[0CTF/TCTF 2022] real_magic_dlog

已于 2022-09-19 21:34:49 修改
阅读量513 收藏 1
点赞数
分类专栏: CTF crypto 文章标签: python
于 2022-09-19 21:32:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/126942198
版权

没时间作,只作了一道题。不过有时间估计也是只作这一个题。

题目看上去很简单:

  1. 选过一个proof就是爆破一个sha256,4个字节
  2. 生成17字节的随机数,后边的东西就都是自己输入的了
  3. 输入p(头部为随机数),e,data
  4. 由data生成sha384,唯一的要求: 
    pow(int(data, 16), E, P) == int(sha384(data).hexdigest(), 16) % P

    由于sha384不能逆,所以也就别想这东西了。

#!/usr/bin/env python3

import random
import signal
import socketserver
import string
from Crypto.Util.number import *
from hashlib import sha256, sha384
from os import urandom
from secret import flag

LEN = 17

class Task(socketserver.BaseRequestHandler):
    def __init__(self, *args, **kargs):
        super().__init__(*args, **kargs)

    def proof_of_work(self):
        random.seed(urandom(8))
        proof = ''.join([random.choice(string.ascii_letters + string.digits + '!#$%&*-?') for _ in range(20)])
        digest = sha256(proof.encode()).hexdigest()
        self.dosend('sha256(XXXX + {}) == {}'.format(proof[4: ], digest))
        self.dosend('Give me XXXX:')
        x = self.request.recv(10)
        x = (x.strip()).decode('utf-8') 
        if len(x) != 4 or sha256((x + proof[4: ]).encode()).hexdigest() != digest: 
            return False
        return True

    def dosend(self, msg):
        try:
            self.request.sendall(msg.encode('latin-1') + b'\n')
        except:
            pass

    def timeout_handler(self, signum, frame):
        raise TimeoutError

    def recv_fromhex(self, l):
        passwd = self.request.recv(l).strip()
        passwd = bytes.fromhex(passwd.decode('latin-1'))
        return passwd       

    def handle(self):
        try:
            signal.signal(signal.SIGALRM, self.timeout_handler)
            signal.alarm(50)
            if not self.proof_of_work():
                self.dosend('You must pass the PoW!')
                return
            signal.alarm(60)
            magic = urandom(LEN)
            magic_num = bytes_to_long(magic)
            self.dosend(magic.hex())
            self.dosend('P:>')
            P = int(self.request.recv(100).strip(), 16)
            self.dosend('E:>')
            E = int(self.request.recv(100).strip(), 16)
            self.dosend('data:>')
            data = self.request.recv(100).strip()
            num1 = int(data, 16)
            if P >> (384 - LEN * 8) == magic_num and isPrime(P):
                data2 = sha384(data).hexdigest()
                num2 = int(data2, 16)
                if pow(num1, E, P) == num2 % P:
                    self.dosend(flag)
                else:
                    self.dosend('try harder!!!')
        except TimeoutError:
            self.dosend('Timeout!')
            self.request.close()
        except:
            self.dosend('Wtf?')
            self.request.close()

class ThreadedServer(socketserver.ForkingMixIn, socketserver.TCPServer):
    pass

if __name__ == "__main__":
    HOST, PORT = '0.0.0.0', 15555
    server = ThreadedServer((HOST, PORT), Task)
    server.allow_reuse_address = True
    server.serve_forever()

最可恶的就是有时间限制:60秒。

由于sha384不能逆,所以data也就基本是定值了,可以操作的就是P和E,实际上就是求离散对数。由于有时间限制,就要想办法弄个数可以很容易的求出离散对数。

离散对数的安全性要求P-1的最大素因子足够大,所以解这个题就要爆破一个最大素因子很小的P-1。又由于头部固定,我的P爆破从邻接头部后边爆破,这样P-1后尾部全是2可以快速缩小。

#sagemath 
def aaa(p0):
    c = int(sha384(b'11').hexdigest(), 16)
    p0 = p0<<(384-17*8)
    for i in range(0x10000):
        tp = p0 + (i<<(384-17*8 - 16)) + 1
        if is_prime(tp):
            l = int(factor(tp-1)[-1][0]).bit_length()
            if l<48:
                print('p = ', hex(tp)[2:])
                print('e = ', hex(int(discrete_log(mod(c,tp),mod(17,tp))))
                return

aaa(0x46b3d5cb67ecabdd14ed8997f372d4e911)

然后组装就有个问题了,我机子上sage和pwntools组合不上,只能先把取得的东西放sage运算再把结果复制回去。经过几次手抖的过程后终于解决。

from pwn import *
from Crypto.Util.number import *
from hashlib import sha256, sha384
import string 

def proof(tail, s):
    tab = string.ascii_letters + string.digits + '!#$%&*-?'
    for i in tab:
        for j in tab:
            for k in tab:
                for l in tab:
                    msg = i+j+k+l+tail
                    r = sha256(msg.encode()).hexdigest() 
                    if r == s:
                        print(" "+i+j+k+l)
                        return i+j+k+l                       

p = remote('202.120.7.219', 15555)
context.log_level = 'debug'

'''
sha256(XXXX + Q6quUUnOKw693Z*k) == 8c0452ca7ca220652104d4bd0dd72f6fc25f0bee622b9b3f53c97741b52bfcd6
Give me XXXX:
'''
p.recvuntil(b'sha256(XXXX + ')
tail = p.recvuntil(b') == ', drop=True).decode()
s = p.recvuntil(b'\n', drop=True).decode()
m = proof(tail, s)
p.sendlineafter(b'Give me XXXX:\n', m.encode())

#b'1adb38ceb59d18365bc9aa199955af2da1\n'
data = p.recvline()[:-1]
print(data)
p0 = int(data, 16)

print('p0 = ', hex(p0))

sp = input("P:")
p.sendlineafter(b'P:>\n', sp)

se = input("E:")
p.sendlineafter(b'E:>\n', se)

p.sendlineafter(b'data:>\n', b'11') #0x11 = 17

p.interactive()

另外,由于要运算离散对数,g不能大,一般如果没特殊情况可以取2,但是2,3经常会有无法求解的情况(含因子)所以这里用的17,其实3有时候也行。最大因子当然越小越好,但太小不容易遇到测试两次后发现一个44位的,就随便写了48,因为这块也需要节省时间。

最后看看交互的过程:

$ py a.py
[+] Opening connection to 202.120.7.219 on port 15555: Done
[DEBUG] Received 0x64 bytes:
    b'sha256(XXXX + cRZm&a!8X3i$28YJ) == b23f429bace252093acf4b3ab0d059fa8a52102e30cb495e7b912560903209a9\n'
[DEBUG] Received 0xe bytes:
    b'Give me XXXX:\n'
[DEBUG] Sent 0x5 bytes:
    b'C6u7\n'
[DEBUG] Received 0x23 bytes:
    b'779d13f0f1ffda1735928284fd3f240801\n'
[DEBUG] Received 0x4 bytes:
    b'P:>\n'
[DEBUG] Sent 0x62 bytes:
    b'779d13f0f1ffda1735928284fd3f24080111790000000000000000000000000000000000000000000000000000000001\n'
    b'\n'
[DEBUG] Received 0x4 bytes:
    b'E:>\n'
[DEBUG] Sent 0x61 bytes:
    b'3fb7c5754190aa6425ba81af4b68a09154d708572f7491c56999fdae75a7787e83a90409311c2f7502c0779ebfb5e98\n'
    b'\n'
[DEBUG] Received 0x7 bytes:
    b'data:>\n'
[DEBUG] Sent 0x3 bytes:
    b'11\n'
[*] Switching to interactive mode
[DEBUG] Received 0x31 bytes:
    b'flag{Hope_you_can_solve_by_smoothness_this_time}\n'
flag{Hope_you_can_solve_by_smoothness_this_time}

石氏是时试
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2019 0CTF/TCTF wallbreaker easy 题目理解
heySister
04-03 1959
前言 等比赛结束之后才敢来看一下题目
go 计算文件sha-256_Furein:运用go 完结Proof-of-Work 一致机制
weixin_29186249的博客
01-20 154
Furein讲到Proof-of-Work简称 PoW,即为工作量证明。Furein经过核算一个数值(nonce),Furein这使得拼揍上买卖数据后内容的Hash值满意规矩的上限。在节点成功找到满意的Hash值之后,会马上对全网进行播送打包区块,网络的节点收到播送打包区块,会马上对其进行验证。假设验证经过,则标明现已有节点成功解迷,自己就不再竞赛当时区块打包,而是挑选承受这个区块,记载到自己的账...
0ctf_tctf_2018
05-16
0 CTF / TCTF 2018 0CTF / TCTF 2018决赛中的一些加密挑战
0CTF/TCTF 2021 Quals_Misc_singer
Le1a's Blog
07-07 350
Misc singer 下载附件打开得到一个文本文件 从Csome-Official师傅的文章中得知,其文本内容除了=和,外,其他的是简谱音名 没写完 明天写
*CTF 2022圆满落幕,0ops战队夺冠
Cyberpeace的博客
04-18 490
*CTF 2022圆满落幕,0ops战队夺冠!
2022 TCTF / RisingstarCTF reverse题 vintage 两关的Writeup
qq_41866334的博客
09-22 1314
2022 TCTF的一道游戏reverse题的题解
CTF_and_Real_World.pdf
08-07
各种CTF的介绍,到比赛中涉及到的各种环节 “What is CTF ” Capture The Flag Web, Forensic, Crypto, Binary or something else everybody knows about DEF CON CTF - something like a World Cup of all other ...
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
CTF常见的加密和编码方法
谢公子的博客
10-25 3800
目录 哈希摘要算法 对称加密算法 其他加密算法 编码 哈希摘要算法 以 root加密为例。 MD4:32位的摘要算法。2add09183d0b1dc0428701df9838fba MD5:32位的摘要算法。63a9f0ea7bb98050796b649e8548184 SHA1:40位的摘要算法。dc76e9f0c0006e8f919e0c515c66dbba3982f785...
[区块链研究实验室]区块链之工作量证明(POW)
willam1的专栏
04-09 1178
比特币网络是公开的,因此共识协议的稳定性和防攻击性十分关键。比特币区块链采用了 Proof of Work(PoW)的机制来实现共识,该机制于 1998 年在 B-money 设计中提出。目前,Proof of 系列中比较出名的一致性协议包括 PoW 和 PoS,都是通过经济惩罚来限制恶意参与。POW工作量证明工作量证明,Proof of Work,通过计算来猜测一个数值(nonce),得以解决规...
这可能是全网最简单的POS共识机制算法
reigns的博客
11-13 2726
共识算法是区块链非常重要的一种算法,简单来说,共识算法就是为了使网络中的节点得到一致的认可。就比如说合作双方达成一致,共同遵守某个合约。 传统的分布式系统中,由于有着中心服务器进行统一管理,各个子服务器只需要跟着中心服务器进行操作即可。而区块链作为一种去中心化分布式系统,并没有传统意义上的中心服务器,因此传统的分布一致性算法并不适用于区块链网络。每个服务器都可以是中心服务器,那么这样就需要一种新...
PoW工作量证明
weixin_44172023的博客
09-19 546
链客,专为开发者而生,有问必答! 此文章来自区块链技术社区,未经允许拒绝转载。 PoW是Proof of Work的缩写,即工作量证明的意思。在《拜占庭将军问题》中介绍过,比特币系统中引入了“工作量”的概念,有意降低了信息传递的效率,让矿工必须完成一定的工作量,才能够在全网广播消息。 (孩子第一次为我的文章配图,厉害吧) 以工地的搬砖任务为例,一群工人们(矿工)向火车的车皮(区块)里搬砖,每个工...
字节二面被问到CTF真题?我立马就是一套A接W接外圈刮震射全场!
MachineGunJoe666
06-22 1031
MISC部分 BlueTeaming 列举缓存在内存的注册表
格式化字符串漏洞实验例子(一)easy
谭宇
03-10 634
1、goodluck 例子出处github,点击访问 checksec查防 root@user-virtual-machine:/mnt/hgfs/CTF/share/goodluck# checksec goodluck [*] '/mnt/hgfs/CTF/share/goodluck/goodluck' Arch: amd64-64-little RELRO:...
CTF WriteUp】2021 starCTF部分Crypto题解
cccchhhh6819的博客
01-18 4331
(打比赛感想:大佬真TM多。。。) Crypto Crypto-GuessKey 题目 from random import randint import os from flag import flag N=64 key=randint(0,2**N) print key key=bin(key)[2:].rjust(N,'0') count=0 while True: p=0 q=0 new_key='' zeros=[0] for j in range(len(key)): if key
陇原战役 Crypto题目WriteUP WP CTF竞赛
zxsctf的博客
03-27 387
陇原战役 Crypto题目WriteUP WP CTF竞赛
0ctf
zhang14916的博客
03-28 888
1.babyrsa: 打开源文件阅读我们发现这里的RSA中的n是多项式,但这里的RSA依旧和n为数字的RSA是相似的,在http://www.diva-portal.se/smash/get/diva2:823505/FULLTEXT01.pdf中有介绍如何求解这种RSA。如同n为数字的RSA,我们需要讲多项式n分解为p,q,根据RSA的p和q求解phi(n),继续计算获取d,这是我们就可以解...
[2022强网杯] polydiv和gamemaster
weixin_52640415的博客
07-31 791
2022 第六届 强网杯 两道题
帮我解析一下这段Dockerfile FROM ctfhub/base_web_nodejs_pm2 COPY src /home/node/src RUN yarn add xxx; yarn cache clean;
最新发布
03-08
首先,它从 ctfhub/base_web_nodejs_pm2 镜像中继承了一些基本的配置。然后,它将本地的 src 目录复制到容器中的 /home/node/src 目录下。接着,它运行了三个命令:yarn add xxx 用来安装依赖包,yarn cache clean ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值