题目翻译:在这里,您可以在CBC中加密,但只能在ECB中解密。这不应该是一个弱点,因为他们是不同的模式…对吗?
题目代码:
实际上,本题给了我们利用CBC来加密和ECB来解密的两个在线程序。并且在两个程序中,使用的KEY都是相同的,此点为关键。
先贴上CBC和ECB加解密的原理图。
ECB:
CBC:
先利用在线程序,得出flag用CBC加密的结果。
得到的ciphertext = 0x282d7e31b8c40fb67439dc4d7709ae275964b0e39102015f342b05591dc5b5f1d2cbc4a7346f4a3c128b35113f72dd33
要注意的是,题目中的CBC加密后的密文还有进行一步处理
即将密文最后十六个字节的十六进制与iv的十六进制进行相加,最开始的时候,我觉得很奇怪因为我并没有处理这一步就能解出正确答案,而后再看CBC的解密步骤,发现其实密文最后16位是与解密无关的,因此即使相加也不会改变结果,因为实际上根本用不到。
接着来分析此题的解密思路,先仔细看这两种方式的解密过程
去掉CBC的异或过程,CBC的解密实际上与EBC是相同的(当使用的key是相同的情况下),因此,我们可以使用在线EBC解密得到CBC解密的一部分。
解得 plaintext = 0x089ada52743b50b406cc4c80f0dc0f8f4b5f0741ccab7485175b8378026ac5120650c6d3a0665e6e037424783ce4948c
最后再实现异或过程,就是将CBC得到的密文块与解密后的明文块相错异或。
以下是整个代码
from Crypto.Util.number import *
from Crypto.Cipher import AES
import os
key = 0x20b7a463ccff5f0272f590cd87d5a1a8123bb7a25da975da237086211faf70e3d49b02749409145211ff1169039649bf
ciphertext = 0x282d7e31b8c40fb67439dc4d7709ae275964b0e39102015f342b05591dc5b5f1d2cbc4a7346f4a3c128b35113f72dd33
deci = 0x089ada52743b50b406cc4c80f0dc0f8f4b5f0741ccab7485175b8378026ac5120650c6d3a0665e6e037424783ce4948c
print(len(long_to_bytes(ciphertext)))#确定分几组
print(len(long_to_bytes(deci)))
iv = os.urandom(16)#每组16个字节
print(len(iv))
print(long_to_bytes(bytes_to_long(long_to_bytes(ciphertext)[0:16])^bytes_to_long(long_to_bytes(deci)[16:32]))) #第一块
print(long_to_bytes(bytes_to_long(long_to_bytes(ciphertext)[16:32])^bytes_to_long(long_to_bytes(deci)[32:48]))) #第二块
print(long_to_bytes(bytes_to_long(long_to_bytes(ciphertext)[0:16])^bytes_to_long(long_to_bytes(deci)[16:32]))+long_to_bytes(bytes_to_long(long_to_bytes(ciphertext)[16:32])^bytes_to_long(long_to_bytes(deci)[32:48])))
得到结果如下