BtyeCTF 2021 Crypto-easyxor Write up

最新推荐文章于 2024-05-16 14:15:46 发布
最新推荐文章于 2024-05-16 14:15:46 发布
阅读量536 收藏 1
点赞数
文章标签: 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56678592/article/details/120834429
版权
这篇博客介绍了作者如何分析ByteCTF2021比赛中的Crypto-easyxor题目,通过理解其分组加密和流加密机制,成功破解了前后半段的加密,最终揭示出完整的flag。作者详细展示了OFB和CBC模式下的关键步骤,以及使用Z3库进行爆破和密钥恢复的过程。
摘要由CSDN通过智能技术生成

BtyeCTF 2021 Crypto-easyxor Write up

第一次打字节跳动的比赛,题目质量真的高且难,密码只搞懂了一道题。

题目:

#! /usr/bin/env python
from Crypto.Util.number import bytes_to_long, long_to_bytes
from random import randint, getrandbits


def shift(m, k, c):
    if k < 0:
        return m ^ m >> (-k) & c
    return m ^ m << k & c


def convert(m, key):
    c_list = [0x37386180af9ae39e, 0xaf754e29895ee11a, 0x85e1a429a2b7030c, 0x964c5a89f6d3ae8c]
    for t in range(4):
        m = shift(m, key[t], c_list[t])
    return m


def encrypt(m, k, iv, mode='CBC'):
    assert len(m) % 8 == 0
    num = len(m) // 8
    groups = []
    for i in range(num):
        groups.append(bytes_to_long(m[i * 8: (i + 1) * 8]))
    last = iv
    cipher = []
    if mode == 'CBC':
        for eve in groups:
            cur = eve ^ last
            cur_c = convert(cur, k)
            cipher.append(cur_c)
            last = cur_c
    elif mode == 'OFB':
        for eve in groups:
            cur_c = convert(last, k)
            cipher.append(cur_c ^ eve)
            last = cur_c
    else:
        print 'Not supported now!'
    return ''.join([hex(eve)[2:].strip('L').rjust(16, '0') for eve in cipher])


if __name__ == '__main__':
    from secret import flag
    if len(flag) % 8 != 0:
        flag += '$' * (8 - len(flag) % 8)
    length = len(flag)
    num = length // 8
    keys = [randint(-32, 32) for _ in range(4)]
    IV = getrandbits(64)
    front = flag[:length // 2]
    back = flag[length // 2:]
    cipher1 = encrypt(front, keys, IV, mode='OFB')
    cipher2 = encrypt(back, keys, IV)
    print cipher1 + cipher2

分析题目:

典型的分组密码但是其中掺杂流加密,查看主函数得知明文分两半加密,前半段模式为OFB,后半段为CBC,而且flag长度是8的整数倍,如果原flag不足8的整数倍结尾填充字符’$’。
每半段又分成三组进行对应模式的加密,三组小密文hex之后插入队列中,转字符串之后两端拼接形成完整密文。

前半段:

elif mode == 'OFB':
        for eve in groups:
            cur_c = convert(last, k)
            cipher.append(cur_c ^ eve)
            last = cur_c

flag头为BtyeCTF,所以前半段flag的第一组必定是’BtyeCTF{’,所以bytes_to_long之后与其对应的密文异或后得到cur_c,cur_c又将值赋给last,给第二组加密,这时候就已知last,所以爆破key就好了。

exp(前半段):

from Crypto.Util.number import *
import string
def shift(m, k, c):
    if k < 0:
        return m ^ m >> (-k) & c
    return m ^ m << k & c

def convert(m, key):
    c_list = [0x37386180af9ae39e, 0xaf754e29895ee11a, 0x85e1a429a2b7030c, 0x964c5a89f6d3ae8c]
    for t in range(4):
        m = shift(m, key[t], c_list[t])
    return m
c1 = [9923871592170792776, 17307588413236231692, 13501143373495638285]
m1 = b'ByteCTF{'
m1 = bytes_to_long(m1)
eve1 = m1 ^ c1[0]
print(eve1)
f = open('result1.txt','w')
ff = open('result2.txt','w')
for key0 in range(-32,33):
   for key1 in range(-32,33):
        for key2 in range(-32, 33):
            for key3 in range(-32, 33):
               key=[key0,key1,key2,key3]
               cur_c1 = convert(eve1,key)
               m = c1[1] ^ cur_c1
               flag = long_to_bytes(m)
               try:
                   if all(c in string.printable for c in flag.decode()):#筛去不可打印字符
                       f.write(flag.decode() + str(key) + '\n')
               except:
                   pass

#创建特殊字符集a,并筛选爆破结果
f.close()
a = ['"','*','~','&','$','\\','|','!','{','}','#','^','?','=','(',')','@','>','<','%','+',':',';','`','/','.']
f = open('out.txt','r')
for i in f.readlines():
    if all(x not in a for x in i):
        ff.write(i+'\n')
ff.close()
f.close()
#筛过后剩余大约500项左右,由于见过的flag都是有一定特征或规律性,不可能是大小写字母与数字混杂的乱码,所以找出一个只含小写字母和数字的串,拿到它对应的key[]
key = [-12,26,-3,-31]
front = b''
for i in c1:
    front+=long_to_bytes(eve1 ^ i)
    eve1 = convert(eve1,key)
print(front)
#ByteCTF{5831a241s-f30980

后半段:

if mode == 'CBC':
        for eve in groups:
            cur = eve ^ last
            cur_c = convert(cur, k)
            cipher.append(cur_c)
            last = cur_c

拿到key了就好办了,用z3库一把梭就好了。

exp(后半段):

from Crypto.Util.number import *
from z3 import *

key = [-12,26,-3,-31]
c2 = [4284382136876262159, 11722938993126464060, 10997124791941970194]

c_list = [0x37386180af9ae39e, 0xaf754e29895ee11a, 0x85e1a429a2b7030c, 0x964c5a89f6d3ae8c]

ivc2=[14682254609762378035]+c2#将前半段中的eve1与c2一起带入求解,可以求得iv和cur
for i in ivc2:
    s=Solver()#创建约束求解器
    m=BitVec('m', 100)#定义一个100比特的变量
    def shift(m, key, c_list):
        for i in range(4):
            if key[i]<0:
                m=m ^ m >> (-key[i]) & c_list[i]
            else:
                m=m ^ m << key[i] & c_list[i]
        return m
    s.add(shift(m,key,c_list)==i)#约束求解条件
    if s.check()==sat:#如果有解
        print(s.model())#输出解,且仅有一组解
iv= 16476971533267772345
last=[16476971533267772345,c2[0],c2[1]]
cur=[10780708739817148043,738617756395427640,10936161096540945944]
back=b''
for i in range(3):
    back+=long_to_bytes(cur[i]^last[i])
print(back)
#q535af-2156547475u2t}

拼接后得到 ByteCTF{5831a241s-f30980q535af-2156547475u2t}。

M@ku1i
关注
crypto-js.4.0.0
01-15
此资源为构建好的crypto-js.4.0.0版本,下载后可直接使用Script标签引入所需加密算法。支持:MD5 SHA-1 SHA-256 AES Rabbit MARC4 HMAC HMAC-MD5 HMAC-SHA等算法
[CTF Re] easyxor.exe
輚至消亡
08-01 505
这是adword的一道题目。
攻防世界 新手 easyxor
weixin_43798872的博客
11-11 895
攻防世界easyor
xctf-easyxor
qq_41853048的博客
05-04 284
可以看到在主函数中直接进行了加密算法,第一行有个_main()函数看样子是初始化一类的,这些函数有时候很头疼,不能确定参与加密没有,不过在这道题里可以确定没有参与。一般会自动转到main函数但习惯了通过字符串定位,可以避免对一下其它函数的忽略。发现是64位无壳,gcc编译。
[XSCTF]easyxor
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
09-10 285
在这个循环里,将异或得到的结果每次减去1,同时在数组里写上1,往后遍历数组。查看,main函数,首先是将输入的数据与key中的字符依次异或。直到异或得到的结果减为0,在数组中写一个0进行标记。最后比较数组是否与r数组相同。
ByteCTF2021 Crypto - easyxor writeup
风好衣轻
10-21 859
easyxor shift函数是个常见的移位异或操作,convert是对一个数字使用不同的key和mask进行4次移位异或,这个函数在已知key的情况下是可逆的。 encrypt函数是对明文块进行两种模式(CBC和OFB)的块加密,块长度为8,对于每一块的加密使用的就是上面的convert函数。 首先通过密文的长度可以得知一共被分成了6块;前3块明文使用OFB模式,后三块明文使用CBC模式;keys是一个长度为4的列表,列表中每个值的范围是(-32, 32),64464^4644爆破也是可以接受的。 读完题
小程序 crypto-js下载
02-24
小程序 crypto-js。 CryptoJS是谷歌开发的一个纯javascript写的前端加密类库插件。 目前crypto-js已支持的算法有:MD5、SHA-1、SHA-256、AES、RSA、Rabbit、MARC4、HMAC、HMAC-MD5、HMAC-SHA1、HMAC-SHA256、PBKDF2...
crypto-js-4.0.0.tar.gz
07-20
《深入理解crypto-js 4.0.0:加密与安全的基石》 在现代网络环境中,数据的安全传输和存储已经成为至关重要的议题。crypto-js作为一款强大的JavaScript加密库,为开发者提供了丰富的加密算法和功能,使得在浏览器端...
crypto-js4.1.1版本,js在crypto-js文件夹里面
03-10
《深入理解crypto-js4.1.1:JavaScript加密库在前端安全中的应用》 在现代Web开发中,数据安全已经成为至关重要的环节。特别是在JavaScript环境中,由于其代码的开放性,如何保护用户信息不被窃取或篡改成为了一个...
crypto-js.js(AES加密)
06-09
js最全加密库,里面包含支持:MD5 SHA-1 SHA-256 AES Rabbit MARC4 HMAC HMAC-MD5 HMAC-SHA等算法。详细操作使用,请参考我的文章链接:...
攻防世界:easyxor
Lynnette177的博客
09-01 390
主要涉及到的操作,通过key和输入的字符v8进行异或计算,算出来的v7赋值给v4后自减。一直在里面的循环继续,把s的值赋成1。所以第几个元素,始终跟v11有关,对于每一个字符,从异或后的ascii码自减,有多少个就写多少个1,写完了写一个0,然后再继续下一次。接下来就可以反向编写我们的程序来获取flag了,其实非常简单,就是用1的个数来算出每一个字符的ascii并输出。遍历一下就可以,写1和0的条件,-1直接不管 因为没有意义。shift+e导出,果然是有1有0,最后全都是-1,印证了我们的猜想。
NewStarCTF-WEEK1CRYPTO-RSA_begin题与解
villons的博客
09-25 645
rsa套娃题,奇怪的hint
bugku_easyXor (0xGame 2020)
最新发布
m0_57579266的博客
05-16 405
倒数第二个字节的明文为 27异或上一个得到的值(即35异或94的结果:125)首先分析加密过程,密文每个字节都是 当前明文字节异或下一个明文字节。倒数第一个字节的明文为 35异或94(94是^符号的ASCII值)
邑网杯 CTF 2021 , easystego和ccat 解题
euzen的博客
07-25 1438
一 先说ccat。 下载得到一张jpg图片。基本上套路,有理无理,用binwalk加eM参数,递归解拆。 binwalk -eM ccat.jpg 最终得到一个无后缀文件,这时候就是套路2,16进制编辑器对付。 很明显是jpg文件,改后缀打开,得到flag 二 跟着是让我吐血的 easystego,套路1 binwalk得到一个加密的zip文件。 然后思维的定势,让我继续纠缠图片,尝试在里面找出zip的密码。因为我不相信CTF中会存在暴力爆破zip密码的行为,因为这样..
2018护网杯MISC签到题Easy Xor
Kr的博客
10-21 3156
记录一下做这种题的方法 题目直接给了一串base64加密的字符串,让我们xor AAoHAR0jJ1AlVVEkU1BUVCAlIlFTUVUiUFRTVFVeU1FXUCVUJxs= 在网上看大佬们的writeup说的是因为不知道和谁异或,所以直接写脚本爆破 import base64 char = "AAoHAR0jJ1AlVVEkU1BUVCAlIlFTUVUiUFRTVFVe...
EasyX知识点之二
wuwuku123的博客
01-01 363
1、布尔运算: 布尔运算 各种编程语言中的逻辑运算符 作用 C Pascal 等于 == = 不等于 != <> 小于 < &...
ByteCTF2021 Crypto - abusedkey writeup
风好衣轻
10-21 313
abusedkey 首先把用到的数据放在了task_data.py,方便些其他脚本时直接导入: URL = "http://39.105.181.182:30000" msg11 = URL+"/abusedkey/server/msg11" msg13 = URL+"/abusedkey/server/msg13" msg21 = URL+"/abusedkey/server/msg21" msg23 = URL+"/abusedkey/ttp/msg23" msg25 = URL+"/abusedkey
buuctf刷题记录7 [GWCTF 2019]xxor
ytj00的博客
07-30 1047
关键运算都在main函数 根据提示,我们要输入6次数据,在经过两次处理后的得到的数据,将其转成16进制再变成字符串 第一个处理 这是将输入的六个数据每次取两个,分别给dword_601078和dword_60107c,然后通过sub_400686这个函数进行运算 byte_601060里是四个数据 : 2 2 3 4 进到sub_400686内部 它里面是递加,我们可以递减来实现解密 再看第二处 通过逻辑直接可以推出改变后的6个数 xorm[0] = 3746099070; xorm[1] = 550
已知有个vue文件需要用到crypto-js下的core.js crypto-js/enc-base64.js crypto-js/cipher-core.js crypto-js/mode-ecb.js crypto-js/aes.js 等文件,如何导包?
12-06
你可以使用以下方式导入crypto-js库中的文件: ```javascript // 导入core.js import CryptoJS from 'crypto-js/core'; // 导入enc-base64.js import 'crypto-js/enc-base64'; // 导入cipher-core.js import 'crypto-js/cipher-core'; // 导入mode-ecb.js import 'crypto-js/mode-ecb'; // 导入aes.js import 'crypto-js/aes'; ``` 以上代码中,我们首先导入了crypto-js库的core.js文件,然后分别导入了enc-base64.js、cipher-core.js、mode-ecb.js和aes.js等文件。在导入enc-base64.js、cipher-core.js、mode-ecb.js和aes.js等文件时,我们并没有将它们赋值给任何变量,而是直接导入它们,这是因为这些文件并没有导出任何变量或函数,它们只是向全局对象CryptoJS添加了一些方法和属性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值