1.Signer
阅读源码,同时nc一下我们会发现,该题是ECDSA签名。选项1是使用ECDSA对一个当前时间戳+salt进行签名,输出(R,S,HASH),。选项2是让我i们输入使用ECDSA对一个当前时间戳+get_flag进行签名的结果,输入正确获得flag。我们发现在签名过程中除了明文以外所用的参数都没有发生更改,所以我们可以使用k共享的方式对改签名进行攻击。其原理如下
已知ECDSA的签名过程是,所以当我们有两组同参数的签名明文hash1,hash2和签名值(r,s1),(r,s2),那么
,
。
所以我们首先拿到两组签名(R,S1,HASH1),(R,S2,HASH2),解出ECDSA签名的k,d。然后使用解出的k,d对当前时间戳+get_flag的hash值加密返回即可
import os
import random
from ecdsa import ecdsa as ec
from datetime import datetime
RNG = random.Random()
import hashlib
import gmpy2
g = ec.generator_192
n = g.order()
print(g)
print(n)
N=6277101735386680763835789423176059013767194773182842284081
r1=4736040515387461309866734896535655436667638303477697365380
r2=4736040515387461309866734896535655436667638303477697365380
s1=5204426408935289197089875131319494794918540773567033645970
s2=768285558665836815315860950001970811812718127828187606328
h1=66993899777348338074223955700835891737
h2=229143072580361283069474942962460641570
k=((h1-h2)*gmpy2.invert((s1-s2),n))%n
d=((s1*k-h1)*gmpy2.invert(r1,n))%n
print(k,d)
time = "13:00:36"
to_check = int(hashlib.md5(f"{time}:get_flag".encode()).hexdigest(), 16)
s=((to_check+r1*d)*gmpy2.invert(k,n))%n
print("%d,%d"%(r1,s))
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
