BUUCTF
SameMod
根据给出的e1,e2算出根据扩展欧几里得算法推导出的模逆s1,s2,算出c1 ^ s1 mod n与 c2 ^ s2 mod n的乘积后mod n,就可以得出m
值得注意到的问题
这道题的密文用long_to_bytes(m),解出来是乱码
后来又学到一种print(binascii.unhexlify(hex(m).lstrip('0x'))),与上面结果相同
看了师傅写的WP后,发现是自己写的程序解码的
def get_flag(string):
flag=''
i=0
j=1
while i<len(string):
if int(string[i:i+j]) >= 33 and int(string[i:i+j]) <=126:
flag+=chr(int(string[i:i+j]))
i=i+j
j=1
else:
j+=1
return flag
大致就是遍历m字符串,根据ASCII码把m依次转换为字符,不知道这两种方法差在哪了,萌新问号
解题脚本
import gmpy2,exgcdmoni,binascii
from Crypto.Util.number import long_to_bytes
def get_flag(string):
flag=''
i=0
j=1
while i<len(string):
if int(string[i:i+j]) >= 33 and int(string[i:i+j]) <=126:
flag+=chr(int(string[i:i+j]))
i=i+j
j=1
else:
j+=1
return flag
e1=773
e2=839
n=6266565720726907265997241358331585417095726146341989755538017122981360742813498401533594757088796536341941659691259323065631249
c1=3453520592723443935451151545245025864232388871721682326408915024349804062041976702364728660682912396903968193981131553111537349
c2=5672818026816293344070119332536629619457163570036305296869053532293105379690793386019065754465292867769521736414170803238309535
s1,s2=exgcdmoni.exgcd(e1,e2)
if gmpy2.gcd(e1,e2)==1:
m=(gmpy2.powmod(c1,s1,n)*gmpy2.powmod(c2,s2,n))%n
print(get_flag(str(m)))
[RoarCTF2019]babyRSA
题目
import sympy
import random
def myGetPrime():
A= getPrime(513)
print(A)
B=A-random.randint(1e3,1e5)
print(B)
return sympy.nextPrime((B!)%A)
p=myGetPrime()
#A1=21856963452461630437348278434191434000066076750419027493852463513469865262064340836613831066602300959772632397773487317560339056658299954464169264467234407
#B1=21856963452461630437348278434191434000066076750419027493852463513469865262064340836613831066602300959772632397773487317560339056658299954464169264467140596
q=myGetPrime()
#A2=16466113115839228119767887899308820025749260933863446888224167169857612178664139545726340867406790754560227516013796269941438076818194617030304851858418927
#B2=16466113115839228119767887899308820025749260933863446888224167169857612178664139545726340867406790754560227516013796269941438076818194617030304851858351026
r=myGetPrime()
n=p*q*r
#n=85492663786275292159831603391083876175149354309327673008716627650718160585639723100793347534649628330416631255660901307533909900431413447524262332232659153047067908693481947121069070451562822417357656432171870951184673132554213690123308042697361969986360375060954702920656364144154145812838558365334172935931441424096270206140691814662318562696925767991937369782627908408239087358033165410020690152067715711112732252038588432896758405898709010342467882264362733
c=pow(flag,e,n)
#e=0x1001
#c=75700883021669577739329316795450706204502635802310731477156998834710820770245219468703245302009998932067080383977560299708060476222089630209972629755965140317526034680452483360917378812244365884527186056341888615564335560765053550155758362271622330017433403027261127561225585912484777829588501213961110690451987625502701331485141639684356427316905122995759825241133872734362716041819819948645662803292418802204430874521342108413623635150475963121220095236776428
#so,what is the flag?
分析
可以看出B比A小(1e3,1e5)中间的随机数,p和q的A,B都已给出,需要解决的难题就是大数的阶乘
另一个有特点的地方时本题的n由三个素数相乘得到,通过p,q可以知道r,而phin欧拉函数则需要(p-1)(q-1)(r-1),学到了
威尔逊定理
(p−1)!≡−1(mod p) p为质数
可以推出(p-2)!≡1 mod p
故若想求B!,就可以写出
(A-2)!≡1(mod A)
B! ((B+1)...(A-2))≡1 mod A
即B!与B+1到A-2互为关于A模逆
代码
def f(A,B):
s=1
for i in range(B+1,A-1):
s*=i
s%=A
return s
解密脚本
import sympy,gmpy2
from Crypto.Util.number import long_to_bytes
A1=21856963452461630437348278434191434000066076750419027493852463513469865262064340836613831066602300959772632397773487317560339056658299954464169264467234407
B1=21856963452461630437348278434191434000066076750419027493852463513469865262064340836613831066602300959772632397773487317560339056658299954464169264467140596
A2=16466113115839228119767887899308820025749260933863446888224167169857612178664139545726340867406790754560227516013796269941438076818194617030304851858418927
B2=16466113115839228119767887899308820025749260933863446888224167169857612178664139545726340867406790754560227516013796269941438076818194617030304851858351026
c=75700883021669577739329316795450706204502635802310731477156998834710820770245219468703245302009998932067080383977560299708060476222089630209972629755965140317526034680452483360917378812244365884527186056341888615564335560765053550155758362271622330017433403027261127561225585912484777829588501213961110690451987625502701331485141639684356427316905122995759825241133872734362716041819819948645662803292418802204430874521342108413623635150475963121220095236776428
n=85492663786275292159831603391083876175149354309327673008716627650718160585639723100793347534649628330416631255660901307533909900431413447524262332232659153047067908693481947121069070451562822417357656432171870951184673132554213690123308042697361969986360375060954702920656364144154145812838558365334172935931441424096270206140691814662318562696925767991937369782627908408239087358033165410020690152067715711112732252038588432896758405898709010342467882264362733
def f(A,B):
s=1
for i in range(B+1,A-1):
s=(s%A)*i
return s
def main():
p=sympy.nextprime(gmpy2.invert(f(A1,B1),A1))
q=sympy.nextprime(gmpy2.invert(f(A2,B2),A2))
e=0x1001
r=n//p//q
phin=(r-1)*(p-1)*(q-1)
d=gmpy2.invert(e,phin)
m=pow(c,d,n)
print(long_to_bytes(m))
if __name__=="__main__":
main()
RSA4
这道题解决困扰我许久的中国剩余定理,嗝
题目
N = 331310324212000030020214312244232222400142410423413104441140203003243002104333214202031202212403400220031202142322434104143104244241214204444443323000244130122022422310201104411044030113302323014101331214303223312402430402404413033243132101010422240133122211400434023222214231402403403200012221023341333340042343122302113410210110221233241303024431330001303404020104442443120130000334110042432010203401440404010003442001223042211442001413004
c = 310020004234033304244200421414413320341301002123030311202340222410301423440312412440240244110200112141140201224032402232131204213012303204422003300004011434102141321223311243242010014140422411342304322201241112402132203101131221223004022003120002110230023341143201404311340311134230140231412201333333142402423134333211302102413111111424430032440123340034044314223400401224111323000242234420441240411021023100222003123214343030122032301042243
N = 302240000040421410144422133334143140011011044322223144412002220243001141141114123223331331304421113021231204322233120121444434210041232214144413244434424302311222143224402302432102242132244032010020113224011121043232143221203424243134044314022212024343100042342002432331144300214212414033414120004344211330224020301223033334324244031204240122301242232011303211220044222411134403012132420311110302442344021122101224411230002203344140143044114
c = 112200203404013430330214124004404423210041321043000303233141423344144222343401042200334033203124030011440014210112103234440312134032123400444344144233020130110134042102220302002413321102022414130443041144240310121020100310104334204234412411424420321211112232031121330310333414423433343322024400121200333330432223421433344122023012440013041401423202210124024431040013414313121123433424113113414422043330422002314144111134142044333404112240344
N = 332200324410041111434222123043121331442103233332422341041340412034230003314420311333101344231212130200312041044324431141033004333110021013020140020011222012300020041342040004002220210223122111314112124333211132230332124022423141214031303144444134403024420111423244424030030003340213032121303213343020401304243330001314023030121034113334404440421242240113103203013341231330004332040302440011324004130324034323430143102401440130242321424020323
c = 10013444120141130322433204124002242224332334011124210012440241402342100410331131441303242011002101323040403311120421304422222200324402244243322422444414043342130111111330022213203030324422101133032212042042243101434342203204121042113212104212423330331134311311114143200011240002111312122234340003403312040401043021433112031334324322123304112340014030132021432101130211241134422413442312013042141212003102211300321404043012124332013240431242
分析
题目给出了三组N和C,可以想到低加密指数的广播攻击
一开始居然没发现还要由五进制转到十进制,百思不得其解后在WP中看到的555555
中国剩余定理
这里有一个收藏了很久的巨详细的博客:[点我点我](https://www.cnblogs.com/wkfvawl/p/9633188.html)
zgsy.png
先找出所有m的乘积M,Mi=M/mi
所得解x即为
zgsy2.png
代码
for i in range(0,len(c)):
N*=n[i]
for i in range(0,len(c)):
nn=N//n[i]
s=(s+c[i]*nn*exgcdmoni.moni(nn,n[i]))%N
五进制转十进制
一开始还傻fufu的自己写了一个
def wu_shi(n):
strlen=len(n)
s=0
for i in range(0,strlen):
s+=int(n[i])*pow(5,strlen-i-1)
return s
后来发现原来int(' ',5)就可以
解密脚本
import gmpy2,exgcdmoni
from Crypto.Util.number import long_to_bytes
c=[int(str(310020004234033304244200421414413320341301002123030311202340222410301423440312412440240244110200112141140201224032402232131204213012303204422003300004011434102141321223311243242010014140422411342304322201241112402132203101131221223004022003120002110230023341143201404311340311134230140231412201333333142402423134333211302102413111111424430032440123340034044314223400401224111323000242234420441240411021023100222003123214343030122032301042243),5),int(str(112200203404013430330214124004404423210041321043000303233141423344144222343401042200334033203124030011440014210112103234440312134032123400444344144233020130110134042102220302002413321102022414130443041144240310121020100310104334204234412411424420321211112232031121330310333414423433343322024400121200333330432223421433344122023012440013041401423202210124024431040013414313121123433424113113414422043330422002314144111134142044333404112240344),5),int(str(10013444120141130322433204124002242224332334011124210012440241402342100410331131441303242011002101323040403311120421304422222200324402244243322422444414043342130111111330022213203030324422101133032212042042243101434342203204121042113212104212423330331134311311114143200011240002111312122234340003403312040401043021433112031334324322123304112340014030132021432101130211241134422413442312013042141212003102211300321404043012124332013240431242),5)]
n=[int(str(331310324212000030020214312244232222400142410423413104441140203003243002104333214202031202212403400220031202142322434104143104244241214204444443323000244130122022422310201104411044030113302323014101331214303223312402430402404413033243132101010422240133122211400434023222214231402403403200012221023341333340042343122302113410210110221233241303024431330001303404020104442443120130000334110042432010203401440404010003442001223042211442001413004),5),int(str(302240000040421410144422133334143140011011044322223144412002220243001141141114123223331331304421113021231204322233120121444434210041232214144413244434424302311222143224402302432102242132244032010020113224011121043232143221203424243134044314022212024343100042342002432331144300214212414033414120004344211330224020301223033334324244031204240122301242232011303211220044222411134403012132420311110302442344021122101224411230002203344140143044114),5),int(str(332200324410041111434222123043121331442103233332422341041340412034230003314420311333101344231212130200312041044324431141033004333110021013020140020011222012300020041342040004002220210223122111314112124333211132230332124022423141214031303144444134403024420111423244424030030003340213032121303213343020401304243330001314023030121034113334404440421242240113103203013341231330004332040302440011324004130324034323430143102401440130242321424020323),5)]
s=0
N=1
for i in range(0,3):
N*=n[i]
for i in range(0,3):
nn=N//n[i]
s=(s+c[i]*nn*exgcdmoni.moni(nn,n[i]))%N
print(gmpy2.iroot(s,3))
[GUET-CTF2019]BabyRSA
给出p+q,(p+1)(q+1)可以直接得出n=(p+1)(q+1)-(p+q)-1,并给出了d和e,令我最百思不得其解的是
一直出乱码,在我的不断挣扎下,终于找到了记录这道题的博客,后来我发现原来是比赛的原题和平台上的题一个数差了一位,害人不浅啊啊啊啊啊啊啊
解密脚本
import gmpy2
from Crypto.Util.number import long_to_bytes
a=0x1232fecb92adead91613e7d9ae5e36fe6bb765317d6ed38ad890b4073539a6231a6620584cea5730b5af83a3e80cf30141282c97be4400e33307573af6b25e2ea
b=0x5248becef1d925d45705a7302700d6a0ffe5877fddf9451a9c1181c4d82365806085fd86fbaab08b6fc66a967b2566d743c626547203b34ea3fdb1bc06dd3bb765fd8b919e3bd2cb15bc175c9498f9d9a0e216c2dde64d81255fa4c05a1ee619fc1fc505285a239e7bc655ec6605d9693078b800ee80931a7a0c84f33c851740
e=0xe6b1bee47bd63f615c7d0a43c529d219
d=0x2dde7fbaed477f6d62838d55b0d0964868cf6efb2c282a5f13e6008ce7317a24cb57aec49ef0d738919f47cdcd9677cd52ac2293ec5938aa198f962678b5cd0da344453f521a69b2ac03647cdd8339f4e38cec452d54e60698833d67f9315c02ddaa4c79ebaa902c605d7bda32ce970541b2d9a17d62b52df813b2fb0c5ab1a5
c=0x50ae00623211ba6089ddfae21e204ab616f6c9d294e913550af3d66e85d0c0693ed53ed55c46d8cca1d7c2ad44839030df26b70f22a8567171a759b76fe5f07b3c5a6ec89117ed0a36c0950956b9cde880c575737f779143f921d745ac3bb0e379c05d9a3cc6bf0bea8aa91e4d5e752c7eb46b2e023edbc07d24a7c460a34a9a
n=b-a-1
plain = gmpy2.powmod(c,d,n)
print(long_to_bytes(plain))
