defcon-ctf qualifer crypto writeup

最新推荐文章于 2024-05-07 13:30:00 发布
最新推荐文章于 2024-05-07 13:30:00 发布
阅读量819 收藏
点赞数
分类专栏: crypto ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhang14916/article/details/106389070
版权
ctf 同时被 2 个专栏收录
30 篇文章 5 订阅
订阅专栏
crypto
20 篇文章 2 订阅
订阅专栏

ooo-flag-sharing

阅读题目,我们发现这是一个密钥分享的密码系统。题目使用100*5的矩阵A对填充为5*1明文向量C(向量第一个数是明文)加密得到100*1的向量B。在系统中保存部分向量数据b1,b2……,并将剩下的向量数据b3,b4……分发。当我们和系统由于5个向量数据b1,b2,b3,b4,b5。我们就可以将A中对应向量行组合成一个新矩阵,并求得逆矩阵A^{-1}。我们将A^{-1}的第一行(s1,s2,s3,s4,s5)和密文向量(b1,b2,b3,b4,b5)相乘即为明文。即m=s1*b1+s2*b2+s3*b3+s4*b4+s5*b5。在redeem_actual_flag中系统中有两个向量B的数据bn,bm。和用户发送3个向量B的数据组合解密。我们可以将b5更改为b5+a*s5^-1。这时我们发现解密结果变为m+a。已知m的最低为是OOO{,并且在redeem_actual_flag()中进行检验flag的头部是OOO{。由于整个操作在模p之下,所以我们尝试改变a,且不改变m的低位“OOO{"。当m+a>=p的时候。我们发现解密的结果结尾不再是OOO{。当m+a<p的时候,我们发现解密的结果结尾是OOO{。这时我们找到临界值a,计算p-a获得m。

首先我们首先使用share_actual_flag()获得一组密文[(numi,bnumi),(numj,bnumj),(numk,bnumk)]

这里我们发现在上述方案中我们需要知道p。我们首先在相同的flagid下输入密文[(0,1),(1,0),(2,0),(3,0),(4,0)]。我们可以得到s1。然后我们更改密文为[(0,2),(1,0),(2,0),(3,0),(4,0)]……[(0,n),(1,0),(2,0),(3,0),(4,0)]。获得a*s1。当我们发现a*s1>a*s1mopp。我们相减获得p。

其次我们需要知道s5^-1是多少。我们可以尝试输入向量(0,0,0,0,1)从而获得s5,继而获得s5^-1。我们需要知道在redeem_actual_flag()中系统中存储的bn和bm具体是对应哪一行。所以我们需要进行爆破。不断输入密文[(i,0),(j,0),(numi,0),(numj,0),(numk,1)]解出a5,再计算a5^-1。我们将b5改为b5+(1<<32)*s5^-1。当验证成功时。说明我们爆破成功,已经获得a5^-1。我们再按照上面的方案求解处flag

#!/usr/bin/env python3
import ast
import copy
from pwn import *
from Crypto.Util.number import *

r = remote('ooo-flag-sharing.challenges.ooo', 5000)
#r = remote('127.0.0.1', 20000)

name = 'hahaha'
r.sendlineafter('Username: ', name)

def redeem(secret_id, shares):
    r.sendlineafter('Choice: ', '2')
    r.sendlineafter("Enter the secret's ID: ", secret_id)
    r.sendlineafter("Enter your shares of the secret: ", str(shares))
    r.recvuntil("Your secret is: ")
    secret = r.recvline().strip()
    return int.from_bytes(eval(secret), 'little')

def store_flag():
    r.sendlineafter('Choice: ', '3')
    r.recvuntil("Our secret's ID is: ")
    secret_id = r.recvline().strip().decode()
    r.recvuntil("Your shares are: ")
    shares = ast.literal_eval(r.recvline().strip().decode())
    return secret_id, shares

def redeem_flag(secret_id, shares):
    r.sendlineafter('Choice: ', '4')
    r.sendlineafter("Enter the secret's ID: ", secret_id)
    r.sendlineafter("Enter your shares of the secret: ", str(shares))
    return r.recvline().startswith(b'Congrats')

secret_id, shares = store_flag()
a = redeem(secret_id, [(0, 1)] + [(i, 0) for i in range(1, 5)])

now = 1
while True:
    now += 1
    aa = redeem(secret_id, [(0, now)] + [(i, 0) for i in range(1, 5)])
    P = a * now - aa
    if P > 0:
        print(f'P = {P}')
        break

shares = sorted(shares)

for i in range(1, 100):
    for j in range(i + 1, 100):
        if i in [shares[x][0] for x in range(3)] or j in [shares[x][0] for x in range(3)]:
            continue

        print(i, j)

        fake_shares = sorted([(s[0], 1 if s == shares[-1] else 0) for s in shares] + [(i, 0), (j, 0)])
        a = redeem(secret_id, fake_shares)
        ai = inverse(a, P)

        fail = False
        for k in range(1, 3):
            newshares = copy.deepcopy(shares)
            newshares[2] = (newshares[2][0], (newshares[2][1] + ai * (k << 32)) % P)
            valid = redeem_flag(secret_id, newshares)
            if not valid:
                fail = True
                break

        if not fail:
            L = 0
            H = P >> 32
            while L != H:
                print(((P >> 32) - L).to_bytes(32, 'little'))
                print(((P >> 32) - H).to_bytes(32, 'little'))
                M = (L + H) >> 1
                newshares = copy.deepcopy(shares)
                newshares[2] = (newshares[2][0], (newshares[2][1] + ai * (M << 32)) % P)
                valid = redeem_flag(secret_id, newshares)
                if valid:
                    L = M + 1
                else:
                    H = M
            exit()

coooppersmith

对文件逆向,我们发现这是一个RSA加密。首先需要我们输入一个120位的数字。之后系统在我们的数字后加8位并将其更改为一个素数。然后借助该素数生成RSA的私钥和公钥。当公钥中的n小于消息长度的时候将会报错。所以我们需要输入一个尽量小的数字。既保证运算的简单。有保证可以对消息进行加密。这里我们尝试输入数字000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000010000000000000000000。系统将会在[0,0x10000]中随机生成一个数s和0x1000000000000000000000000000相加为x。当x是素数的时候,就从[1,x]之中随机生成a,b。使得p=(2*x*a)+1,q=(2*x*b)+1。我们获得n=p*q。之后将n和e组合成公钥输出。并输出又该公钥加密的消息。

我们发现n=p*q=((2*x*a)+1)*((2*x*b)+1)=(4*x*x*a*b)+(2*x*a)+(2*x*b)+1。而(n-1)%x=0。我们可以借助此首先将x爆破出来。然后继续推算a,b。由于n-1=(4*x*x*a*b)+(2*x*a)+(2*x*b),(n-1)/(2*x)=(2*x*a*b)+a+b。由于a+b<2*x。所以((n-1)/(2*x))%(2*x)=a+b.然后我们计算((n-1)/(2*x)-(a+b))=2*x*a*b。((n-1)/(2*x)-(a+b))/(2*x)=a*b。我们已知a+b和a*b。那么a-b=\sqrt{(a+b)^{2}-4*a*b},a=((a+b)+(a-b))/2,b=a+b-a。我们已知a,b。即可轻松获得p,q。我们获取私钥后即可对消息解密。

import gmpy2
from Crypto.PublicKey import RSA
def shuchu(mingwenstr):
    if mingwenstr[len(mingwenstr)-1]=='L':
        mingwenstr=mingwenstr[2:len(mingwenstr)-1]
    else:
        mingwenstr=mingwenstr[2:len(mingwenstr)]
    if not len(mingwenstr)%2==0:
            mingwenstr='0'+mingwenstr
    i=len(mingwenstr)
    mingwen=""
    while i>=1:
        str1=mingwenstr[i-2:i]
        if int(str1,16)>33 and int(str1,16)<126:
            mingwen=chr(int(str1,16))+mingwen
        else :
            mingwen=" "+mingwen
        i=i-2
    print mingwen

pubkey="""-----BEGIN RSA PUBLIC KEY-----
MD0CNkrHjOABLwGYp+ILQURK13nBx4JzR7PBTERgWlTfizn2WLs8xvD0S0w8v2BR
3jkoQ3Lk2al72QIDAQAB
-----END RSA PUBLIC KEY-----"""
key=RSA.importKey(pubkey)
n=key.n
e=key.e
prime=0x1000000000000000000000000000
for i in xrange(0x1000000):
    primex=prime+i
    if gmpy2.is_prime(primex):
        if (n-1)%primex==0:
            prime=primex
            print primex
            break

aandb=((n-1)/(2*prime))%(2*prime)
c=0x216f28e567436bb97d6d5bc084be2f816eb7b3d6d2f4d7765de28f9cf5279c63ce7272dd9902fe0d0e03209189f9cf694e5c8325f61f
amulb=(((n-1)/(2*prime))-aandb)/(2*prime)
print gmpy2.iroot(pow(aandb,2)-4*amulb,2)[1]
asubb=gmpy2.iroot(pow(aandb,2)-4*amulb,2)[0]
a=(aandb+asubb)/2
b=aandb-a
print a,b
assert a+b==aandb
assert a*b==amulb
p=2*prime*a+1
q=2*prime*b+1
assert n==p*q
print p,q
phi=(p-1)*(q-1)
d=gmpy2.invert(e,phi)
m=pow(c,d,n)
shuchu(hex(m))

 

逃课的小学生
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JavaScript逆向调试记 —— defcon threefactooorx writeup
离别歌
05-04 537
defcon 29就这一道Web题目,说实话也没学到啥东西,唯一学到的就是勿钻牛角尖,及时调整策略。此题严格来说算一道逆向题,只不过逆向的目标是混淆过JavaScript,我方法就是硬逆,...
Defcon China 靶场题 - 内网渗透Writeup
dengzhasong7076的博客
05-12 365
对内网渗透的题目挺感兴趣的,所以做了一发。 先给个拓扑图 1. wordpress http://192.168.1.2/是一个wordpress 文件上传: http://192.168.1.2/wp-content/uploads/ 后台可admin/admin登录 ssh可root/admin登录 2. word cve钓鱼 从配置中看到有个文档web的配置 http的lo...
这些CTF,不仅学技术,还有巨额奖金!
最新发布
Z4400840的博客
05-07 678
不会吧,不会吧,不会还有安全er不知道CTF是什么吧?在程序员的世界里,也有ACM这样的编程大赛,成为各路编程高手一较高下展示能力的平台。那在网络安全的圈子里,各路黑客红客白帽子们又是如何秀出他们的狂拽炫酷吊炸天的技术的呢?CTF(Capture The Flag)中文翻译就是夺旗比赛,这是网络安全领域技术人员之间进行技术竞技的一种比赛形式。比赛通过技术问题闯关形式,获取题目的Flag,从而获得分值。技术面涉及编程开发、程序逆向分析、破解、漏洞攻击、网络渗透、加解密等方面。
defcon quals 2016 feedme writeup
jmp esp
07-07 854
题目基本信息一个32位的二进制文件,静态链接 checksec:[*] '/home/vagrant/ctf/practice/defcon-2016/pwn/feedme/feedme' Arch: i386-32-little RELRO: No RELRO Stack: No canary found NX: NX enable
[DEFCON全球黑客大会] 针对CTF,大家都是怎么训练的?
weixin_34221073的博客
01-31 215
https://www.zhihu.com/question/30505597 https://www.zhihu.com/question/42067737
CTFshow_年CTF 2023
weixin_45908624的博客
01-28 762
_年CTF
Defcon - 2015 - 初赛 - r0pbaby writeup-附件资源
03-02
Defcon - 2015 - 初赛 - r0pbaby writeup-附件资源
defcon-2018:DEFCON 2018资格报告
05-19
DEFCON 2018预录Perfect_blue团队的资料我们作为一个由8名高中生组成的团队参加了比赛,我们获得了第26名。
defcon-23-slides-only
05-16
仅限defcon-23-slides Defcon 23的另一面幻灯片。 我对此材料不拥有任何权利,这只是一面镜子。 请注意,大多数“额外”文件夹都是空的。
writeup:CTF挑战撰写
05-28
Defcon中国CTF(BCTF)1.0撰写 :MTP撰写 :TokyoWesterns CTF 5th 2019 WriteUp :HITCON CTF 2019 :简易PHP UAF :BroadcastTest :2020 de1ctf写入 :0CTF / TCTF 2020质量报告 :GeekPwn云上挑战赛 ...
CTF简介和题目类型简介
2201_75362610的博客
03-08 1210
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”。
CTFCTF(夺旗赛)介绍
WenZhongxiang
10-06 4145
CTF攻防模式(Attack-Defense)是CTF比赛的一种模式,参赛队伍在网络空间互相进行攻击和防守,挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢分。需要具备安全编程的能力,能够编写安全的代码等等。CTF比赛的知识范围大致分为:Web安全、PWN(二进制安全)、逆向工程、Misc(杂项)、Crypto(密码学安全)、网络安全。国外:ctftime.org 是对一个在国际上比较重要的赛事的做一些记录,而且会还会给出赛事的一些权重,以及对这种CTF 知名战队的一些排名。
什么是CTF?打CTF的意义是什么?(附网络安全入门教程)
z099164的博客
07-03 1647
什么是CTF?打CTF的意义是什么?(附网络安全入门教程)
DEFCON 20 CTF 磁盘取证分析题目
蚁景网安学院
04-08 2460
这是一道取证分析题目,主要考察取证分析能力,包括磁盘文件恢复、图片文件修复、数据分析、图片隐写信息提取等。 本次实验题目地址:《DEFCON 20 CTF Quals Forensic 200》。 题目提供了一个disk.img文件,我们首先可以尝试使用DiskGenius来查看其中的文件。打开DiskGenius_4.3.exe,依次选择“硬盘”、“打开虚拟硬盘文件”菜单项,如下图所示: 使用DiskGenius打开C:\CTF\DiskForensics\4\disk.img文件之后,可以看到在磁盘的
什么是网络安全CTF?有何意义?到底该如何入门?
Y525698136的博客
03-29 335
安全公司多多少少会参考你之前在各大CTF中的战绩,但其他的互联网公司不一定,主要还是看自己的实力。一般来说,CTF打得好的赛棍去搞点别的同样能够胜任。
网络安全大赛
weixin_74789176的博客
02-05 4620
和往常一样,VMware 是本类别的主要目标,VMware ESXi 和 VMware Workstation 都是其中的目标,赏金分别是15万美元和8万美元。这些外卡赛通常也是一些质量很高的重量级比赛,比如今年就包括有PlaidCTF,Boston Key Party,Ghost in the Shellcode,SECCON CTF,RuCTFE以及去年的DEFCON CTF决赛,只有获得这些比赛的冠军才能够获得DEFCON决赛的入场券,所以难度一点也不比参加预赛低。2017年举办的第一届。
[CTF-攻防世界]Miscellaneous-200
Luistin的博客
01-14 483
1.题目描述有一个Flag在这里,我们点进去会进入https://adworld.xctf.org.cn/challenges/list?3.用python,写代码,一定要把文本文件和代码放在一起,然后代码的目录就会生成一个flag.png,flag:​flag{ youc@n’tseeme }​。2.压缩包里面有一个文本文档,看着是三色值(RGB),使用PIL,可以从给定的RGB值逐个像素绘制一个图像。
【PWN系列】2015-Defcon Qualifier R0pbaby
Vicl1fe的博客
02-06 807
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 题目: https://github.com/ctf-wiki/ctf-challenges 分析 先拖到ida分析。顺序大概运行程序看看。 ida图片就不截图了太长了。 分析了一下,程序有三个功能 第一个功能是获取libc的地址。 第二个功能是获取函数的地址 第三个功能可以输入一些东西。 漏洞就出在第三...
Defcon CTF Qual 2020 部分 wp
蚁景网安学院
05-20 1304
Defcon CTF Qual 2020部分wp今日小满固定布局 工具条上设...
一些知名的CTF平台有哪些
07-13
4. DEFCON CTFDEFCON CTFDEFCON(世界上最大的黑客大会之一)上举办的CTF比赛,被认为是全球最具竞争力和高水平的CTF之一。 除了这些知名平台之外,还有许多其他组织和团队会举办自己的CTF比赛。你可以通过关注...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值