2024 XYCTF 部分题解
和同学keyboard,furina一起组了个xing战队打了这场XYCTF.说是新生赛但题目不算很容易,所以姑且记录一下.
标*的是赛后复盘的题目.
Crypto-happy_to_solve1
Python
1 | |
从题目条件可以推出 \(p+q=2^{512}+k\) ,其中k的大小不会很大。因此构造方程 \(x^2-(2^{512}+k)x+n=0\) ,利用该方程暴力搜索p+q即可。
Python
1 | |
Crypto-x0y
题目如下 Python1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43from Crypto.Cipher import AES
from Crypto.Util.Padding import pad
import os
flag = open("flag.txt", "rb").read()
key = os.urandom(16)
iv = os.urandom(16)
flag = pad(flag, 16)
def aes_encrypt(key, plaintext):
cipher = AES.new(key, AES.MODE_ECB)
return cipher.encrypt(plaintext)
def encrypt(key, plaintext, iv):
ciphertext = b""
for i in range(0, len(plaintext), AES.block_size):
key_block = aes_encrypt(key, iv)
ciphertext_block = bytes(
[plaintext[i + j] ^ key_block[j] for j in range(AES.block_size)]
)
ciphertext += ciphertext_block
iv = key_block
return ciphertext
while 1:
try:
print("1.print\n2.input\n3.exit")
a = input("> ")
if a == "1":
print((iv + encrypt(key, flag, iv)).hex())
elif a == "2":
ivs = bytes.fromhex(input("iv: "))
inputs = bytes.fromhex(input("message: "))
print(encrypt(key, inputs, ivs).hex())
elif a == "3":
exit(0)
else:
print("You need input 1,2,3")
except:exit(0)
# b8bade451e6cc96d6f1b1f3a9e0c76cddc21942c4adf94561b4003c7473df446caf7d88b8911ebde71c0716a67cba57460ffe68b84ccea0906dddfb19d9a7223
已知iv,且key是选定之后一直不变的,所以key_block其实也是一直不变的。构造一个与密文等长的'0'序列输入即可获取到key_block的值,随后与密文xor即得。
exp: Python1
2
3
4
5
6cipher=[0xdc,0x21,0x94,0x2c,0x4a,0xdf,0x94,0x56,0x1b,0x40,0x03,0xc7,0x47,0x3d,0xf4,0x46,0xca,0xf7,0xd8,0x8b,0x89,0x11,0xeb,0xde,0x71,0xc0,0x71,0x6a,0x67,0xcb,0xa5,0x74,0x60,0xff,0xe6,0x8b,0x84,0xcc,0xea,0x09,0x06,0xdd,0xdf,0xb1,0x9d,0x9a,0x72,0x23]
key=[0x84,0x78,0xd7,0x78,0x0c,0xa4,0xf5,0x6e,0x7a,0x24,0x37,0xa4,0x24,0x58,0xd9,0x7f,0xab,0xc4,0xed,0xa6,0xbd,0x20,0xdd,0xe9,0x5c,0xf9,0x14,0x5e,0x56,0xe6,0x95,0x43,0x56,0xca,0xd5,0xe9,0xb1,0xaa,0x8e,0x3e,0x36,0xbb,0xa2,0xbb,0x99,0x9e,0x76,0x27]
plain=""
for i in range(len(cipher)):
plain+=chr(cipher[i]^key[i])
print(plain)
Crypto-babyRSAMAX
Python
1 | |
gift1和gift2相加后与n进行gcd即可得到p,由此分解出p,q,迎刃而解。
Python
1 | |
Crypto-factor1
Python
1 | |
e过大,一眼Wiener Attack。需要注意的是,虽然从题目中的条件可以推知 \(ed\equiv 1 \bmod(\phi(N))\) ,但是因为d的范围,使用 \(N\) 去攻击并不能成功,而是要根据题目中的形式需要使用 \(N^3\) ,使得d落在可攻击范围之内。
Python
1 | |
这里解出的是 \(p^{3}, q^{3}\) ,开根后即得p,q。
Crypto-反方向的密码 相思
Python
1 | |
拿到题目后可以发现padding是很容易爆破的,因此相当于m的低位已知,考虑使用一元CopperSmith攻击如下等式: \[(low_m+x)^{3}-c\equiv{0}\bmod {n}\] 我们要求x的低256bits都是0,因此实际上可以化归为
\[(low_m+x<<256)^{3}-c\equiv{0}\bmod{n}\]
然后使用monic方法化为首一多项式,即可套用CopperSmith攻击并缩小x的攻击范围。
事实上题目中还给出了flag的高位XYCTF{,因此构造最终exp如下:
Python
1 | |
(比赛中这一题踩了相当严重的坑...Sagemath的small_roots方法默认情况下 \(\varepsilon=\frac{\beta}{8}\) ,如果不调小的话是无法攻击成功的😓GPT给出的建议反而是调大 \(\varepsilon\) 导致白白浪费了两天的时间,所以只能说有疑问还是得看文档)
Crypto-happy_to_solve2
Python
1 | |
题目原型是osu!gaming CTF
2024的wysi-prime。p,q的十进制数位分别只能是1,2,3和5,6,7,直接构造p,q后dfs即可。
Python
1 | |
Crypto-factor3
Python
1 | |
依然是e很大,考虑使用Wiener Attack——因为勒让德定理,我们知道只要保证对于 \(\phi(N)\) 的近似足够精确,连分数就可以覆盖到 \(\frac{k}{d}\) ,所以这里我们参照代码中 \(\phi(N)\) 的结构,构造exp如下:
Python
1 | |
Crypto-Complex_dlp
Python
1 | |
复数域上的DLP。看到题目我的第一反应是把复数看作二维矩阵,这样就可以转化到实数域上的矩阵DLP,然后将矩阵变换为Jordan标准型就可以愉快地一维DLP了——但是实操后发现题目的复数对应的矩阵特征值有0,导致Jordan标准型并不容易求得。 其实在题目要求的离散对数的同余模等式两边取模长就可以很轻松地处理为实数域上的DLP,但是我一时没想到模N的完全剩余系对加法和乘法封闭,反而一直在考虑如何在扩域上继续尝试求解Jordan标准型。直到我开始考虑另一道Complex_RSA的时候我才想到取模长的方法——想到这里就迎刃而解,而此时距离我第一次尝试本题已经过去3天了。 exp如下:
Python
1 | |
Crypto-LCG_and_HNP
Python
1 | |
泄露了30轮的seed的高位。泄露的高位非常少,直觉告诉我是用不了CopperSmith的,遂研究了下格攻击。 罗列一下我们知道的信息。记每一轮中已知的高位为 \(h_i\) ,未知的低位为 \(l_i\) ,我们有 \[(h_i+l_i)\equiv (a*(h_{i-1}+l_{i-1})+b)\bmod p\] 然后递推一下: \[\begin{aligned} & \left(h_2+l_2\right) \equiv a *\left(h_1+l_1\right)+b(\bmod m) \\ & l_2 \equiv a * l_1+a * h_1+b-h_2(\bmod m) \\ & l_2 \equiv A_1 * l_1+B_1(\bmod m) \text { 【设 } A_1=a ; B_1=a * h_1+b-h_2 \text { 】 } \\ & l_3 \equiv a * l_2+a * h_2+b-h_3(\bmod m) \\ & l_3 \equiv a * A_1 * l_1+a * B_1+a * h_2+b-h_3(\bmod m) \\ & l_3 \equiv A_2 * l_1+B_2(\bmod m) \text { 【设 } A_2=a * A_1 ; B_2=a * B_1+a * h_2+b-h_3 \text { 】 }\end{aligned}\] 想恢复seed可以先考虑恢复 \(l_1\) ,我们需要一个线性组合后能组合出 \(l_1\) 的格基。 那么构造格M如下 \[M=\left[\begin{array}{cccccc}m & & & & & \\ & m & & & & \\ & & \ddots & & & \\ & & & m & & \\ A_1 & A_2 & \ldots & A_{29} & 1 & \\ B_1 & B_2 & \ldots & B_{29} & 0 & 2^{128}\end{array}\right]\] 对M进行LLL攻击,就有可能覆盖到一个形如 \([l_2,l_3,\dots,l_30,l_1,2^{128}]\) 的向量v(容易看出v在M的行向量构成的格内且v的长度并不很大)
取得 \(l_1\) 之后就可以恢复seed:
Python
1 | |
Crypto-fakeRSA
Python
1 | |
将矩阵处理成Jordan标准型即可。思路不难,主要是不了解题目中的代码写法技巧,最终通过几次实验推测出了题目要求。 实际上题目要求的是满足 \(A^{flag}\times\beta=\gamma\) 的flag值。
Python
1 | |
Crypto-Random_rr
Python
1 | |
Python内置的随机数发生器是MT19937,因此获取输出的624个32bit随机数就可以探明随机数发生器的内部状态从而预测随后所有的随机数序列。
此时拿到了key,接下来只要恢复中间使用的ks,再对前面两个式子做gcd就可以了。我不确定能否直接用randcrack预测ks去恢复,所以选择从最后一个式子里恢复ks,需要处理dlp。
最后一个式子的模数形式比较特别,可以用p-adic的discrete_log去求解dlp。感谢maple佬的blog,又学到了新的数学处理手法。
Python
1 | |
Re-砸核桃
本题纯纯的非预期。
首先查壳发现是北斗壳,上传VT发现首次上传时间是2019年。考虑到这还是个在CTF比赛里出现的crackme,所以很可能是之前某次比赛的题目。以"北斗+crackme"为关键词检索得到这篇文章
好了,这下就不用手动脱壳了,很容易吧(
Re-今夕是何年
不知道是什么架构的可执行文件,扔VT上看一看发现是Loongarch. 其实直接查看链接的库也能发现是Loongarch。
参照这篇文章配置QEMU环境,运行后获得flag。
Misc-TCPL
同样的手法,识别出是RISC-V架构的可执行文件,配置QEMU环境运行即得。
Misc-ZIP神之套
经典明文攻击,没什么可说的。
Misc-美妙的歌声
频谱图里藏有密码,拿去DeepSound解密即可。
*Crypto-反方向的密码 情难
啥比题目,flag长度足足有73字节,爆破的范围没覆盖到导致赛场上没解出来。本身是很显然的二元CopperSmith。
python1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65N = 26278624299187148406559772770865336226934633734285979741424867540828670397865189685966828527168795621543490979182417570078991930822041468539855006585233692884235331084907340302530060261742100702658312435180527335101284800616106884692498603300926488358017928867672861988448488439356448543527810620591324774111321619391264173779312033252573140028630441135269056099074531502841259940379636699304810677716177080486265721322966814104627525953974143476452058638927511594884002185219080847495835727300670028011001853179659250270200020884333850083063514830095064730932997593930711871108436386821290545084229347398808220810263
c = 3335299537518434350008670067273514020883265809787658909900831303201069228111667477512288715627313377374377192065531931991830331266940281529429758933125645068623703704431432931062515459304407129764836169638068667723468109909932687335727824459807903558617156661138991973933280805156893120951135488168923425258119689993859896540097318197048436676318334502053269738046279338047497258783747007084564814994803144049365117574904704816542523015746396519693505167963245600047742456478545640334467678554748227823020862550712083249012329745708139070338928730226897923885785783461594034339595106377701306570280371612953393097739
import itertools
import hashlib
from Crypto.Util.number import *
def small_roots(f, bounds, m, d=None):
if not d:
d = f.degree()
R = f.base_ring()
N = R.cardinality()
f /= f.coefficients().pop(0)
f = f.change_ring(ZZ)
G = Sequence([], f.parent())
for i in range(m+1):
base = N^(m-i) * f^i
for shifts in itertools.product(range(d), repeat=f.nvariables()):
g = base * prod(map(power, f.variables(), shifts))
G.append(g)
B, monomials = G.coefficient_matrix()
monomials = vector(monomials)
factors = [monomial(*bounds) for monomial in monomials]
for i, factor in enumerate(factors):
B.rescale_col(i, factor)
B = B.dense_matrix().LLL()
B = B.change_ring(QQ)
for i, factor in enumerate(factors):
B.rescale_col(i, 1/factor)
H = Sequence([], f.parent().change_ring(QQ))
for h in filter(None, B*monomials):
H.append(h)
I = H.ideal()
if I.dimension() == -1:
H.pop()
elif I.dimension() == 0:
roots = []
for root in I.variety(ring=ZZ):
root = tuple(R(root[var]) for var in f.variables())
roots.append(root)
return roots
return []
def hash(x):
return bytes_to_long(hashlib.sha512(x.encode()).digest() * 2)
def boneh_durfee():
print('Boneh Durfee')
P.<x,y> = PolynomialRing(Zmod(N))
for LEN in range(65,80):
pad_len = hash(str(LEN)).bit_length()
f=(y + hash(str(LEN)) * 2^(8 * (LEN-LEN//2)) + x*(2^(pad_len + 8 * (LEN//2))))^2-c
print(small_roots(f, bounds = (2^(8*(LEN//2)),2^(8*(LEN-LEN//2))), m=1, d=4))
if __name__ == '__main__':
boneh_durfee()
2024 XYCTF 部分题解
https://eupho.me/66c38848.html