 收藏
点赞数 1
分类专栏: crypto 文章标签: 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52446095/article/details/115586958
版权

引言

已经第二天凌晨了,直接进入主题吧

rsa2

附件如下:

N = 101991809777553253470276751399264740131157682329252673501792154507006158434432009141995367241962525705950046253400188884658262496534706438791515071885860897552736656899566915731297225817250639873643376310103992170646906557242832893914902053581087502512787303322747780420210884852166586717636559058152544979471
e = 46731919563265721307105180410302518676676135509737992912625092976849075262192092549323082367518264378630543338219025744820916471913696072050291990620486581719410354385121760761374229374847695148230596005409978383369740305816082770283909611956355972181848077519920922059268376958811713365106925235218265173085

import hashlib
flag = "flag{" + hashlib.md5(hex(d)).hexdigest() + "}"

是一段 py2 代码
看到 e 这么长,就知道要用维纳攻击法
脚本如下:

import gmpy2
import hashlib

def transform(x, y):  # 使用辗转相处将分数 x/y 转为连分数的形式
    res = []
    while y:
        res.append(x // y)
        x, y = y, x % y
    return res


def continued_fraction(sub_res):
    numerator, denominator = 1, 0
    for i in sub_res[::-1]:  # 从sublist的后面往前循环
        denominator, numerator = numerator, i * numerator + denominator
    return denominator, numerator  # 得到渐进分数的分母和分子,并返回


# 求解每个渐进分数
def sub_fraction(x, y):
    res = transform(x, y)
    res = list(map(continued_fraction, (res[0:i] for i in range(1, len(res)))))  # 将连分数的结果逐一截取以求渐进分数
    return res


def get_pq(a, b, c):  # 由p+q和pq的值通过维达定理来求解p和q
    par = gmpy2.isqrt(b * b - 4 * a * c)  # 由上述可得,开根号一定是整数,因为有解
    x1, x2 = (-b + par) // (2 * a), (-b - par) // (2 * a)
    return x1, x2


def wienerAttack(e, n):
    for (d, k) in sub_fraction(e, n):  # 用一个for循环来注意试探e/n的连续函数的渐进分数,直到找到一个满足条件的渐进分数
        if k == 0:  # 可能会出现连分数的第一个为0的情况,排除
            continue
        if (e * d - 1) % k != 0:  # ed=1 (mod φ(n)) 因此如果找到了d的话,(ed-1)会整除φ(n),也就是存在k使得(e*d-1)//k=φ(n)
            continue

        phi = (e * d - 1) // k  # 这个结果就是 φ(n)
        px, qy = get_pq(1, n - phi + 1, n)
        if px * qy == n:
            p, q = abs(int(px)), abs(int(qy))  # 可能会得到两个负数,负负得正未尝不会出现
            d = gmpy2.invert(e, (p - 1) * (q - 1))  # 求ed=1 (mod  φ(n))的结果,也就是e关于 φ(n)的乘法逆元d
            return d
    print("该方法不适用")


n = 101991809777553253470276751399264740131157682329252673501792154507006158434432009141995367241962525705950046253400188884658262496534706438791515071885860897552736656899566915731297225817250639873643376310103992170646906557242832893914902053581087502512787303322747780420210884852166586717636559058152544979471
e = 46731919563265721307105180410302518676676135509737992912625092976849075262192092549323082367518264378630543338219025744820916471913696072050291990620486581719410354385121760761374229374847695148230596005409978383369740305816082770283909611956355972181848077519920922059268376958811713365106925235218265173085
d = wienerAttack(e, n)
print("d=", d)
k = hex(d)[2:]
flag = "flag{" + hashlib.md5(k.encode('utf-8')).hexdigest() + "}"
print(flag)

结果为:

d= 8920758995414587152829426558580025657357328745839747693739591820283538307445
flag{a8eb82576211d716e354586aad3b099d}

但提交上去 flag 是错误的
用在线 MD5 加密也是错误的
只好用 python2 加密
在这里插入图片描述
结果正确

BabyRSA

附件内容如下:

p+q : 0x1232fecb92adead91613e7d9ae5e36fe6bb765317d6ed38ad890b4073539a6231a6620584cea5730b5af83a3e80cf30141282c97be4400e33307573af6b25e2ea
(p+1)(q+1) : 0x5248becef1d925d45705a7302700d6a0ffe5877fddf9451a9c1181c4d82365806085fd86fbaab08b6fc66a967b2566d743c626547203b34ea3fdb1bc06dd3bb765fd8b919e3bd2cb15bc175c9498f9d9a0e216c2dde64d81255fa4c05a1ee619fc1fc505285a239e7bc655ec6605d9693078b800ee80931a7a0c84f33c851740
e : 0xe6b1bee47bd63f615c7d0a43c529d219
d : 0x2dde7fbaed477f6d62838d55b0d0964868cf6efb2c282a5f13e6008ce7317a24cb57aec49ef0d738919f47cdcd9677cd52ac2293ec5938aa198f962678b5cd0da344453f521a69b2ac03647cdd8339f4e38cec452d54e60698833d67f9315c02ddaa4c79ebaa902c605d7bda32ce970541b2d9a17d62b52df813b2fb0c5ab1a5
enc_flag : 0x50ae00623211ba6089ddfae21e204ab616f6c9d294e913550af3d66e85d0c0693ed53ed55c46d8cca1d7c2ad44839030df26b70f22a8567171a759b76fe5f07b3c5a6ec89117ed0a36c0950956b9cde880c575737f779143f921d745ac3bb0e379c05d9a3cc6bf0bea8aa91e4d5e752c7eb46b2e023edbc07d24a7c460a34a9a

给了 p+q 和 (p+1)(q+1)
直接用 sagemath 一元二次方程解出 p,q:
在这里插入图片描述
x 的两个解即为 p,q
然后就是最基础的 RSA 解密了
代码如下:

from Crypto.Util.number import *

k1 = '0x1232fecb92adead91613e7d9ae5e36fe6bb765317d6ed38ad890b4073539a6231a6620584cea5730b5af83a3e80cf30141282c97be4400e33307573af6b25e2ea'# p+q
k2 = '0x5248becef1d925d45705a7302700d6a0ffe5877fddf9451a9c1181c4d82365806085fd86fbaab08b6fc66a967b2566d743c626547203b34ea3fdb1bc06dd3bb765fd8b919e3bd2cb15bc175c9498f9d9a0e216c2dde64d81255fa4c05a1ee619fc1fc505285a239e7bc655ec6605d9693078b800ee80931a7a0c84f33c851740'# (p+1)(q+1)
e = '0xe6b1bee47bd63f615c7d0a43c529d219'
d = '0x2dde7fbaed477f6d62838d55b0d0964868cf6efb2c282a5f13e6008ce7317a24cb57aec49ef0d738919f47cdcd9677cd52ac2293ec5938aa198f962678b5cd0da344453f521a69b2ac03647cdd8339f4e38cec452d54e60698833d67f9315c02ddaa4c79ebaa902c605d7bda32ce970541b2d9a17d62b52df813b2fb0c5ab1a5'
enc_flag = '0x50ae00623211ba6089ddfae21e204ab616f6c9d294e913550af3d66e85d0c0693ed53ed55c46d8cca1d7c2ad44839030df26b70f22a8567171a759b76fe5f07b3c5a6ec89117ed0a36c0950956b9cde880c575737f779143f921d745ac3bb0e379c05d9a3cc6bf0bea8aa91e4d5e752c7eb46b2e023edbc07d24a7c460a34a9a'

k1 = int(k1, 16)
k2 = int(k2, 16)
e = int(e, 16)
d = int(d, 16)
enc_flag = int(enc_flag, 16)
n = k2-k1-1 # p*q
p = 7021910101974335245794950722131367118195509913680915814438898999848788125908122655583911434165700354149914056221915541094395668546921268189522005629523759
q = 8228801334907462855397256098699556584084854642543205682719705217859576250443629616812386484797164506834582095674143447181804355696220642775619711451990971
phi = (p-1)*(q-1)
d = inverse(e, phi)
print(d)
m = pow(enc_flag, d, n)
print(long_to_bytes(m))

结果突然发现 d 已经知道了(wtm。。。)
可以通过 p+q 和 (p+1)(q+1) 直接解出 φ
代码如下:

from Crypto.Util.number import *

k1 = '0x1232fecb92adead91613e7d9ae5e36fe6bb765317d6ed38ad890b4073539a6231a6620584cea5730b5af83a3e80cf30141282c97be4400e33307573af6b25e2ea'# p+q
k2 = '0x5248becef1d925d45705a7302700d6a0ffe5877fddf9451a9c1181c4d82365806085fd86fbaab08b6fc66a967b2566d743c626547203b34ea3fdb1bc06dd3bb765fd8b919e3bd2cb15bc175c9498f9d9a0e216c2dde64d81255fa4c05a1ee619fc1fc505285a239e7bc655ec6605d9693078b800ee80931a7a0c84f33c851740'# (p+1)(q+1)
e = '0xe6b1bee47bd63f615c7d0a43c529d219'
d = '0x2dde7fbaed477f6d62838d55b0d0964868cf6efb2c282a5f13e6008ce7317a24cb57aec49ef0d738919f47cdcd9677cd52ac2293ec5938aa198f962678b5cd0da344453f521a69b2ac03647cdd8339f4e38cec452d54e60698833d67f9315c02ddaa4c79ebaa902c605d7bda32ce970541b2d9a17d62b52df813b2fb0c5ab1a5'
enc_flag = '0x50ae00623211ba6089ddfae21e204ab616f6c9d294e913550af3d66e85d0c0693ed53ed55c46d8cca1d7c2ad44839030df26b70f22a8567171a759b76fe5f07b3c5a6ec89117ed0a36c0950956b9cde880c575737f779143f921d745ac3bb0e379c05d9a3cc6bf0bea8aa91e4d5e752c7eb46b2e023edbc07d24a7c460a34a9a'

k1 = int(k1, 16)
k2 = int(k2, 16)
e = int(e, 16)
d = int(d, 16)
enc_flag = int(enc_flag, 16)
n = k2-k1-1 # p*q
phi = k2 - 2*k1
d = inverse(e, phi)
print(d)
m = pow(enc_flag, d, n)
print(long_to_bytes(m))

结果均为:flag{cc7490e-78ab-11e9-b422-8ba97e5da1fd}

结语

睡了睡了
明早九点(应该说是今早。。。)还要培训,作业还有一堆要写
顺便把之前虎符 CTF 的坑填了(终于找到了 dl 的 wp)
燃烧生命吧!

Σ2333!
关注
专栏目录
密码学|离散对数问题、计算量较大的二次方程求解(sagemath与python z3库的使用)
Kni9hT's Blog
05-11 6087
文章目录前言sagemath用法1.sagemath计算离散对数2.sagemath求逆元3.sagemath扩展欧几里得算法4.sagemath孙子定理(中国剩余定理)5.sagemath求欧拉函数6.sagemath输出表达式近似值7.sagemath素数分布(Pi(x))8.sagemath创建整数域中的椭圆曲线python z3库 前言 网鼎杯划水,害,3人组队结果我pwn拖了后腿…没能进下线了。 比赛过程做了两题Crypto,写个博客记录一下sagemath和python中z3库的用法。 sage
中国剩余定理
qq_52193383的博客
08-12 780
中国剩余定理: 设m1,…,mk是k个两两互素的正整数,则对任意的整数b1,…,bk,同余式组: x ≡ b1 (mod m1) …… …… …… x = bk (mod mk) 一定有解,且解是唯一的。 (1)若令m = m1*…*mk,m = mi * Mi, i = 1,…k 则同余式组的解可以表示为 x ≡ b1 * M1’ * M1 + … + bk * Mk’ * Mk (mod m) 其中Mi’为Mi模mi的逆元,即Mi’ * Mi ≡ 1 (mod mi),i = 1,…,k (2)若令N
Buuctf RSA 题目总结
Ahuuua的博客
10-20 7830
1.RSA 题目: 在一次RSA密钥对生成中,假设p=473398607161,q=4511491,e=17 求解出d作为flga提交 首先: 学习RSAtool2的使用: 1.Number Base 设置为十进制 2.注意:Public Exponent这里要使用16进制的数,如果公钥e=17的话,就应该填入十六进制的11 3.给出p,q,e的话直接填入,再点击Calc.D,获得d 4.给出的是n和e的话,输入n和e,点击Factor N(分解),得到p,q,再重复第3步就能得到d了
buuctf crypto刷题1
weixin_63231007的博客
08-11 731
buuctf Crypto第一、二页部分题目
一元二次方程求解
Mengmsm的博客
09-14 158
输入a、b、c,求一元二次方程ax2+bx+c=0的解。
小学计算每日打卡A4 60-110题 生成器C# net4.5
最新发布
07-21
1、生成100以内计算题 2、生成PDF格式(pdf生成最大14页A4) 3、题量一次最多1000题(支持难度升级20%) 4、C# vs2017 开发。
优质资料(2021-2022年收藏)省级安全质量标准化示范工地基本要求.doc
10-11
【优质资料(2021-2022年收藏)省级安全质量标准化示范工地基本要求】 这份文档详细阐述了创建省级安全质量标准化示范工地所需满足的各项条件和要求,涉及了项目的规模、申报资料的准备、项目的基本要求等多个方面...
昇思25天打卡营-mindspore-ML- Day9
06-27
FCN图像语义分割,mindspore平台
专题资料(2021-2022年)办公室制度二十四、员工打卡管理规定.doc
10-08
【员工打卡管理规定】 在企业运营中,员工的考勤管理是确保正常工作秩序和维护公司利益的重要环节。员工打卡管理规定是此类管理的核心部分,它明确了员工上下班时间的记录方式,旨在防止迟到、早退现象,保障公平...
基于微信小程序的日常学习打卡系统 -包含源码-说明文档-演示视频
05-01
基于微信小程序的日常学习打卡系统 云开发-微信小程序 登录,自己选个任务,设定个时间,然后开始专注做这件事,就开始倒计时,期间就一直一个倒计时页面,计时完了就可以在线打卡,填写文字,上传个图片啥的。 ...
NSSCTF—Crypyo 2.0版本 ԅ(≖‿≖ԅ) (待续…吗?)
2301_76768121的博客
03-22 1841
NSSCTF—Crypyo 的第一页和第二页,摆烂了O.0?
BUUCTF RSA(二)
qq_52193383的博客
08-18 1543
这里写目录标题1.[BJDCTF2020]RSA2.[BJDCTF2020]rsa_output3.SameMod4.[BJDCTF2020]easyrsa5.[NCTF2019]babyRSA6.[ACTF新生赛2020]crypto-rsa37.[AFCTF2018]你能看出这是什么加密么8.[RoarCTF2019]babyRSA9.[RoarCTF2019]RSA10.[HDCTF2019]together 1.[BJDCTF2020]RSA 两个加密的n共用一个q,对n1,n2求最大公约数,进而分
buuctf的RSA(二)
ndjnddjxn的博客
05-23 1388
在这个例子中,你已经使用了公钥的模数 N 和指数 E 来模拟(尽管没有实际加密过程)公钥,并用私钥的质数因子 p和 q 来计算私钥指数 D,然后用这个私钥来解密一个文件。代码首先导入 gmpy2和 rsa 模块,然后定义了一系列变量,包括公钥的模数 N、公钥的指数 E、两个质数 p,q,以及通过 gmpy2.invert 函数计算出的私钥指数 D。如果B使用A的公钥解密签名得到的哈希值和B自己对原始消息进行哈希运算得到的哈希值相同,那么B就可以确认这条消息是由A发送的,并且没有被篡改。
buuctf——RSA2 维纳攻击法
m0_46607055的博客
10-22 2240
题目信息 N = 1019918097775532534702767513992647401311576823292526735017921545070061584344320091419953672419625257059500462534001888846582624965347064387915150718858608975527366568995669157312972258172506398736433763101039921706469065572428328939149020535...
【Crypto | CTF】BUUCTF RSA2
weixin_46301214的博客
02-21 1062
公式我不知道如何推演,但是每一步具体要干什么,我还是能很清楚分析。步骤二:也就是说有公钥e 和 质数相乘 和 一半的明文。步骤六:把模逆和质数相乘放入函数就能解密密文,得到明文。步骤一:首先通过遍历公钥e,放入公式,寻找p 和 q。通过哪些能得到哪一个,每一个东西的作用还是能理解的。步骤三:就能利用这个公式得到 两个质数:p 和 q。天命:莫慌,虽然我不会推演法,但我可以用归纳法。虽然我不知道解题的推演,但我可以背公式啊哈哈哈。步骤五:计算 e 关于 欧拉函数的模逆:d。虽然我不会这题,但是我也能做出来。
BUUCTF-RSA2
qq_61774705的博客
05-06 1420
1.题目代码: e = 65537 n = 2482540078515262411777215266989018029858327661762216096122588773716205800604331015383280303052199186976436198142009306796121098855338013353484450237516704784370730555447242806847332980515991676603036451831461614974853586336814921296
第六届山东省大学生网络安全技能大赛决赛Writeup
至臻求学,胸怀云月
11-10 5279
0x00 RSA1 首先使用python脚本或者openssl解出n python脚本 from Crypto.PublicKey import RSA pub = RSA.importKey(open('pub.key').read()) n = long(pub.n) e = long(pub.e) print 'n:',n print 'e:',e print 'n(hex):',he...
01--AFCTF-re3(MD5)
Eira_H的博客
07-08 756
解题过程 先脱壳,然后拖进64位IDA,定位到主函数F5查看伪C代码,代码如下: __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __int64 result; // rax unsigned __int64 v4; // kr08_8 char *v5; // ST18_8 char *v6; // ...
SageMath矩阵操作及解线性方程组
热门推荐
m0_46161993的博客
03-28 1万+
矩阵所处环的表示 ZZ:整数环 QQ:有理数环 Zmod(p):p为素数,定义在ZPZ_PZP​上 矩阵操作 声明 超完整定义 mt = matrix(QQ, 3, 2, [1, 2, 3, 4, 5, 6]) 完整定义 mt = matrix(ZZ, 3, 4) #定义一个在整数环上的3行4列的矩阵 mt = matrix(ZZ, 0, 4) #定义一个在整数环上0行4列的矩阵,后期可...
CC3200AI实验:人脸打卡机TCP-WiFi网络通信教程
该文档是关于人脸打卡机通过WiFi使用TCP网络通信的实验教程,主要涉及CC3200AI开发板的TCP网络通信实现。 在现代办公环境中,人脸识别技术被广泛应用于打卡系统,人脸打卡机就是其中的一种应用。这款设备通常集成了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值