[amateurs CTF 2024] crypto/pilfer-techies

最新推荐文章于 2024-08-02 15:51:31 发布
最新推荐文章于 2024-08-02 15:51:31 发布
阅读量830 收藏 30
点赞数 30
文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/137666601
版权

这题费了几天,昨天写到11点半才基本完成程序,需要交互2000多,远程太慢了交互两次就断掉了,反正本地能成,程序逻辑上正确了。小鸡块也写了WP了等写完马上去看小鸡块神的思路。也许有的问题很大呢?

先简单看下题:

#!/usr/local/bin/python3

import hmac
from os import urandom

def strxor(a: bytes, b: bytes):
    return bytes([x ^ y for x, y in zip(a, b)])

class Cipher:
    def __init__(self, key: bytes):
        self.key = key
        self.block_size = 16
        self.rounds = 256
        self.debug = False
    
    def F(self, x: bytes):
        return hmac.new(self.key, x, 'md5').digest()[:15]
    
    def encrypt(self, plaintext: bytes):
        plaintext = plaintext.ljust(((len(plaintext)-1)//self.block_size)*16+16, b'\x00')
        ciphertext = b''
        
        for i in range(0, len(plaintext), self.block_size):
            block = plaintext[i:i+self.block_size]
            idx = 0
            for _ in range(self.rounds):
                L, R = block[:idx]+block[idx+1:], block[idx:idx+1]
                L, R = strxor(L, self.F(R)), R
                block = L + R
                idx = R[0] % self.block_size
                if self.debug:
                    print(block.hex())
            ciphertext += block
        
        return ciphertext.hex()


key = urandom(16)
cipher = Cipher(key)
flag = open('flag.txt', 'rb').read().strip()

print("pilfer techies")
while True:
    choice = input("1. Encrypt a message\n2. Get encrypted flag\n3. Exit\n> ").strip()
    if choice == '1':
        pt = input("Enter your message in hex: ").strip()
        pt = bytes.fromhex(pt)
        print(cipher.encrypt(pt))
    elif choice == '2':
        print(cipher.encrypt(flag))
    else:
        break

print("Goodbye!")

先取idx为0,从明文取第idx位(这个字节%10作为下下轮的idx),用hmac加密生成一个15字节的密钥(F函数)与明文其它部分异或,后边加上idx位的明文。

前边有一题是只有1轮,那个直接可以恢复。这个有256轮比较麻烦。

获取密钥R:

题目是通过R来加密,只需要获取所有的F(R)就可以解密了(256组),第1步是恢复R[0]

先构造一个明文看它的加密过程:

01...EF
构造的时文0x...
第1轮idx=0x^F(0)[0]0
第2轮idx=0xf0^F(x^F(0)[0])[15]x^F(0)[0]

当某个idx位置的字符%10==0xf时,后边的idx变为0xf则一直用这个值对前边加密一直到256次结束,由于加密直接是异或,所以后边的每两个会相互抵消。

第1步 取得R[0]的第1位

当构造一个串,第1位为0,第2位为x,如果x^F(0)[0]%0x10=0xf时,只需要两轮便会结束(后边互相抵消)。这个可以通过爆破获取所有值,但需要判断哪一个是正确的,因为所有密文值的尾字节都是F结束。

这样我来构造两个明文:

pt1 = bytes([0,i]+[0]*14)
pt2 = bytes([0,i^0x70]+[0xff]*14)

如果1的i^F(0)[0]%0x10==0xf只有两轮加密,则2也成立。则1与2的尾(i^F(0))[-1]^(i^0x80^F[0])[-1]==0x70 ,反之如果1不成立虽然最后也会是0xf但1和2加密次数不一定相同则尾号极大概率不同。

这时候通过i和尾号可以得到F(0)的第1字节: i^F(0)[0]=c[-1] => F(0)[0] = c[-1]^i

第2步 取得全部的R[0]

这是个来构造第2个明文,让流程idx变成0->0->f->f,由于已知F(0)的第1字节,所以设定让第2字节加密后为0,然后爆破第3字节让它再次加密后为尾号f

构造明文0f00xy
第1轮f00^f00=0x^f(0)[1]y^f(0)[-1]0
第2轮x^f(0)[1]^f(0)[0]=xfy^f(0)[-1]^f(0)[-2]0^F(0)[-1]0
第3轮0^F(0)[-1]^F(xf)[-2]0^F(xf)[-1]xf
第4轮y^f(0)[-1]^f(0)[-2]0^F(0)[-1]0xf

当有两轮f的情况,最后两轮的f(xf)会互相抵消,第4轮与第2轮比只是向前错了一位。c[13]=F(0)[-1]而当设置x,...y都为0时c[12]=f(0)[-1]^f(0)[-2]这样一直向前可以得到R[0]剩余的1-14位。

第3步 取得R的第F列

回到第1步取得的数据,第1步当设置流程为0->F时只有两轮加密F0和Fxf

现在已经知道R[0]那么就可以推出R[xf],直接设置第1个为0第2个为R[0][0]^0xXF取得的密文与R[0]异或即可

第4步 取得全部的R

也是第1步的两轮流程,设置第1字节为s,第s%0x10+1字节为i爆破,由于只有两轮加密,而第2轮分部的尾号f的R已经在上一步全都得到,可以异或出其它值。但同第1步一样需要在尾字节符合的情况下作个反转其它字符来验证。

由于一共256-1-16组,每组爆破16种情况加几次验证直到通过,总次平均在8*239次以上。所以爆破量还是满大的。

这步其实并不需要解出全部的R,只需要在解密时需要哪一个再去爆破,每个平均9次,可以减少爆破量

解密:

获得全部的密钥后,解密就是从后向前查表。

第用最后一字节A对应的密钥对密文解密,通过解密后的尾字节B判断A插回到哪个位置。

同样有个问题,尾号为F时,由于加密是偶数次,可能出现尾号两轮都是F的情况,需要分别处理两次。

这个流程因为轮数未知无法判断结束,需要通过flag明文的特征(可见字符和pad \0)来判断。

解题代码:

包装的公共函数

from pwn import *

cnt = 0
def get_v(pt):
    global cnt
    cnt+=1
    p.sendlineafter(b'> ', b'1')
    p.sendlineafter(b"Enter your message in hex: ", pt.hex().encode())
    msg = p.recvline().strip().decode()
    return bytes.fromhex(msg)

def get_tv(r0,r1=0,r2=0):
    return get_v(bytes([r0,r1,r2]+[0]*13))

def get_flag():
    p.sendlineafter(b'> ', b'2')
    msg = p.recvline().strip().decode()
    return bytes.fromhex(msg)

总流程

def step1():
    global R
    
    for i in range(0x10):
        v1 = get_v(bytes([0,i]+[0]*14))
        v2 = get_v(bytes([0,i^0x70]+[0xff]*14))
        if v1[-1]^v2[-1]==0x70:
            print(i, v1.hex())
            R0 = get_r00(i^v1[-1])   #1,取得R0
            R[0] = R0[:-1]
            print('R[0]=', bytes(R[0]).hex())
            print(f"{cnt =}")
            get_rf()                 #2,取得第F列  16
            #get_rx()                 #3,取得第0列 +15
            #print(R)
            print(f"{cnt =}")
            #解密
            for i in range(0, len(enc_flag),16):
                decrypt(enc_flag[i:i+16])
            print(f"{cnt =}")
            break

取得R[0][0]


#取得F(b'\x00')
#L^F(0)^F(0)^F(f)
def get_r00(f_0_0):
    print(f_0_0)
    for i in range(0x10):
        v = get_tv(0,f_0_0,i)
        if v[-2] != 0 : continue
        v2 = get_tv(0,f_0_0,i^0x70)
        if v2[-2] != 0: continue
        print('Found:',i,v.hex())
        #f_0_1 = i^f_0_0
        R0 = [0]
        for j in range(13,-1,-1):
            R0.append(v[j]^R0[-1])
        R0.append(f_0_0)
        R0 = R0[::-1]
        print('R[0]',bytes(R0).hex())  #6bb5b072e39d1faf5dcad9f197837a
        break
    return R0

取得尾号f列的R

'''
>>> get_v(0,0x6b^0xf)
0fb5b072e39d1faf5dcad9f197837a00
688f9f6f38387a4f4c9dffe49977ad0f
>>> get_v(0,0x6b,0x6b^0xb5^0xf)
0064b072e39d1faf5dcad9f197837a00
0f05c2917e82b0f29713286614f97a00
d8fd7cf227972785956c6867e377ad0f
05c2917e82b0f29713286614f97a000f #偶数次

R(0)
688f9f6f38387a4f4c9dffe49977ad0f F0[100]
6bb5b072e39d1faf5dcad9f197837a   R0
dd3fed8ca527d51286440e731a0dad   Rf
'''
#0xf 0x1f 0x2f ... f列
#取得第F列

def get_rf():
    global R
    for i in range(0xf,0x100,0x10):
        v = get_tv(0, R[0][0]^i)
        R[i] = [i for i in xor(v[:-1], bytes(R[0]+[0])[1:])]
        print(f'R_{i:x}', bytes(R[i]).hex())

取得剩余的全部R

#补全其它
'''
01 A B C ...     01000800000000000000000000000000
0f A C ...  01     dd7775c35d921c46f404c7682c5d43
                 7fdd75c35d921c46f404c7682c5d4301
A  C ... 01 0f     8009b22d640ecb6f2e636ba734310e
                 5d7c7170f6128d9b2aa4038b69720f7f
'''
def get_rx(s):
    global R
     
    s1 = s%0x10
    for i in range(0x100):
        pt = [0]*16
        pt[0],pt[s1 + 1]=s,i 
        v = get_v(bytes(pt))
        if v[-2] != s^R[v[-1]][-1]: continue
        
        pt = [0xff]*16            #第2次取数,两次比较,减少碰撞取错
        pt[0],pt[s1 + 1]=s,i^0x80 
        v1 = get_v(bytes(pt))
        if v[-1]^v1[-1] != 0x80: continue
        
        t1 = [_ for _ in xor(v[:-2],bytes(R[v[-1]][:-1]))]
        R[s] = t1[:s1]+[i^v[-1]]+t1[s1:]
        #print(f">>> {s:x} {i:x} {bytes(R[s]).hex()}={cipher.F(bytes([s])).hex()} ")
        break

解密

'''
bf1a15ab9aead5616aa5190645377261
f254c239818ee6efbf22fd26a6b3711a
e972490815d417dbdace83652e4b4dfd
bdb42fad8f66745e0268bf39f2800e4b
590abff1ca6e45ca77266575e46ce839
3bf4dc2aedd787ea8bd281b165f4b026
d59eb0020556f207401d454d9863b187
f122b2591ace01be2ee552c890e3e607
dfed5b62b533dc7f25d06e48df632abe
e676085c75fd3053209d69c345a3342a
1800c0c8428c3e8e5bbc1bac23838b69
8d70d881e274ac1db5be359be0d40abc
cfc99964d2f8b21fa6a6a61a04868be0
f83546173cf934c079a84e273e3d3bcf
'''
def decrypt(enc):
    senc = enc
    for _ in range(2):
        enc = senc
        print('way:',_)
        if _ == 1:  #两个xf结尾
            if R[enc[-1]] == '':
                get_rx(enc[-1])
            enc = xor(enc[:-1],bytes(R[enc[-1]]))+enc[-1:]
            #print(enc.hex())
        m = 30
        while m:
            if R[enc[-1]] == '':
                get_rx(enc[-1])
            idx = enc[-1]
            enc1 = xor(enc[:-1],bytes(R[idx]))
            pos = enc1[-1]%0x10
            m -=1
            if all([1 if 0x20<=i<0x7f or i==0 else 0 for i in enc1.rstrip(b'\x00')]):
                enc = bytes([idx])+ enc1
                print(enc)
                break
            else:
                enc = enc1[:pos] + bytes([idx]) + enc1[pos:] 
            #print(enc.hex())
    return enc

开始

#------ready-----------------------
R = ['']*0x100

#context.log_level = 'debug'
#p = remote('chal.amt.rs', 1415)
p = process(['py', './pilfer-techies.py'])

enc_flag = get_flag()
print(enc_flag)
step1()

其它

看了小鸡块的WP Crypto趣题-Oracle | 糖醋小鸡块的blog

大神的思路完全不一样,但是显然更简单一点。

由于给定的原因第1个字节v0已知(后边块虽然未知但也可以猜,猜不了的就爆破) 那么通过v0确定下一字符的位置,然后猜下一字符v1。然后反复连接远端,由于密钥是动态的有1/16的概率会使第2个字节v1^F(v0)后的值=xF ,当密文(每次连接重取)与爆破的密文后两字节相同时说明字符正确并且都是走过0->v0->v1->xf->xf 的加密过程,给出的flag是经过这个流程加密猜的也是相同,则两个异或就能得到明文的14字节,再加上猜的两个自己整理成一段。。。。

石氏是时试
关注
  • 30
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF--crypto
qq_40730029的博客
04-28 1293
你猜猜 题目:我们刚刚拦截了,敌军的文件传输获取一份机密文件,请君速速破解。 下载附件解压后是一个文本文件,看到504B,很明显是压缩文件的文件头 将该文本文件拖到winhex打开,将文件格式转为.zip格式,右键—>编辑—>转换选块,转好之后保存文件 将文件后缀名改为.zip然后解压,需要密码 将压缩包拖到kali里,在终端输入命令 (相关操作见) crackzip -D ...
CTF-Crypto密码学
am_03的博客
08-23 1282
由于内容过多,分两篇展示 密码学 01密码学概述 密码学的发展 密码编码学 编码与加密? 编码为一类映射的关系(一一映射) 加密为一类算法(有算法(公开的),密钥(不可泄漏)) 明文 ------> 密文 plain text cipher text 对称密码和不对称密码算法 对称密码算法优点:加密解密速度快 缺点:密钥不能泄漏(除了AES,因为密钥很长,目前无机器能够在短时间内破解) 对称密码算法常考DES 非对称密码算法(Asymetric cipher): 加密密钥和解密密钥
CTF-Crypto
weixin_44770698的博客
06-02 3917
CTF-Crypto,小白学习部分知识点整理
CTF-CRYPTO-RSA
m0_73649671的博客
06-15 1060
RSA是一种非对称加密体制 ,所谓非对称就是加密钥和解密钥不一样,要解决加解密相关问题,我们首先要弄清楚RSA加密解密流程中用到了哪些东西
ctf-CRYPTO
m0_74422124的博客
04-08 1780
任何一个8位的字节值可编码为3个字符:一个等号”=”后跟随两个十六进制数字(0–9或A–F)表示该字节的数值.例如,ASCII码换页符(十进制值为12)可以表示为”=0C”, 等号”=”(十进制值为61)必须表示为”=3D”. 除了可打印ASCII字符与换行符以外,所有字符必须表示为这种格式.如果数据中包含有意义的行结束标志,必须转换为ASCII回车(CR)换行(LF)序列,既不能用原来的ASCII字符也不能用QP编码的”=”转义字符序列。打开web开发者工具,在控制台输入,回车得到flag.
CTF_Crypto
yybzzz的博客
02-26 836
Base64 Base64在线互译 线索:结尾= 应用范围 bse64是一种以64个可见字符集对二进制数据进行编码的编码算法 常用于网络数据传输过程的编解码环节,HTTP环境下传递较长的标识信息 编码表 编码过程 base64编码,每3个8位明文数据为一组,取这3个字数据的ASCII码,然后以6位为一组组成4个新的数据。对于不足3字节的处理: 不足三字节后面填充0; 对于编码前的数据产生的...
监控视频相关数据集
weixin_33883178的博客
01-05 6784
http://www.multitel.be/cantata/   BOSS dataset Website: Datasets are available here.   Dataset:    The BOSS project aims at developing an innovative and bandwidth efficient communicati...
czech-amateur-keyboard-layout:捷克业余键盘布局
05-02
键盘布局“捷克业余” 厌倦了在编程英语和常规写作捷克语之间切换? 您辞职和写作时没有黑客和汽车吗? 再一次,仅一种布局就足够了! 苹果电脑 安装程序: 来源(捆绑包): 可以在编辑XML ...
费马定理 Fermat's last theorem for amateurs.pdf
07-17
费马大定理是数学史上一个著名的猜想,由17世纪法国数学家皮埃尔·德·费马提出。该猜想涉及的是一个关于整数方程的解的问题,具体而言,费马大定理指出:不存在正整数\(a\)、\(b\)、\(c\)和大于2的整数\(n\),使得...
ID-52A_E_基本手册中文第一版不完整翻译202112
08-18
这款设备结合了传统的模拟技术和D-STAR(Digital Smart Technology for Amateurs)数字智能技术,提供了丰富的功能。 **核心知识点:** 1. **FCC规则遵守** - 该设备遵循美国联邦通信委员会(FCC)的第15部分规则...
TLS协议分析------
热门推荐
zhangliang_571的专栏
06-07 1万+
TLS协议分析 2015-09-06 本文目标: 学习鉴赏TLS协议的设计,透彻理解原理和重点细节 跟进一下密码学应用领域的历史和进展 整理现代加密通信协议设计的一般思路 本文有门槛,读者需要对现代密码学有清晰而系统的理解,建议花精力补足背景知识再读。本文最后的参考文献里有一些很不错的学习资料。 目录 : 1 2 3 4 5 6 7
CTFcryptoCrack
02-17
CTF多种常见解密功能均包含,也支持自己添加解密程序,此代码已开源,由米斯特开发,这是我添加了Polybius_Square_Cipher之后的版本,希望各位同道者一起将这个工具完善得更好,谢谢。
CryptoCTF
qq_43210436的博客
08-16 1195
CTF-Crypto
ctf-crypto1
qq_45448359的博客
09-26 2073
前言 一次巧合的情况下点开了一个ctf比赛 一直没玩过ctf 第一次 0基础分析 签到题 crypto的 题目: #!/usr/bin/env python # -*- coding: utf-8 -*- from Crypto.Util.number import * import random flag=b'flag{******************}' n = 2 ** 256 flaglong=bytes_to_long(flag) m = random.randint(2, n-1) | 1
cassical--CTFCrypto
丫丫的博客
11-18 1444
打开文件看到一段奇怪的英文: Ld  hcrakewcfaxr, f hofjjlhfo hlaxuc lj f krau ev hlaxuc kxfk zfj tjui  xljkeclhfoor gtk dez xfj vfooud, vec kxu pejk afck, ldke iljtju. Ld  hedkcfjk ke peiucd hcrakewcfaxlh foweclkxpj...
ctf-BugkuCTF-crypto
zhang14916的博客
07-23 624
1.滴答~滴 很容易看出这是摩斯加密,直接解密即可,注意格式 #encode=utf-8 s='-... -.- -.-. - ..-. -- .. ... -.-. ' codebook = { 'A':".-",'B':"-...",'C':"-.-.",'D':"-..",'E':".",'F':"..-.",'G':"--.",'H':"
CTF-Crypto】格密码基础(例题较多,非常适合入门!)
最新发布
jayq1的博客
08-02 1143
格密码基础入门,有较多例题,应用相应的定理,便于理解格密码其中的原理,希望对刚入门格密码的师傅们有帮助
ctfCrypto初步基础概要
JacinLee的博客
07-22 1万+
这里是关于密码的整体概要,不管你是否喜欢ctf,只要你喜欢安全的,都可以进行学习和交流,也欢迎各位师傅的指点。
CTF CRYPTO 密码学-3
Brucye
01-16 622
uncompyle6 是一个 Python 反编译器,它能够将 Python 字节码(.pyc 文件)转换回源代码(.py 文件)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值