NSSCTF_crypto_[BJDCTF 2020]rsa

原创 于 2025-04-03 11:21:08 发布 · 727 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #密码学 #crypto #rsa #共享素数 #素数分解 #经验分享

NSSCTF_crypto_[BJDCTF 2020]rsa

提示:共享素数   素数分解

题目:

from Crypto.Util.number import getPrime,bytes_to_long

flag=open("flag","rb").read()

p=getPrime(1024)
q=getPrime(1024)
assert(e<100000)
n=p*q
m=bytes_to_long(flag)
c=pow(m,e,n)
print c,n
print pow(294,e,n)

p=getPrime(1024)
n=p*q
m=bytes_to_long("BJD"*32)
c=pow(m,e,n)
print c,n

'''
output:
12641635617803746150332232646354596292707861480200207537199141183624438303757120570096741248020236666965755798009656547738616399025300123043766255518596149348930444599820675230046423373053051631932557230849083426859490183732303751744004874183062594856870318614289991675980063548316499486908923209627563871554875612702079100567018698992935818206109087568166097392314105717555482926141030505639571708876213167112187962584484065321545727594135175369233925922507794999607323536976824183162923385005669930403448853465141405846835919842908469787547341752365471892495204307644586161393228776042015534147913888338316244169120   13508774104460209743306714034546704137247627344981133461801953479736017021401725818808462898375994767375627749494839671944543822403059978073813122441407612530658168942987820256786583006947001711749230193542370570950705530167921702835627122401475251039000775017381633900222474727396823708695063136246115652622259769634591309421761269548260984426148824641285010730983215377509255011298737827621611158032976420011662547854515610597955628898073569684158225678333474543920326532893446849808112837476684390030976472053905069855522297850688026960701186543428139843783907624317274796926248829543413464754127208843070331063037
381631268825806469518166370387352035475775677163615730759454343913563615970881967332407709901235637718936184198930226303761876517101208677107311006065728014220477966000620964056616058676999878976943319063836649085085377577273214792371548775204594097887078898598463892440141577974544939268247818937936607013100808169758675042264568547764031628431414727922168580998494695800403043312406643527637667466318473669542326169218665366423043579003388486634167642663495896607282155808331902351188500197960905672207046579647052764579411814305689137519860880916467272056778641442758940135016400808740387144508156358067955215018
979153370552535153498477459720877329811204688208387543826122582132404214848454954722487086658061408795223805022202997613522014736983452121073860054851302343517756732701026667062765906277626879215457936330799698812755973057557620930172778859116538571207100424990838508255127616637334499680058645411786925302368790414768248611809358160197554369255458675450109457987698749584630551177577492043403656419968285163536823819817573531356497236154342689914525321673807925458651854768512396355389740863270148775362744448115581639629326362342160548500035000156097215446881251055505465713854173913142040976382500435185442521721  12806210903061368369054309575159360374022344774547459345216907128193957592938071815865954073287532545947370671838372144806539753829484356064919357285623305209600680570975224639214396805124350862772159272362778768036844634760917612708721787320159318432456050806227784435091161119982613987303255995543165395426658059462110056431392517548717447898084915167661172362984251201688639469652283452307712821398857016487590794996544468826705600332208535201443322267298747117528882985955375246424812616478327182399461709978893464093245135530135430007842223389360212803439850867615121148050034887767584693608776323252233254261047
'''

题目分析

我们有以下已知信息:

  • 两个RSA模数n1和n2,它们共享一个相同的素数因子q

  • 一个密文c2,其对应的明文是"BJD"重复32次

  • 公钥指数e小于100000

  • 另一个密文c1,需要使用我们找到的信息来解密

解题步骤

第一步:分解n1和n2获取共用素数q

由于n1和n2共享一个素数因子q,我们可以通过计算它们的最大公约数(GCD)来找到q:

q = math.gcd(n1, n2)

验证:计算结果 q 为两个大数的公共素因子

2. 分解 n2 得到 p2

数学关系:n2 = p2·q → p2 = n2 // q

p2 = n2 // q
  • 注意点:确保 p2 为整数且为素数(大数分解验证)

3. 已知明文攻击确定 e

  • 已知条件:明文 m = "BJD"*32 → 转换为长整数 m_this
  • 攻击思路
    • 计算 φ(n2) = (p2-1)(q-1)
    • 暴力枚举 e(1 < e < 100,000)
    • 验证 d = e⁻¹ mod φ(n2) 的正确性
    • 通过 pow (c2, d, n2) == m_this 确认 e

4. 解密 n1 的密文 c1

  • 步骤
    1. 分解 n1 得到 p1 = n1 //q
    2. 计算 φ(n1) = (p1-1)(q-1)
    3. 计算 d1 = e⁻¹ mod φ(n1)
    4. 解密 c1 = pow (c1, d1, n1)
    5. 转换为 ASCII 字符串
  • 关键函数
hex_str = hex(m1)[2:]
bytes_data = binascii.unhexlify(hex_str)
flag = bytes_data.decode('utf-8')

完整代码实现:

import math  # 数学库,提供gcd等函数
import binascii  # 用于二进制与ASCII转换
import gmpy2  # 高性能数学库,处理大数运算
from Crypto.Util.number import bytes_to_long  # 字节转长整数

def main():
    # ======================== 第一步:分解n1和n2获取共用素数q ========================
    # 已知两个不同的RSA模数n1和n2,但共享同一个素数因子q
    # 数学原理:若n1 = p1*q,n2 = p2*q,则gcd(n1, n2) = q
    n1 = 13508774104460209743306714034546704137247627344981133461801953479736017021401725818808462898375994767375627749494839671944543822403059978073813122441407612530658168942987820256786583006947001711749230193542370570950705530167921702835627122401475251039000775017381633900222474727396823708695063136246115652622259769634591309421761269548260984426148824641285010730983215377509255011298737827621611158032976420011662547854515610597955628898073569684158225678333474543920326532893446849808112837476684390030976472053905069855522297850688026960701186543428139843783907624317274796926248829543413464754127208843070331063037
    n2 = 12806210903061368369054309575159360374022344774547459345216907128193957592938071815865954073287532545947370671838372144806539753829484356064919357285623305209600680570975224639214396805124350862772159272362778768036844634760917612708721787320159318432456050806227784435091161119982613987303255995543165395426658059462110056431392517548717447898084915167661172362984251201688639469652283452307712821398857016487590794996544468826705600332208535201443322267298747117528882985955375246424812616478327182399461709978893464093245135530135430007842223389360212803439850867615121148050034887767584693608776323252233254261047
    
    # 计算n1和n2的最大公约数,得到共享素数q
    q = math.gcd(n1, n2)
    print("[DEBUG] q =", q)  # 实际场景建议打印验证
    
    # ======================== 第二步:分解n2得到p2 ========================
    # 已知n2 = p2 * q,因此p2 = n2 // q
    p2 = n2 // q
    print("[DEBUG] p2 =", p2)  # 验证p2是否为整数
    
    # ======================== 第三步:通过已知明文攻击确定e ========================
    # 题目给出线索:e < 100000,且已知明文为"BJD"*32的字节形式
    c2 = 979153370552535153498477459720877329811204688208387543826122582132404214848454954722487086658061408795223805022202997613522014736983452121073860054851302343517756732701026667062765906277626879215457936330799698812755973057557620930172778859116538571207100424990838508255127616637334499680058645411786925302368790414768248611809358160197554369255458675450109457987698749584630551177577492043403656419968285163536823819817573531356497236154342689914525321673807925458651854768512396355389740863270148775362744448115581639629326362342160548500035000156097215446881251055505465713854173913142040976382500435185442521721
    m_this = bytes_to_long(b"BJD"*32)  # 已知明文对应的长整数
    
    # 计算n2的欧拉函数φ(n2) = (p2-1)*(q-1)
    φn2 = (p2-1)*(q-1)
    
    # 暴力遍历e的可能值(1到99999)
    e_final = None
    for e_candidate in range(1, 100000):
        # 打印进度(每1000次输出一次)
        if e_candidate % 1000 == 0:
            print(f"进度: {e_candidate}/99999")
        
        # 尝试计算e的模逆元d = e^-1 mod φn2
        try:
            d_candidate = gmpy2.invert(e_candidate, φn2)
        except ZeroDivisionError:  # e和φn2不互质时无法求逆,跳过
            continue
        
        # 解密密文c2,验证是否得到已知明文m_this
        m_decrypted = pow(c2, d_candidate, n2)
        if m_decrypted == m_this:
            print(f"[成功] 找到e = {e_candidate}")
            e_final = e_candidate
            break
    
    if not e_final:
        print("[错误] 未找到符合条件的e")
        return

    # ======================== 第四步:使用已知e解密n1的密文 ========================
    # 分解n1得到p1 = n1 // q
    p1 = n1 // q
    
    # 计算n1的欧拉函数φ(n1) = (p1-1)*(q-1)
    φn1 = (p1-1)*(q-1)
    
    # 计算私钥d1 = e^-1 mod φ(n1)
    d1 = gmpy2.invert(e_final, φn1)
    
    # 解密密文c1
    c1 = 12641635617803746150332232646354596292707861480200207537199141183624438303757120570096741248020236666965755798009656547738616399025300123043766255518596149348930444599820675230046423373053051631932557230849083426859490183732303751744004874183062594856870318614289991675980063548316499486908923209627563871554875612702079100567018698992935818206109087568166097392314105717555482926141030505639571708876213167112187962584484065321545727594135175369233925922507794999607323536976824183162923385005669930403448853465141405846835919842908469787547341752365471892495204307644586161393228776042015534147913888338316244169120
    m1 = pow(c1, d1, n1)  # m1 = c1^d1 mod n1
    
    # 将解密后的长整数转换为字节,再解码为字符串
    hex_str = hex(m1)[2:]  # 去除十六进制前缀'0x'
    bytes_data = binascii.unhexlify(hex_str)
    flag = bytes_data.decode('utf-8')
    print("最终Flag:", flag)

if __name__ == '__main__':
    main()

总结

这道题目展示了RSA中共享素数因子的安全问题。当两个不同的模数共享一个素数因子时,攻击者可以通过计算GCD轻松分解模数。此外,当已知明文-密文对时,可以暴力破解较小的公钥指数e。这些攻击方式强调了在实际应用中必须:

  1. 确保每个RSA密钥对使用完全独立的素数

  2. 使用足够大的公钥指数

  3. 避免使用可预测的明文

运行后flag为

BJD{p_is_common_divisor}

修改一下

NSSCTF{p_is_common_divisor}

buu RSA3 共模攻击
weixin_44110537的博客
06-15 1550
拿到压缩包,解压得txt文件 可以得到 c1,e1,c2,e2,n 由此可得 c1=me1%n c2=me2%n 又因为gcd(e1,e2)=1 所以 e1s1+e2s2=1 有且有唯一解 结论为 m=(c1s1 *c2s2)%n 证明如下 (c1s1 *c2s2)%n=[(me1%n)s1 (me2%n)s2]%n=((me1%n)s1 %n(me2%n)s2 %n)%n=(me1*s1 %n *me2*s2 %n)%n=me1*s1+e2*s2 %n=m%n=m 得到数学推导后就可以编程了 impor
buuctf Crypto RSA3
weixin_46244154的博客
03-16 1407
buuctf RSA3 c1=2232203527566323704164689377045193350932470191348430333807621060354261275895626286964082248647012114942448557136100742129367551633882219528031379499113604814091884247121984026353633888625049268273943641001343665116172072585548486669008478872
[BJDCTF2020]RSA ==>低加密指数攻击
LYJ20010728的博客
12-01 1018
题目地址 task.py内容如下: from Crypto.Util.number import getPrime,bytes_to_long flag=open("flag","rb").read() p=getPrime(1024) q=getPrime(1024) assert(e<100000) n=p*q m=bytes_to_long(flag) c=pow(m,e,n) print c,n print pow(294,e,n) p=getPrime(1024) n=p*q m=by
RSA的共模攻击--[BUUCTF]-RSA3
rang的博客
11-08 4684
假设有一条信息m,由两个不同的用户使用公钥进行加密(两个用户的e一般不同,模数n一般相同) c1 = m^e1 mod n c2 = m^e2 mod n 得到了两个不同的密文c1,c2 因为公钥是公开的(e1,e2,n)已知 那么攻击者一共知道如下信息 gcd(e1, e2) = 1 m = c1^d1 mod n m = c2^d2 mod n 若两个秘钥e互素根据扩展的欧几里得算法则存在s1,s2有:e1s1+e2s2=1 所以 c1^s1 mod n=m^(e1*s1) mod n c2^s2
[BJDCTF2020]RSA
rang的博客
12-08 1971
题目给了c和e、同公钥(e,n)加密的密文、具有同q的公钥加密的密文 思路:由同q的公钥,也就是n公用了素数q,通过gcd函数可以得到p,也就有p和q 此时就差e就能解出题目,已知e的范围、相同公钥加密的密文 可由_294c == pow(294,e,n)爆破e,脚本如下: import gmpy2 from Crypto.Util.number import * # flag=open("flag","rb").read() # p=getPrime(1024) # q=getPrime(1024) #
NSSCTF CRYPTO 题解(一)
最新发布
2301_81105268的博客
05-28 1605
下载得到附件,内容如下:i = 0else:i = i + 1print(str)题目分析:通过最后一行注释,得知str字符串进行了base64编码,先解码得到分析代码得知凯撒密码,位移量5,进行解码或者直接枚举,进行查找得到flag。
BUUCTF—cryptoRSA3
2301_76628253的博客
04-18 890
欧几里得算法,也称为辗转相除法,是用于计算两个非负整数的最大公约数(GCD)的一种方法。它基于以下原理:两个整数的最大公约数等于其中较小的数和两数的差的最大公约数。最后得到的b就是输入的两个整数的最大公约数。4. 如果r不等于0,则将b赋值给a,将r赋值给b,然后重复步骤2。该题目为RSA共模n攻击,会运用到欧几里得算法,我们首先来了解一下。1. 将两个输入的非负整数记为a和b,其中a >= b。//当余数为0时,最大公约数是a,否则继续往下递归。注意:得到的 flag 请包上 flag{} 提交。
BUUCTF RSA题目全解1
热门推荐
MikeCoke的博客
07-04 3万+
这里写目录标题RSArsarsa三级目录二级目录三级目录 RSA 直接用工具RSA Tool2点击这篇文章有介绍怎么用 得到flag{125631357777427553} rsarsa 也可以直接用工具RSA Tool2: 注意:题目中的e是十进制,在RSA Tool2中要改为16进制,用RSA Tool2求出私钥d,再用python函数pow()即可求出flag e = 65537 p...
BUUCTF_Crypto_[BJDCTF2020]RSA
qq_58370970的博客
12-01 524
题目:给了一个py文件 可以看出两个n具有相同的q,可以通过求两个n的最大公约数得到q,再通过n/q求出p 给了e的范围和对应的c1=pow(294,e,n)可以爆破求出e 代码: import gmpy2 import libnum c1=1264163561780374615033223264635459629270786148020020753719914118362443830375712057009674124802023666696575579800965654773861639.
BUUCTF_Crypto_RSA3
qq_58370970的博客
11-15 617
题目: c1=22322035275663237041646893770451933509324701913484303338076210603542612758956262869640822486470121149424485571361007421293675516338822195280313794991136048140918842471219840263536338886250492682739436410013436651161720725855484866690084788721349555
BUUCTF RSA题目全解3
MikeCoke的博客
08-21 7297
1.[WUSTCTF2020]babyrsa 爆破n,就行了 from gmpy2 import* from libnum import* p = 189239861511125143212536989589123569301 q = 386123125371923651191219869811293586459 c = 28767758880940662779934612526152562406674613203406706867456395986985664083182 n = 730698867
BUUCTF RSA(三)
qq_52193383的博客
08-18 1163
这里写目录标题1.[MRCTF2020]babyRSA2.[WUSTCTF2020]dp_leaking_1s_very_d@angerous3.[NPUCTF2020]EzRSA4.[MRCTF2020]Easy_RSA5.[INSHack2019]Yet Another RSA Challenge - Part 1 1.[MRCTF2020]babyRSA 根据给出的代码可以很容易推出 _Q = sympy.nextprime(pow(sub_Q,Q_2,Q_1))。我们知道P[9],就可以推出其他的素
Crypto(10)BUUCTF-RSA3(共模攻击)
m0_66039322的博客
11-24 921
好奇一个问题,即共模攻击有什么现实意义?发现也没有什么现实意义,因为(n,e)是已知的,通常每个用户的n是不同的,除非特殊情况吧。
BUUCTF_Crypto_RSA
qq_58370970的博客
11-16 3991
经典的rsa公钥加密, 某个大佬给的脚本: # coding=UTF-8 import Crypto.PublicKey.RSA import factordb.factordb import rsa import gmpy2 pubKey = Crypto.PublicKey.RSA.import_key(open(unicode('D:\\ctf\\攻防世界\\Noremal_RSA\\547de1d50b95473184cd5bf59b019ae8\\pubkey.pem', "UTF8"),
buu [GUET-CTF2019]BabyRSA
ao52426055的博客
12-01 1509
查看题目 观察题目给的条件,给了p+q,(p+1)(q+1),e,d,以及密文C. RSA的解密公式:M=C^d mod n 所以我们只要求出n即可。(n = pq) n = (p+1)(q+1) - (p+q) - 1 求M的值,已知C,d,n后 用函数pow(),即可求出 import libnum a = 0x1232fecb92adead91613e7d9ae5e36fe6bb765317d6ed38ad890b4073539a6231a6620584cea5730b5af83a3e80cf30
buuctf Crypto RSA
weixin_46244154的博客
03-17 1093
buuctf RSA 下载文件得到两个文件 pub.key即是公钥,用IDA打开 MDwwDQYJKoZIhvcNAQEBBQADKwAwKAIhAMAzLFxkrkcYL2wch21CM2kQVFpY9+7+/AvKr1rzQczdAgMBAAE= 提取出公钥中所含信息 key长度: 256 模数: C0332C5C64AE47182F6C1C876D42336910545A58F7EEFEFC0BCAAF5AF341CCDD 指数: 65537 (0x10001) 模数转为十进制即是n n=869
buuctf Crypto RSA1
weixin_46244154的博客
03-16 2209
buuctf RSA1 下载得到题目 p = 8637633767257008567099653486541091171320491509433615447539162437911244175885667806398411790524083553445158113502227745206205327690939504032994699902053229 q = 12640674973996472769176047937170883420927050821480010581593137135372473880
[BJDCTF2020]RSA1
m0_74030040的博客
03-26 216
[BJDCTF2020]RSA1
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值