buuctf-RSA1

已于 2022-12-03 15:56:32 修改
阅读量1.9k 收藏 27
点赞数 13
CC 4.0 BY-SA版权
分类专栏: ctf buuctf 文章标签: 密码学 rsa
于 2022-12-03 15:54:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fevergun/article/details/128162539

buuctf-RSA1

最近被问到这道题,现在网上的答案可能有点问题,因为大多数看这道题的都是新人,在这里写一个新的wp。

题目:

p = 8637633767257008567099653486541091171320491509433615447539162437911244175885667806398411790524083553445158113502227745206205327690939504032994699902053229 
q = 12640674973996472769176047937170883420927050821480010581593137135372473880595613737337630629752577346147039284030082593490776630572584959954205336880228469 
dp = 6500795702216834621109042351193261530650043841056252930930949663358625016881832840728066026150264693076109354874099841380454881716097778307268116910582929 
dq = 783472263673553449019532580386470672380574033551303889137911760438881683674556098098256795673512201963002175438762767516968043599582527539160811120550041 
c = 24722305403887382073567316467649080662631552905960229399079107995602154418176056335800638887527614164073530437657085079676157350205351945222989351316076486573599576041978339872265925062764318536089007310270278526159678937431903862892400747915525118983959970607934142974736675784325993445942031372107342103852

在这里插入图片描述

网上答案基本都是同一种形式,核心代码为:m = (((m1-m2)*I)%p)*q+m2。其实推导是没问题的,但是真正起作用的只有m2,因为m1 = m2,所以后面的推到没有任何意义。

m1、m2或者说mp、mq就是m。

wp:

根据费马小定理:
在这里插入图片描述

RSA解密原理:
在这里插入图片描述

根据上面对于dp的定义:
在这里插入图片描述

所以我们可以得到结论:
在这里插入图片描述

from Crypto.Util.number import *

c = 24722305403887382073567316467649080662631552905960229399079107995602154418176056335800638887527614164073530437657085079676157350205351945222989351316076486573599576041978339872265925062764318536089007310270278526159678937431903862892400747915525118983959970607934142974736675784325993445942031372107342103852
p = 8637633767257008567099653486541091171320491509433615447539162437911244175885667806398411790524083553445158113502227745206205327690939504032994699902053229 
dp = 6500795702216834621109042351193261530650043841056252930930949663358625016881832840728066026150264693076109354874099841380454881716097778307268116910582929

m = pow(c, dp, p)
print(long_to_bytes(m))

c = 24722305403887382073567316467649080662631552905960229399079107995602154418176056335800638887527614164073530437657085079676157350205351945222989351316076486573599576041978339872265925062764318536089007310270278526159678937431903862892400747915525118983959970607934142974736675784325993445942031372107342103852
q = 12640674973996472769176047937170883420927050821480010581593137135372473880595613737337630629752577346147039284030082593490776630572584959954205336880228469
dq = 783472263673553449019532580386470672380574033551303889137911760438881683674556098098256795673512201963002175438762767516968043599582527539160811120550041 

m = pow(c, dq, q)
print(long_to_bytes(m))

以上是wp。

推广到一般情况:

如果m > p 或者 m > q的情况又如何呢?这里自己写了一道差不多的题目,m满足上述情况。

task.py:

from Crypto.Util.number import *
p = getPrime(512)
q = getPrime(512)
e = getPrime(256)
	
print(f"p = %d" %p)
print(f"q = %d" %q)
print(f"e = %d" %e)

flag = b'Hello_world_I_am_coming_soon_Please_Waiting_for_me_Thank_you_very_Much!'
d = inverse(e, (p - 1) * (q - 1))

dp = d % (p - 1)
dq = d % (q - 1)

print(f"dp = %d" %dp)
print(f"dq = %d" %dq)

m = bytes_to_long(flag)
n = p * q
c = pow(m, e, n)

print(f"c = %d" %c)

'''
p = 6926931481661163158206322888609703633942281936041380098286251687188506967049414186037659658699187264906821810864635760898979690990756966551278021578998291
q = 12998690832506339440015053745748265344656526216265161654959849049366323002124065092154594716191578843135977811678682838871858697526858995984329380419980913
e = 71128804286988599007039290915038713271044413888167730003577897256139934935941
dp = 6148889404402536590508011446935790843614514839697585326158290024496841220326631544116014497689044476534601498480223872263477602191884044930126752836047231
dq = 9493121201048858715333174956142964789148065600348765586344609365888884217574018356225202124154002902916927219527185254432280397558121173773344086749082285
c = 78375263660593211120584078796453000342814240208394759659717637470351553783389111880446991272503062126743438797053252454888827540106185629197886465642880244388047960613996334135707469056334135130788403395848687900303886160920202526479321695441298525541071076842525224671835263271188257203429419770213288719223
'''

根据上述理论:

在这里插入图片描述

这里就可以用中国剩余定理(CRT)来解答了。

简单来说,如果除数互相互素,我们知道除数的集合及其余数的集合,那我们可以利用中国剩余定理来求出被除数。这里我们知道余数的集合是{mp,mq},除数的集合是{p, q},被除数就是m。

exp:

from Crypto.Util.number import *
from gmpy2 import *
#中国剩余定理CRT
#aList是余数,mList是n的集合。
def CRT(aList, mList):
    M = 1
    for i in mList:
        M = M * i   #计算M = ∏ mi
    #print(M)
    x = 0
    for i in range(len(mList)):
        Mi = M // mList[i]   #计算Mi
        Mi_inverse = invert(Mi, mList[i]) #计算Mi的逆元
        x += aList[i] * Mi * Mi_inverse #构造x各项
    x = x % M
    return x

p = 6926931481661163158206322888609703633942281936041380098286251687188506967049414186037659658699187264906821810864635760898979690990756966551278021578998291
q = 12998690832506339440015053745748265344656526216265161654959849049366323002124065092154594716191578843135977811678682838871858697526858995984329380419980913
e = 71128804286988599007039290915038713271044413888167730003577897256139934935941
dp = 6148889404402536590508011446935790843614514839697585326158290024496841220326631544116014497689044476534601498480223872263477602191884044930126752836047231
dq = 9493121201048858715333174956142964789148065600348765586344609365888884217574018356225202124154002902916927219527185254432280397558121173773344086749082285
c = 78375263660593211120584078796453000342814240208394759659717637470351553783389111880446991272503062126743438797053252454888827540106185629197886465642880244388047960613996334135707469056334135130788403395848687900303886160920202526479321695441298525541071076842525224671835263271188257203429419770213288719223


m1 = pow(c, dp, p)
m2 = pow(c, dq, q)

print(long_to_bytes(m1))
print(long_to_bytes(m2))

print("=======================================")
m = CRT([m1, m2], [p, q])
test = long_to_bytes(m)
print(test)

d = inverse(e, (p - 1) * (q - 1))
print(long_to_bytes(pow(c, d, p * q)))
日常练习+学习之BUUCTF rsarsa1
Forehub的博客
07-19 1169
BUUCTF rsarsa1 由题可知这是一道rsa 打开压缩文件可以得到p,q,e 于是我们可以联想到之前RSA那道题,是同一个类型的升级 我们用RSA Tool 2工具 将number base改为10,e转化为十六进制 进制转化工具.填入对应位置,点击左下方的Calc.D,得到d 以下是具体操作 由此,我们可以得到` p=964842302901051567659055174001042653494573763923573980064398935203985250729849139956103500
buu RSA1
ao52426055的博客
11-26 2310
查看题目 类型:dp+dq+p+q+c = m 已知dp dq泄露 使用脚本dp+dq+p+q+c = m 这个就用python来写即可 p = 8637633767257008567099653486541091171320491509433615447539162437911244175885667806398411790524083553445158113502227745206205327690939504032994699902053229 q = 1264067497399647276917
BUUCTF RSA 1
YueXuan_521的博客
06-08 958
BUUCTF RSA 1 注意:得到的 flag 请 将 noxCTF 替换为 flag ,格式为 flag{} 提交。Python代码求解。或用工具求解,参考这篇文章。
RSA加密算法(1
今天的博客
12-16 376
RSA加密算法(1) 定义 RSA加密算法是一种非对称加密算法。 RSA算法的可靠性 极大整数做因数分解的难度 扩展: 整数分解(素因数分解) 1、一个正整数写成几个约数的乘积 2、完整的因子列表可以根据约数分解推导出,将幂从零不断增加直到等于这个数。 如:45 的两大约数 为 3 和 5。 3、给出两个大约数,很容易就能将它们两个相乘。但是,给出它们的乘积,找出它们的因子就显得不是那么容易了。 算法: 特殊用途算法 一个特别的因子分解算法的运行时间依赖它本身的未知因子:大小,类型等等。在不同的算法之间运行
BUUCTF-crypto-RSA1
最新发布
2301_80331121的博客
06-24 163
处理大整数运算(求逆元、幂取模)的库,适合 RSA 大数场景。取模的结果(加速解密的预处理参数 )。:RSA 私钥分解出的两个大素数((3) 合并结果还原明文。我们使用一串代码来解决。
buuctf-rsa_1
m0_64236521的博客
03-22 641
我们可以看到两个文件,根据题目,是rsa加密,如果不太了解rsa加密的可以去 https://blog.youkuaiyun.com/gao131360144/article/details/79966094 看看 将pub.key用记事本打开得到加密公钥 再进入 http://www.hiencode.com/pub_asys.html 对公钥进行解析,我们便得到了e,n 在 http://factordb.com/ 对n进行分解得p,q 在这里我们要用到RSA Tool2 by ET! 在工具里我们拿到了
BUUCTF RSA(一)
qq_52193383的博客
08-06 8851
这里写目录标题RSArsarsaRSA1RSA2RSA3RSA RSA rsarsa RSA1 RSA2 RSA3 RSA 1.RSA 在一次RSA密钥对生成中,假设p= 473398607161 ,q= 4511491 ,e= 17 ,求解出d作为flag提交. import gmpy2 p = 473398607161 q = 4511491 e = 17 d = int(gmpy2.invert(e,(p-1)*(q-1))) print(d) 2.rsarsa import gmpy2 p =
BUUCTFRSA1)
Bigotry77的博客
07-27 2999
看到题目第一眼能想到的就是RSA算法了,然后百度RSA算法的原理和具体描述,emmm......发现不是很懂 RSA公开密钥密码体制的原理是:根据数论,寻求两个大素数比较简单,而将它们的乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。 可以使用这个工具:RSA-Tool2 by tE 具体下载需要自己去百度找一下哈,我自己也是在学长给的工具包里找到的。。。其中Number Base为10,Public Exponent(E)为11,只是针对这一题,别的题目可能不一样。 还有一...
RSA
Starbright.的博客
04-07 2031
1.欧拉定理(费马小定理拓展): 费马小定理:如果p是一个质数,而整数a不是p的倍数,则有a^(p-1)≡1(mod p) 欧拉定理:若n,a为正整数,且n,a 互质,则有a^(φ(n))≡1(mod n)。 注:n=8,φ(n)=4,因为1,3,5,7均和8互质。当n为质数时φ(n)=n-1.也就推出(a^(n-1)) % n=1 推论: 欧拉函数是积性函数 :若m,n互质,φ(mn)=φ(m)φ(n); 特殊性质:当n为奇质数时,φ(2n)=φ(n); 若n为质数则,φ(n)=n-1。 ** 2.RSA
4.buuctf-rsa1
weixin_49765221的博客
05-11 789
rsa的多个考试角度
BUUCTF-Crypto-RSA2
Georgeiweb的博客
10-25 1998
RSA2 题目: e = 65537 n = 2482540078515262411777215266989018029858327661762216096122588 7737162058006043310153832803030521991869764361981420093067961210 988553380133534844502375167047843707305554472428068473329805159 916766030364518314616149748535863368149212
BUUCTF-Baby RSA
qq_61774705的博客
05-10 735
1.题目代码: # p+q : 0x1232fecb92adead91613e7d9ae5e36fe6bb765317d6ed38ad890b4073539a6231a6620584cea5730b5af83a3e80cf30141282c97be4400e33307573af6b25e2ea # (p+1)(q+1) : 0x5248becef1d925d45705a7302700d6a0ffe5877fddf9451a9c1181c4d82365806085fd86fbaab08b6fc66a967
BUUCTF-Crypto-RSA大全
weixin_47869330的博客
12-14 1276
RSA算法 密文=明文的E次方除以N取余数 E=Encryption(加密) N=Number(数字) 所以:公钥=(E,N) 明文=密文的D次方除以N的余数 D=Decryption(解密) 所以:私钥=(D,N) ### N=p*q (俩大质数) ### L=Lcm(p-1,q-1) (中间过程中的数) ### gcd=(E,L)=1 (E与L最大公约数=1) ### E*D mod L=1 (E*L除以L的余数=1) 解题: 题目: p = 9648423029010515
BUUCTF-Dangerous RSA
qq_61774705的博客
05-09 667
1.题目代码: #n: 0x52d483c27cd806550fbe0e37a61af2e7cf5e0efb723dfc81174c918a27627779b21fa3c851e9e94188eaee3d5cd6f752406a43fbecb53e80836ff1e185d3ccd7782ea846c2e91a7b0808986666e0bdadbfb7bdd65670a589a4d2478e9adcafe97c6ee23614bcb2ecc23580f4d2e3cc1ecfec25c50da4bc7
BUUCTF-RSA roll
qq_61774705的博客
05-08 507
1.题目 {920139713,19} 704796792 752211152 274704164 18414022 368270835 483295235 263072905 459788476 483295235 459788476 663551792 475206804 459788476 428313374 475206804 459788476 425392137 704796792 458265677 341524652 483295235 534149509 425392137 4283
buuctfRSA(一)
ndjnddjxn的博客
05-22 954
bytes.fromhex()使用 bytes类的 fromhex()方法将十六进制字符串转换为字节对象。但如果 m是一个非正整数或者非常大的整数(其十六进制表示超过了 Python 整数类型的范围),hex(m)可能会返回不同的结果,或者引发异常。,原始明文在加密前通常是作为被编码的字节串(如使用UTF-8)。是 255,则 hex(m) 返回"0xff" .m 是一位数时,返回为空,即 “”因此,如果原始明文是文本,可能还需要将字节串解码为字符串(使用正确的编码)。返回的字符串中去掉前两个字符。
【Crypto | CTF】BUUCTF RSA1
weixin_46301214的博客
02-16 600
c是密文,m是明文,dp和dq是一半的明文, 但不知道为什么居然是相同的。天命:无端端推导着就多了个k,多个一些奇奇怪怪的东西,一脸懵逼。天命:都不知道别人那些底层公式是怎么来的,大神们推到了几页纸。已知:p q dp dq c 求 m。天命:没事,拿代码当成公式背也能解密出来。
20基础解决-buuctf-1.RSA1
weixin_49765221的博客
05-08 724
多做rsa的例题
buuctf crypto RSA1 1
12-26
### BUUCTF RSA1 密码学挑战的解题思路 对于BUUCTF平台上的RSA1密码学挑战,解决此类问题通常涉及理解RSA加密算法的工作原理以及可能存在的弱点。在处理这类题目时,重点在于分析给定的信息并利用已知漏洞来破解密钥。 #### 了解RSA基本概念 RSA是一种基于大整数因子分解难题构建的安全体系结构,在公钥加密领域广泛应用。其安全性依赖于两个大素数p和q乘积n=p*q难以被因式分解这一事实[^2]。 #### 常见攻击方法 针对RSA系统的常见攻击方式包括但不限于暴力破解尝试所有可能性(当密钥长度较短时可行),但更有效的策略通常是寻找实现中的缺陷或错误配置。例如: - **低指数广播攻击**:如果相同的明文消息m使用相同的小e值发送到多个接收者,则可以通过中国剩余定理恢复原始消息。 - **共模攻击**:当不同用户共享同一个模块N但是各自有不同的私钥d_i时,可以利用这一点来进行攻击。 - **部分私钥泄露**:即使只有少量位数的私钥d被暴露出来也可能导致整个系统崩溃。 考虑到上述提到的内容,并结合具体题目给出的数据特点,以下是具体的解题方向: #### 解决方案建议 假设题目提供了如下参数: - e: 公开指数 - n: 模数 - c: 加密后的密文 ##### 判断是否存在弱化情况 检查提供的`e`是否过小(如3)。如果是这样,那么可能存在低指数广播攻击的可能性。 ##### 尝试提取更多有用信息 查看是否有其他提示可以帮助简化计算过程,比如额外的消息副本或者其他形式的帮助信息。 ##### 使用工具辅助求解 借助开源库PyCryptoDome或其他类似软件包加速实验进程。Python代码片段展示如何加载必要的组件: ```python from Crypto.PublicKey import RSA from sympy.ntheory.factor_ import factorint ``` 通过这些指导原则,应该能够为进一步探索提供坚实的基础。当然,实际操作还需要根据具体情况调整策略。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值