CTF中的LFSR考点(一)

最新推荐文章于 2024-01-18 12:34:22 发布
最新推荐文章于 2024-01-18 12:34:22 发布
阅读量4.2k 收藏 27
点赞数 10
分类专栏: 笔记 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao__1bai/article/details/120392307
版权

CTF中的LFSR考点(一)

前提概要:
这是我在理解了作者:道路结冰的博客深入分析CTF中的LFSR类题目(一)下写的一次回顾和分析,只是在其中加上自己的见识和理解来加深印象。

博客地址:https://www.anquanke.com/post/id/181811#h2-0

.
.
前言:

LFSR(线性反馈移位寄存器)已经成为如今CTF中密码学方向题目的一个常见考点了,在今年上半年的一些国内赛和国际赛上,也出现了非常多的这类题目,但是其中绝大多数题目目前都没有writeups(或者writeups并没有做cryptanalysis,而是通过爆破的方法解决,这种思路只适用于部分类似去年强网杯出现的几道非常基础的LFSR类题目有效,对于绝大多数国际赛上的题目不仅是没有任何效果的,也是没有任何意义的,只有真正掌握了LFSR的密码学原理,才有可能在国际赛上解决一道高分值的LFSR类题目),网上针对这类考点的详细分析也不多,因此接下来我将通过几篇文章,对这类知识点进行一个详细的分析。
.
.
.

LFSR简介:

LFSR是属于FSR(反馈移位寄存器)的一种,除了LFSR之外,还包括NFSR(非线性反馈移位寄存器)。

附加:
反馈移位就是可以通过前面已经存在的寄存器中的值反馈出后面的的寄存器的值,通过不断移位对应不同的前寄存器值一直反馈出后面连续的后寄存器值。
在这里插入图片描述

FSR是流密码产生密钥流的一个重要组成部分,在GF(2)上的一个n级FSR通常由n二元存储器和一个反馈函数组成,如下图所示:
在这里插入图片描述

.

如果这里的反馈函数是线性的,我们则将其称为LFSR,此时该反馈函数可以表示为:
在这里插入图片描述

其中cn=0或1,⊕表示异或(模二加),也就是说反馈函数必然为a1……⊕……an形式中的一部分。

我们接下来通过一个例子来更直观的明确LFSR的概念,假设给定一个5级的LFSR,其初始状态(即a1到a5这5个二元存储器的值)为:
在这里插入图片描述

其反馈函数为:
在这里插入图片描述

整个过程可以表示为下图所示的形式:
在这里插入图片描述

接下来我们来计算该LFSR的输出序列,输出序列的前5位即为我们的初始状态10011,第6位的计算过程如下:
在这里插入图片描述

第7位的计算过程如下:
在这里插入图片描述

由此类推,可以得到前31位的计算结果如下:
1001101001000010101110110001111

对于一个n级的LFSR来讲,其最大周期为2^n-1 ,因此对于我们上面的5级LFSR来讲,其最大周期为 2^5-1=31,再后面的输出序列即为前31位的循环

注意
这里的就是能通过反馈函数生成完整连续序列最少寄存器数,因为a6=a1⊕a4,所以a5必须包含在内,所以是5级寄存器。

通过上面的例子我们可以看到,对于一个LFSR来讲,我们目前主要关心三个部分:初始状态反馈函数输出序列

那么对于CTF中考察LFSR的题目来讲也是如此,大多数情况下,我们在CTF中的考察方式都可以概括为:给出反馈函数输出序列,要求我们反推出初始状态,初始状态即为我们需要提交的flag,另外大多数情况下,初始状态的长度我们也是已知的。

显然,这个反推并不是一个容易的过程,尤其当反馈函数十分复杂的时候,接下来我们就通过一些比赛当中出现过的具体的CTF题目,来看一下在比赛当中我们应该如何解决这类问题,由于不同题目之间难度差异会很大,所以我们先从最简单的题目开始,我将尽可能的用最通俗的语言和脚本来进行演示,在后面会逐渐提升题目的难度,同时补充相应的代数知识。

.
.

CTF例题演示

2018 CISCN 线上赛 oldstreamgame
题目给出的脚本如下:

flag = "flag{xxxxxxxxxxxxxxxx}"
assert flag.startswith("flag{")
assert flag.endswith("}")
assert len(flag)==14

def lfsr(R,mask):
    output = (R << 1) & 0xffffffff
    i=(R&mask)&0xffffffff
    lastbit=0
    while i!=0:
        lastbit^=(i&1)
        i=i>>1
    output^=lastbit 
    return (output,lastbit)

R=int(flag[5:-1],16)
mask = 0b10100100000010000000100010010100

f=open("key","w")
for i in range(100):
    tmp=0
    for j in range(8):
        (R,out)=lfsr(R,mask)
        tmp=(tmp << 1)^out
    f.write(chr(tmp))
f.close()

.
.
分析一下我们的已知条件(1):

已知初始状态的长度为4个十六进制数,即32位,初始状态的值即我们要去求的flag,所以初步判断这里的是32,那么最大周期就是2^32-1
已知反馈函数lfsr,只不过这里的反馈函数是代码的形式,我们需要提取出它的数学表达式。 已知输出序列。
在这里插入图片描述

.
.
那么我们的任务很明确,就是通过分析lfsr函数,整理成数学表达式的形式求解即可,接下来我们一行一行的来分析这个函数:
在这里插入图片描述

.
.
通过上面的分析,我们可以看出在这道题的情境下,lfsr函数本质上就是一个输入R输出lastbit的函数,虽然我们现在已经清楚了R是如何经过一系列运算得到lastbit的,但是我们前面的反馈函数都是数学表达式的形式,我们能否将上述过程整理成一个表达式的形式呢?这就需要我们再进一步进行分析:

mask只有第3、5、8、12、20、27、30、32这几位为1,其余位均为0。
mask与R做按位与运算得到i,当且仅当R的第3、5、8、12、20、27、30、32这几位中也出现1时,i中才可能出现1,否则i中将全为0。
lastbit是由i的最低位向i的最高位依次做异或运算得到的,在这个过程中,所有为0的位我们可以忽略不计(因为0异或任何数等于任何数本身,不影响最后运算结果),因此lastbit的值仅取决于i中有多少个1:当i中有奇数个1时,lastbit等于1;当i中有偶数个1时,lastbit等于0。
当R的第3、5、8、12、20、27、30、32这几位依次异或结果为1时,即R中有奇数个1,因此将导致i中有奇数个1;当R的第3、5、8、12、20、27、30、32这几位依次异或结果为0时,即R中有偶数个1,因此将导致i中有偶数个1。
因此我们可以建立出联系:lastbit等于R的第3、5、8、12、20、27、30、32这几位依次异或的结果。

.
.
将其写成数学表示式的形式,即为我们要求的反馈函数,反馈函数的形式也说明了初始位数要32位
在这里插入图片描述
.
.
.
然后我们看一下明文是怎么来的:

key=20FDEEF8A4C9F4083F331DA8238AE5ED083DF0CB0E7A83355696345DF44D7C186C1F459BCE135F1DB6C76775D5DCBAB7A783E48A203C19CA25C22F60AE62B37DE8E40578E3A7787EB429730D95C9E1944288EB3E2E747D8216A4785507A137B413CD690C

最后八行代码,对flag,它做了一百次循环,每次循环都产生一个结果,并将这个结果写到key里面去,所以key里面总共有一百个ASCII字符,共两百个16进制数。
.
补充:
题目之所以会出现 100 个ASCII字符是因为 4 循环次加内嵌的 8 位一次共 32 位循环往后产生的 4 个flag生成的加密字符共 8 个 16 进制数后,继续用这 4 个加密后的 flag 字符继续新一轮加密,就是多层加密。所以我们取 32 位即可,结果 flag 也是 4 个ASCII字符拆分出的 8 个 16 进制数。
.
在这里插入图片描述

.
.
.
显然,lastbitR之间满足线性关系,那么接下来我们就可以开始求解了。
而且从这里我们可以知道,这种移位的CTF题目类型要反推32位的初始值要多少位输出序列呢,答案就是32位,因为这种移位的题目是32位为一个循环,这就和我们前面说的2^32-1的循环不太同了,因为这里是移位操作。

32位Key值:00100000111111011110111011111000

解题的关键是发现在明文只剩最后一位时,可以通过最后的结果来求出排在第32位的第一位,然后就可以反推回去了。
.
我们想象这样一个场景,当即将输出第32位lastbit时,此时R已经左移了31位,根据上面的数学表达式,我们有:
在这里插入图片描述
.
这样我们就可以求出R的第1位,同样的方法,我们可以求出R的第2位:
在这里插入图片描述
以此类推,R的全部32位我们都可以依次求出了

.
.
.
最终脚本,这里注意小端顺序反序取位:

key1="00100000111111011110111011111000"	#lastbit全部值,就是反馈函数生成的值,32位的key1
key2=key1
flag=[]
for i in range(32):
	output='?'+key1[:31]	#?0100000111111011110111011111000,因为后面有key1=str(lastbit)+key1[:31],key1不断填补,output不断取前31位,所以这里output每次把?定在第i位上,注意output和key1是独立的分开的。
	flag.append(str(int(key2[-1-i])^int(output[-3])^int(output[-5])^int(output[-8])^int(output[-12])^int(output[-20])^int(output[-27])^int(output[-30])))
#这里之所以取负数是因为我们截取是从左往右取,而在计算机中是小端顺序,应该从右往左取才对,这里的key2[-1-i]就是小端左到右的第i位,也就是前面分析的反馈函数生成值的第i位。flag值的原第i位,现在在第32位,可以通过⊕的可逆性来求,就是R32=lastbit ⊕ R3 ⊕ R5 ⊕ R8 ⊕ R12 ⊕ R20 ⊕ R27 ⊕ R30                    				
	key1=str(flag[i])+key1[:31]#不断填补key1,让key1向右推进,
print("flag{"+hex(int(''.join(flag[::-1]),2)).replace('0x','')+"}")#这里是经过一系列操作,首先把flag变成小端顺序的[::-1],然后就是转十六进制。

在这里插入图片描述

.
.
结果:
在这里插入图片描述

沐一 · 林
关注
  • 10
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
密码学—求给定n阶LFSR在指定q元域上的理想初始向量集合C
SmarterYu的专栏
11-16 1731
这个开始写的时候写的比较挫,求周期的时候就是从1开始一直计算到p^n-1(为了方便下面用N表示了),结果小的数据还行,一旦打一点,比如到了(10,10),那就是10^10-1了,验证一个向量(c1,c2,..,c10!=0)就是要求一个10*10的矩阵求10^10次幂,结果可想而知了...并且,因为要求出所有的,总的计算量还要乘以9*10^9(其c10不允许等于0的情况)。所以这个计算量是非常大
De1CTF-Crypto-LFSR略解
feng_2016的博客
05-14 906
好不容易做出来,记录一下吧 wp: https://www.anquanke.com/post/id/181811 https://www.anquanke.com/post/id/184828 官方wp好像是爆破 不过是有技巧地爆破 减少了很多计算量,让爆破有了可能性
D^3CTF(Crypto-D3bug详解 LFSR题目)
MangoFengC++
03-15 1125
D3bug详解(LFSR题目) Author: MangoFeng 题目 from Crypto.Util.number import * from secret import flag assert flag.startswith("D3CTF{") assert flag.endswith("}") message = bytes_to_long(flag[6:-1]) assert message < 2**64 mask = 0b10100100000010000000100010010100
[第七章 CTF之CRYPTO章]LFSR
最新发布
m0_66879478的博客
01-18 623
[第七章 CTF之CRYPTO章]LFSR
CTF竞赛密码学 之 LFSR
蚁景网安学院
03-24 2994
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
CTF竞赛密码学之 LFSR
2201_75735270的博客
07-28 483
线性反馈移位寄存器(LFSR)归属于移位寄存器(FSR),除此之外还有非线性移位寄存器(NFSR)。移位寄存器是流密码产生密钥流的一个主要组成部分。
流密码:lfsr(线性反馈移位寄存器)
m0_62506844的博客
04-24 3340
参考文献: ctf竞赛密码学之lfsr ctfwiki crpto lfsr(线性反馈移位寄存器) 简单认识一下lfsr lfsr可以直接看作下面这个公式,对于我来说还是公式比较好理解,网上很多题解直接对于lfsr函数进行分析,还是没有公式来的舒服(实际上是我看不懂他们的wp) BM算法 如果我们知道了长度为 2n 的序列,我们也可以一种比较笨的方法来获取原先的序列。 2018 强网杯 streamgame1 from flag import flag assert fl...
ctf杂项解题常用的exe软件
05-18
在网络安全竞赛,特别是Capture The Flag (CTF),参赛者经常会遇到各种各样的挑战,其杂项题型是涵盖广泛技术领域的一种。这些exe软件工具是CTF选手在解决这类问题时可能会用到的实用工具,帮助他们进行逆向工程...
CTF文手册
02-21
CTF(Capture The Flag)文一般译作夺旗赛,在网络安全领域指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的...
IDEA、LFSR等八种常见加解密简单程序
09-06
IDEA Caeser DES KeyWord LFSR PlayFair RC4 Vigenere八种加解密算法 VS2005编译通过
ctf得到非法提供一个机
01-13
"ctf得到非法提供一个机"这个标题可能指的是在CTF比赛,某方获得了未经授权的服务器或设备的访问权限,这在比赛可能是合法的解题策略,但在现实则是非法的活动。 CTF比赛通常包含多个类别,如: 1. **Web...
CTF——攻防世界第一篇
01-08
昨天下午看了关于ctf的视频,发现自己什么也不懂,明明每个字都是我认识的文,但是组合到一起就不明白了。「我好难……」 而且,看视频我似乎没什么的耐性,一下午下来还是发现自己没学到什么。所以,今天,我决定...
CTF比赛的常见题型
11-13
CTF比赛的常见题型目录,给初学者提供学习方向。CTF(Capture The Flag)文一般译作夺旗赛,在网络安全领域指的是网络安全技术人员之间进行技术竞技的一种比赛形式。
密码学二:LFSR(线性反馈移位寄存器)
weixin_50749380的博客
07-19 2654
本文只提供实现方法,建议读者先自行了解相关知识,再阅读本文代码。 结果截图: C++代码: // LFSR.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <iostream> #include <stdlib.h> #include <bitset> #define n 4 using namespace std; string BitStrToStr(string bstr) { string str = "
c语言编程输出lfsr1,#C语言初学记录(位运算)
weixin_30728435的博客
05-18 383
位运算Problem Description7-1 数组元素循环右移问题一个数组A存有N(>0)个整数,在不允许使用另外数组的前提下,将每个整数循环向右移M(≥0)个位置,即将A的数据由(A0​​A​1⋯A​N−1)变换为(A​N−M​​ ⋯A​N−1​​ A​0​​ A​1​​ ⋯A​N−M−1​​ )(最后M个数循环移至最前面的M个位置)。如果需要考虑程序移动数据的次数尽量少,要如何...
数据处理方法(LFSR
XiaoCaiDaYong的博客
04-18 2509
线性反馈移位寄存器(LFSR):通常由移位寄存器和异或门逻辑组成。其主要应用在: 伪随机数,伪噪声序列,计数器,BIST,数据的加密和 CRC 校验等。
2.1 LFSR
晚安( ̄o ̄) . z Z
01-25 1893
a)简介 线性反馈移位寄存器(linear feedback shift register, LFSR)是指,给定前一状态的输出,将该输出的线性函数再用作输入的移位寄存器。异或运算是最常见的单比特线性函数:对寄存器的某些位进行异或操作后作为输入,再对寄存器的各比特进行整体移位。 b)算法流程 根据初始状态和反馈函数获得输出值,整体移位,用获得的输出值填充。如: c)算法实现 图2.1.1 LFSR实现 d)算法验证 本原多项式的周期为2^n-1。 选取16项本原多项式,得出的周期应为65535。 图
LFSR 和 m序列
热门推荐
hzgdiyer的专栏
11-27 1万+
翻译自:sharetechnote: LFSR LFSR (Linear Feedback Shift Register) - 线性反馈移位寄存器 LFSR 是一种移位寄存器电路,其两个或多个间步骤的输出线性组合并反馈到输入值,这就是为什么它被称为线性反馈移位寄存器的原因。 该电路具有以下特点: 如果初始状态相同,则最终会得到相同的输出序列(即输出序列是确定的); 输出序列趋向于随机序列(...
ctfmisc解题方法
08-01
CTF的Miscellaneous(简称Misc)是指一类涵盖了多个领域的题目,常见的包括密码学、网络协议、二进制分析等。 在CTF比赛,解决这类题目的方法主要有以下几种: 1. 阅读题目描述:首先要仔细阅读题目描述,通常会提供一些线索或提示,例如题目类型、题目背景或所需的技术知识。这些大致的信息能够帮助你确定解题方法的方向。 2. 分析题目附件或源代码:如果题目提供了附件或源代码,要仔细分析其的内容。有时可能需要进行逆向工程、二进制分析或查找隐藏信息。需要注意的是,不同题目类型可能需要使用不同的分析工具和技术。 3. 猜测和尝试:在整个解题过程,可能需要多次猜测和尝试。例如,对于密码学类题目,尝试使用不同类型的密码学算法进行解密;对于网络协议类题目,尝试使用Wireshark等工具进行数据包分析。 4. 查找前人的经验:CTF解题是一个积累经验的过程,很多题目类型都有经典解法,可以通过学习前人的经验来提高解题效率。可以参考CTF比赛的writeup、CTF讨论论坛或CTF相关的学习资源等。 5. 团队合作:在解题过程,可以与队友或其他选手进行合作,分享解题过程的思路和发现。这样可以锻炼团队合作的能力,也能够快速找到解题思路或解题方法。 综上所述,CTFMisc题目的解题方法主要包括阅读题目描述、分析附件或源代码、猜测和尝试、查找前人的经验以及团队合作等。通过不断学习和实践,提高解题的技巧和经验,才能更好地应对各种Misc题目的挑战。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

沐一 · 林

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值