BUUCTF 每日打卡 2021-8-7

最新推荐文章于 2024-10-12 17:27:30 发布
最新推荐文章于 2024-10-12 17:27:30 发布
阅读量260 收藏 1
点赞数
分类专栏: crypto 文章标签: 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52446095/article/details/119489893
版权
本文详细介绍了如何将椭圆曲线加密(ECC)与RSA算法结合,通过给出的加密代码解析了椭圆曲线方程和威尔斯特拉斯方程,并展示了如何利用sage数学软件求解方程获取质数p。最终通过gmpy2库实现RSA解密,成功还原原始数据。此篇博客适合对密码学和信息安全感兴趣的读者。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

引言

[watevrCTF 2019]ECC-RSA

看到标题就有点怕了,ECC椭圆曲线加密,学过一点皮毛,没做过题,找wp
加密代码如下:

from fastecdsa.curve import P521 as Curve
from fastecdsa.point import Point
from Crypto.Util.number import bytes_to_long, isPrime
from os import urandom
from random import getrandbits

def gen_rsa_primes(G):
	urand = bytes_to_long(urandom(521//8))
	while True:
		s = getrandbits(521) ^ urand

		Q = s*G
		if isPrime(Q.x) and isPrime(Q.y):
			print("ECC Private key:", hex(s))
			print("RSA primes:", hex(Q.x), hex(Q.y))
			print("Modulo:", hex(Q.x * Q.y))
			return (Q.x, Q.y)


flag = int.from_bytes(input(), byteorder="big")

ecc_p = Curve.p
a = Curve.a
b = Curve.b

Gx = Curve.gx
Gy = Curve.gy
G = Point(Gx, Gy, curve=Curve)


e = 0x10001
p, q = gen_rsa_primes(G)
n = p*q


file_out = open("downloads/ecc-rsa.txt", "w")

file_out.write("ECC Curve Prime: " + hex(ecc_p) + "\n")
file_out.write("Curve a: " + hex(a) + "\n")
file_out.write("Curve b: " + hex(b) + "\n")
file_out.write("Gx: " + hex(Gx) + "\n")
file_out.write("Gy: " + hex(Gy) + "\n")

file_out.write("e: " + hex(e) + "\n")
file_out.write("p * q: " + hex(n) + "\n")

c = pow(flag, e, n)
file_out.write("ciphertext: " + hex(c) + "\n")

后来发现,关于椭圆曲线加密算法,本题用到的其实就是威尔斯特拉斯方程(Weierstrass): y 2 = x 3 + a x + b y^2 = x^3 + ax + b y2=x3+ax+b
代码中a,b就是方程中的a,b,ecc_p指的是椭圆曲线加密算法 y 2 = x 3 + a x + b ( m o d   p ) y^2 = x^3 + ax + b(mod\space p) y2=x3+ax+b(mod p),具体可以参照fastecdsa库的官方文档
顺带一提,这个库只能在Linux环境下安装
在这里插入图片描述
代码中的G指的是基点,也就是加密最开始的那个点;Gx,Gy即为基点的横纵坐标
然后把G放到生成RSA加密所需的p,q的函数gen_rsa_primes(G)中,先随机生成了一个s,然后Q = s*GQ也是椭圆曲线上的点,只是在这个阿贝尔群中作数乘运算,其中s应该小于G的阶数
最后,p,q即为Q点的横纵坐标
显然G点满足椭圆曲线方程,而n=pq,其中n为已知量,即有如下方程组:
{ q 2 = p 3 + a p + b   ( m o d   P ) n = p q \begin{cases} q^2 = p^3 + ap + b\space(mod\space P)\\ n = pq \end{cases} {q2=p3+ap+b (mod P)n=pq
由于变量重复,记ecc_p P P P
解方程 n 2 = p 5 + a p 3 + b p 2   ( m o d   P ) n^2 = p^5 + ap^3 + bp^2\space(mod\space P) n2=p5+ap3+bp2 (mod P)即可得到p
sage代码如下:
在这里插入图片描述
其中R.<x> = PolynomialRing(GF(P))即为在有限域 G F ( P ) GF(P) GF(P)中求解,其实就是 m o d   P mod\space P mod P的意思
得到三个解,显然第一和第三个不是质数,只可能是第二个
然后就是常规的RSA解密,解密代码如下:

from Crypto.Util.number import *
import gmpy2

list_p = [6813140671672694477701511883397067876211159809088064490593325584756562268820329988116480298456252746748095410666300132267213094431909630229631434972416225885, 4573744216059593260686660411936793507327994800883645562370166075007970317346237399760397301505506131100113886281839847419425482918932436139080837246914736557, 1859314969084523636298100850823722544590555574470838518640063093117116629078281861281849586432508721074855657736668366212762253040197962779753163192386773060]
for p in list_p:
    print(gmpy2.is_prime(p))

p = 4573744216059593260686660411936793507327994800883645562370166075007970317346237399760397301505506131100113886281839847419425482918932436139080837246914736557
n = 0x118aaa1add80bdd0a1788b375e6b04426c50bb3f9cae0b173b382e3723fc858ce7932fb499cd92f5f675d4a2b05d2c575fc685f6cf08a490d6c6a8a6741e8be4572adfcba233da791ccc0aee033677b72788d57004a776909f6d699a0164af514728431b5aed704b289719f09d591f5c1f9d2ed36a58448a9d57567bd232702e9b28f
q = n//p
c = 0x3862c872480bdd067c0c68cfee4527a063166620c97cca4c99baff6eb0cf5d42421b8f8d8300df5f8c7663adb5d21b47c8cb4ca5aab892006d7d44a1c5b5f5242d88c6e325064adf9b969c7dfc52a034495fe67b5424e1678ca4332d59225855b7a9cb42db2b1db95a90ab6834395397e305078c5baff78c4b7252d7966365afed9e
e = 0x10001

phi = (p-1)*(q-1)
d = inverse(e, phi)
m = pow(c, d, n)
print(long_to_bytes(m))

结果为:
在这里插入图片描述

结语

终于把1分题刷完了
下一道题还得研究一下
希望继续坚持

*CTF 2021 PWN babyheap WriteUp
lrcno6的编程世界
01-19 1219
前言 比赛的时候看到这道题就放弃了(哭~~) 主要还是堆学艺不精 (畏难) 赛后认真思考,其实很快就出来了 我们可怜的FPGA: 惨 没办法我们真的太菜了 说实话我觉得赛后能做出来也很给队伍长脸了 *CTF 2021 PWN babyheap WriteUp PWN中的全场最水题(但像我这种菜鸡比赛时都没做出来) 程序分析 全保护 常规堆题的菜单式 一些奇奇怪怪的地方: add功能可以覆盖之前的指针 delete有UAF edit功能居然是从+8偏移开始写的!(这里一开始让我人都傻了)
【CTF】buuctf每日打卡 (reverse)
最新发布
2301_79394061的博客
10-24 1052
和之前一样,打开main函数,看到了程序对我们输入的字符串进行了三次加密,分别是encode_one,encode_two,encode_three,然后加密后端密文为str2=EmBmP5Pmn7QcPU4gLYKv5QcMmB3PWHcP5YkPq3=cT6QckkPckoRG,思路很清晰,我们从encode_three开始解密!没有看到对传入参数的修改,但是从-1,16,1,-16看出这就是一个迷宫题了,并且迷宫有16行(刚开始我也没看出来。从尾部开始看,因此我们先看看sub_401030()。
BUUCTF 每日打卡 2021-4-3
weixin_52446095的博客
04-03 778
引言 今天的虎符CTF全队四个人只有我没有做出题来,感觉很对不起队友[叹气] 总共两道 crypto ,第一道 cubic 本质上是一道椭圆曲线加密问题,然而这是我的知识盲区 第二题看到 .sage 文件,点开挺长的代码,还涉及位运算,我直接懒得看了 最后第一题68人解出来,第二题仅有13题解出来 楞看了一下午的椭圆曲线加密,把加密原理大致看懂了(怎么破解还没看) 等 wp 出来之后我分两天写一下吧 凯撒?替换?呵呵 密文:MTHJ{CUBCGXGUGXWREXIPOYAOEYFIGXWRXCHTKHFCO
BUUCTF---week3(小明的密码题)
2302_80322812的博客
03-22 535
RSA 中的 "知道部分 M 的高位攻击" 是一种攻击 RSA 加密算法的方法之一。该攻击利用了 RSA 加密过程中的一个弱点,即在某些情况下,如果攻击者已经知道了明文。在 "知道部分 M 的高位攻击" 中,攻击者已经知道了明文。由题目可以看出这是一道RSA已知部分明文的高位攻击.接下来,攻击者可以通过以下计算推导出完整的明文。相同,而低位是未知的。进行一些数学运算来推导出完整的明文。具体来说,假设 RSA 加密的公钥为。的部分高位信息,可以通过对密文。攻击者可以构造一个新的明文。的一部分高位信息,即。
BUUCTF 打卡7
qq_52193383的博客
08-27 618
1.[NPUCTF2020]共 模 攻 击 给出两个代码。先解hint.py(毕竟解出来的东西是提示)。可以看出这里面含有共模攻击,解出c之后,我们就掌握了密文c,模数p,指数(256),再利用sympy.nthroot_mod(c,256,p)解出明文m。 import sympy,gmpy2 from Crypto.Util.number import * p = 1073169757712843421083629549450964897089003026337345209439052836552833
BUUCTF 每日打卡 2021-4-11
weixin_52446095的博客
04-11 382
引言 终于找到虎符杯 Crypto 部分的 wp 今天来填坑 [虎符杯]cubic 先上题目给的附件: from math import gcd from functools import reduce from fractions import Fraction as Frac N = 6 def read_num(prompt): try: num = int(input(prompt)) except: return 0 return num
【CTF】 buuctf每日打卡(reverse)
2301_79394061的博客
10-10 1440
这里往flag赋值了'{' ,往aHackingForFun赋值了'hacking_for_fun}’,这里我查了一下(如有错误,请师傅们指正)虽然flag和aHackingForFun是两个不同的变量,但是地址相邻(一个0x601080一个0x601081)程序在处理的时候可能会组合这两个数据(也就是读取flag的时候也会将后面的aHackingForFun连起来形成{hacking_for_fun})说白了就是遍历字符串,将字符串里头的'i'和'r'变成'1' (c语言在逆向是基础!
【CTF】buuctf每日打卡(resverse)
2301_79394061的博客
10-12 1342
src和v9是多字节数据(int_64)并且都用小端序储存(高地址到低地址),但是读取的时候直接按低地址到高地址(就是小端序存储)读取了(个人猜测),造成了倒序。代码也很简单,输入一个字符串,被转成数组,然后循环处理该数组,与key数组比较,一样就是 flag,下面是我写的两个程序解题,也代表着两个逆向写程序的思路吧。总而言之上面定义像迷宫的数组,上下左右的操作,更重要的是这个函数(在审计伪代码之前一点定要把一些ascii码数字转成字符呀,不然看的真的难受)具体算法写的太抽象了,真的看不懂。
【CTF】buuctf每日打卡(reverse)
2301_79394061的博客
10-11 904
这个感觉有点像写算法小练习,把文件投进IDA里头,在main函数里头按f5看伪代码,最终目的是要我们输入的字符串要和global比较相等就是flag了,strncmp()=0就是两个字符串相等,详细可以看我之前写的文章。一个人的性别要不是男要不是女(不考虑沃尔玛购物袋),设事件a为男人,事件b为女人,那么当a=1,b=1就相当于这个人是男也是女,那肯定是假的啊,由此就是a^b=0)所以总的来说就是我们输入的字符串先经过base64加密,然后每位加键值,然后再和Str2相比,一样就是flag,可以写程序了。
BUUCTF 每日打卡 2021-7-20
weixin_52446095的博客
07-20 1365
引言 无 [NPUCTF2020]共 模 攻 击 题目给了两个加密程序 一个是加密hint: from gmpy2 import * from Crypto.Util.number import * from secret import hint m = bytes_to_long(hint) p = getPrime(256) c = pow(m, 256, p) print(p) p, q = getPrime(256), getPrime(256) n = p * q e1, e2 = getPr
BUUCTF 每日打卡 2021-7-26
weixin_52446095的博客
07-26 516
引言 填坑 [watevrCTF 2019]Swedish RSA 加密代码如下: flag = bytearray(raw_input()) flag = list(flag) length = len(flag) bits = 16 ## Prime for Finite Field. p = random_prime(2^bits-1, False, 2^(bits-1)) file_out = open("downloads/polynomial_rsa.txt", "w") file_out.
[GKCTF 2021]babycat
08-11 919
这道题点开始注册登录界面,但是点击注册按钮会提示Not Allowed。 但是查看源码会发现 这里是直接跳出了Not Allowed,构造POST请求,通过burp发包注册一个账号。 注册成功,登录后又上传和下载两个功能,我们发现下载有一个目录穿越,尝试读取,/WEB-INF/web.xml. 由于上传功能只有管理员可以使用它,因此可以根据xml的内容构造出, ../../WEB-INF/classes/com/web/servlet/registerServlet.class,...
[watevrCTF 2019]ECC-RSA
weixin_44110537的博客
08-08 984
encrypt from fastecdsa.curve import P521 as Curve from fastecdsa.point import Point from Crypto.Util.number import bytes_to_long, isPrime from os import urandom from random import getrandbits def gen_rsa_primes(G): urand = bytes_to_long(urandom(521//8))
BUU [watevrCTF 2019]ECC-RSA
MikeCoke的博客
10-07 980
分析题目: 通过分析代码,我们可以知道 这个题是 ECC 和 RSA 的混合加密,尽管用了两种加密方式,但加密并不复杂。 我们只需要求出 ,p,q的值就能得到 flag 了。点(p,q)是椭圆曲线上的两个点。代入椭圆曲线的方程就能解出 p,q了。 q ^ 2 = p ^ 3 + a * p + b 又因为 n = p * q ,将方程左右两边同时乘以 p ^ 2 所以有:n ^ 2 = p ^ 5 + a * p ^ 3 + b * p ^2 通过Sage解方程: 发现第二个结果符合条件:
BUUCTF 每日打卡 2021-8-11
weixin_52446095的博客
08-12 9624
引言 这两天把博客里里外外翻新了一遍,拖更了,抱歉 [XNUCA2018]baby_crypto 题目给了个加密的伪代码文件: The 26 letters a, b, c, …, y, z correspond to the integers 0, 1, 2, …, 25 len(key_a) = m len(key_k) = n c[i] = (p[i] * key_a[i % m] + key_k[i % n]) % 26 p is plain text, only lowercase letters
BUUCTF 每日打卡 2021-5-8
weixin_52446095的博客
05-08 7405
引言 together 附件有两个 公钥,pem 和 flag(base64编码) 文件 联想题目,容易猜想是 RSA 共模攻击 编写代码验证: from Crypto.PublicKey import RSA with open("pubkey1.pem", "r") as f: key = RSA.import_key(f.read()) print(key.n) print(key.e) with open("pubkey2.pem", "r") as f: key
BUUCTF 每日打卡 2021-4-5
weixin_52446095的博客
04-05 2595
引言 出人意料的得到消息要被拉去打国赛(第十四届全国大学生信息安全竞赛-创新实践能力赛)了(一脸懵逼) 我还什么都没学呢(摸鱼) 嘛,不过被分到第二梯队大概也没抱什么希望吧(继续摸鱼) 害,说丧气话也改变不了什么,还是脚踏实地地慢慢进步吧 毕竟 Crypto手 在队里也是稀缺人才 我也是加把劲骑士!(doge) RSA2 dp(dq) 泄露的题没做过,不过跟 dp, dq 泄露相比容易许多 首先,根据 dp≡d mod (p−1) dp \equiv d\space mod \space
BUUCTF 每日打卡 2021-3-31
weixin_52446095的博客
03-31 2050
引言 3月的最后几天真tnd倒霉透了 抽卡各种暴死,明明是复刻活动让我卡紫皮(wtm上次毕业了) 搭个个人博客各种掉坑 搞了三天总算支棱起来了:https://luozj1020.github.io/ (害,域名还没整起来) 只是搭了一个框架,把这几天的wp丢了进去 欢迎你们来我的博客看,看累了就。。直接睡觉,没问题的[doge] hexo 遇到的各种坑 既然讲到了搭个人博客,就讲一讲我用 hexo + github 遇到的各种坑 我搭博客主要参考了知乎的这篇文章:https://zhuanlan.zhih
BUUCTF 每日打卡 2021-8-9
weixin_52446095的博客
08-09 1968
引言 加入了Nep联合战队,又要忙起来了啊 [NCTF2019]easyRSA 加密代码如下: from flag import flag e = 0x1337 p = 19913867782374383733992752015760782002974657455774654909492148829287722650919831501601891938525978123814840283331603363496816327619899927932782790187942642966467435884408
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值