题外话

其实这道题在比赛过程中并没有解出来,思路完全想偏导致无解就放弃了,后来研究了大佬的writeup大半天才看懂。。。

正文

nc获取题目信息,返回一段明文和密文,要求输入一段明文和密文。

题目源码:

# server.py

#!/usr/bin/python

# -*- coding: utf-8 -*-

from Crypto.Cipher import AES

from Crypto.Util.strxor import strxor

from Crypto.Random import get_random_bytes

from FLAG import flag

class MAC:

    def __init__(self):

        self.key = get_random_bytes(16)

        self.iv = get_random_bytes(16)

    def pad(self, msg):

        pad_length = 16 - len(msg) % 16

        return msg + chr(pad_length) * pad_length

    def unpad(self, msg):

        return msg[:-ord(msg[-1])]

    def code(self, msg):

        res = chr(0)*16

        for i in range(len(msg)/16):

            res = strxor(msg[i*16:(i+1)*16], res)

        aes = AES.new(self.key, AES.MODE_CBC, self.iv)

        return aes.encrypt(res).encode('hex')

    def identity(self, msg, code):

        if self.code(msg) == code:

            msg = self.unpad(msg)

            if msg == 'please send me your flag':

                print 'remote: ok, here is your flag:%s' % flag

            else:

                print 'remote: I got it'

        else:

            print 'remote: hacker!'

if __name__ == '__main__':

    mac = MAC()

    message = 'see you at three o\'clock tomorrow'

    print 'you seem to have intercepted something:{%s:%s}' %(mac.pad(message).encode('hex'), mac.code(mac.pad(message)))

    print 'so send your message:'

    msg = raw_input()

    print 'and your code:'

    code = raw_input()

    mac.identity(msg.decode('hex'), code)

    exit()

通过identity函数可知,自己输入的明文在服务端加密后要等于自己输入的密文(也就是self.code(msg) == code,才能得到flag。

同时题目的坑点(也是我思路想歪的地方)就在这地方, 因为要求你输入的明文加密后等于你输入的密文,同时,加密使用的AES的CBC模式,对你的明文的加密是使用的和返回的第一段明文密文相同的iv和key,因此自然想到要得到iv和key才能求出要输入的密文。但是iv和key是通过随机数生成的,所以就无法用这个方法。

那么换一种思路,我们看看加密函数code如何工作的:

 def code(self, msg):

        res = chr(0)*16

        for i in range(len(msg)/16):

            res = strxor(msg[i*16:(i+1)*16], res)

        aes = AES.new(self.key, AES.MODE_CBC, self.iv)

        return aes.encrypt(res).encode('hex')

既然AES无法破解,那么先看一下送进AES加密前明文,是将原明文分为每16位一组然后接连异或得到的16位字符串res,并且这个res我们可以求出来,也就相当于知道“明文”了。

如果我们直接使用第一段返回的'code'作为自己输入的'code',那么我们只需要构造一串明文,使其通过code函数中AES加密前的操作,得到的结果,等于第一段的'res',这样输入到服务端加密后的结果也等于了输入的'code'(即第一段code)。

好了,现在就开始考虑如何构造明文。

为了得到flag,我们倒着推明文,看identity函数,满足msg == 'please send me your flag'才能得到flag,其上一步是msg = self.unpad(msg)要求输入的明文脱去填充后的字符串是“please send me your flag”,看一下unpad函数,msg[:-ord(msg[-1])]和填充函数pad是相反的作用,即取末尾字符的ASCII码表示的范围之前的字符串。

现在我们将“please send me your flag”的长度记作len1 == 24,由于AES加密的要求,字符串填充后的长度要满足为16的倍数,因此这里可填充8+16n个字符(n=0,1,2...)。根据unpad函数,必须让填充后的字符串最末尾一个字符的ASCII码可表示填充的位数。

先跑一下code函数中的一部分(就是AES加密前),得出第一段密文前一阶段的'res':

message = '73656520796f75206174207468726565206f27636c6f636b20746f6d6f72726f770f0f0f0f0f0f0f0f0f0f0f0f0f0f0f'

for i in range(len(msg)/16):

    res = strxor(msg[i*16:(i+1)*16], res)

print(res.encode('hex'))

# res结果为24054d4c1a0f19444e0f4016080f1805

目标就是我们填充后的字符串异或处理后与上面的res(这里记作res1)相等。

我们设“please send me your flag”加上8位填充的32位并进行16位分组后得到的两个16位字符串为m1和m2(暂时先不管填充是什么)。由异或运算的性质可知,a XOR b XOR b = a。设m3为一个能使m1 XOR m2 XOR m3 XOR m4== res1的16位分组,由此可知m3 == res1 XOR m1 XOR m2 XOR m4。同时要满足字符串最末尾一个字符的ASCII码可表示填充的位数,并且此时字符串总长度位48,因此就再加一个16位m4分组保证最后一位表示填充长度(这里是40)。

那么如何得到m3呢,就是用code函数里的异或方式。

到此我们就完全知道要构造的输入明文了。

下面是解题的完整代码:

from Crypto.Cipher import AES

from Crypto.Util.strxor import strxor

from Crypto.Random import get_random_bytes

flag = 'test'

class MAC:

    def __init__(self):

        self.key = get_random_bytes(16)

        self.iv = get_random_bytes(16)

    def pad(self, msg):

        pad_length = 16 - len(msg) % 16

        return msg + chr(pad_length) * pad_length

    def unpad(self, msg):

        return msg[:-ord(msg[-1])]

    def code(self, msg):

        res = chr(0)*16

        for i in range(len(msg)/16):

            res = strxor(msg[i*16:(i+1)*16], res)

        print(res.encode('hex'))  # 输出res1

        aes = AES.new(self.key, AES.MODE_CBC, self.iv)

        return aes.encrypt(res).encode('hex')

    def identity(self, msg, code):

        if self.code(msg) == code:

            msg = self.unpad(msg)

            if msg == 'please send me your flag':

                print 'remote: ok, here is your flag:%s' % flag

            else:

                print 'remote: I got it'

        else:

            print 'remote: hacker!'

if __name__ == '__main__':

    mac = MAC()

    message = 'see you at three o\'clock tomorrow'

    print 'you seem to have intercepted something:{%s:%s}' %(mac.pad(message).encode('hex'), mac.code(mac.pad(message)))

    print 'so send your message:'

    msg = 'please send me your flag'

    # 使用和pad函数一样的填充方式先构成64位

    msg_p = msg + chr(64 - len(msg)) * (64 - len(msg))

    # 生成m1 XOR m2 XOR m4

    res = chr(0)*16

    for i in range(len(msg_p)/16 - 1):

        res = strxor(msg_p[i*16:(i+1)*16], res)

    # 最终输入的明文字符串

    # strxor("24054d4c1a0f19444e0f4016080f1805".decode('hex'), res) 即为上文的m3

    msg_p = msg_p[:32] + strxor("24054d4c1a0f19444e0f4016080f1805".decode('hex'), res) + msg_p[32:38]

    # 输出明文串

    print(msg_p.encode('hex'))

    print 'and your code:'

    code = raw_input()

    mac.identity(msg_p.encode('hex').decode('hex'), code)

    exit()

将得到的明文字符串输入,再将服务端返回的密文输入,就得到flag了。

参考

我主要参考这篇文章写出来的,所以思路也大都汲取自这位大佬的:

SCTF2019 部分题目WriteUp

搞懂之后感觉这道题真是妙啊(虽然我没做出来)。

SCTF2019 Crypto-warmup writeup的更多相关文章

  1. 攻防世界 WEB 高手进阶区 HCTF 2018 warmup Writeup

    攻防世界 WEB 高手进阶区 HCTF 2018 warmup Writeup 题目介绍 题目考点 PHP代码审计 Writeup 打开 http://220.249.52.134:37877 常规操 ...

  2. 实验吧Crypto题目Writeup

    这大概是一篇不怎么更新的没什么用的网上已经有了很多差不多的东西的博客. 变异凯撒 忘记了2333 传统知识+古典密码 先查百度百科,把年份变成数字,然后猜测+甲子的意思,一开始以为是加1,后来意识到是 ...

  3. picoCTF2018记录

    近期准备参加CTF 一头雾水 开始练练手 https://2018game.picoctf.com/  这个网站挺适合新手的(据说面向高中生?? 惭愧惭愧) 前面几个比较简单 就从 Resources ...

  4. Crypto CTF 2019 writeup

    Crypto CTF 2019 writeup roXen 题目 roXen Relationship with a cryptographer! The Girlfriend: All you ev ...

  5. 攻防世界-Crypto高手进阶区部分Writeup

    1.flag_in_your_hand && flag_in_your_hand1 下载,解压后 打开index文件,直接点击get flag错误,输入其他点击也同样 打开js文件,在 ...

  6. 参加 Tokyo Westerns / MMA CTF 2nd 2016 经验与感悟 TWCTF 2016 WriteUp

    洒家近期参加了 Tokyo Westerns / MMA CTF 2nd 2016(TWCTF) 比赛,不得不说国际赛的玩法比国内赛更有玩头,有的题给洒家一种一看就知道怎么做,但是做出来还需要洒家拍一 ...

  7. We Chall-Training: Crypto - Caesar I-Writeup

    MarkdownPad Document html,body,div,span,applet,object,iframe,h1,h2,h3,h4,h5,h6,p,blockquote,pre,a,ab ...

  8. 网络信息安全攻防学习平台 上传,解密通关writeup

    上传关 [1]查看源代码,发现JS代码.提交时onclick进行过验证.ctrl+shift+i 打开开发者工具,将conclick修改为 return True,即可以上传上传php文件,拿到KEY ...

  9. 2018国赛 - Writeup(待补充)

    10.0.0.55 Writeup Web 0x01 easyweb 解题思路 题目很脑洞 用户名admin 密码123456进去可得到flag(密码现在换了) 解题脚本 无 Reverse 0x02 ...

随机推荐

  1. 数据库Oracle的子查询练习

    1.写一个查询显示与 Zlotkey 的 在同一部门的雇员的 last name和 hire date,结果中不包括 Zlotkey --1.写一个查询显示与 Zlotkey 的 在同一部门的雇员的 ...

  2. [TimLinux] CSS 纯CSS实现动画展开/收起功能

    内容转自CSS世界,理解之后进行了简化,简化后代码: <!DOCTYPE html> <html> <head> <meta charset=utf-8 /& ...

  3. git 设置和取消指定域名代理 - git config proxy

    Firstly - Check Check if U have global .gitconfig file 检查是否有全局 .gitconfig 文件 Usually global .gitconf ...

  4. B.Beautiful Numbers

    题意:你被给予了一个序列 p = [p1, p2, ..., pn](1 ~ n的整数),如果存在l, r左右端点(1 <= l <= r <= n),使得[pl, pl+1,... ...

  5. 把JSON转换成键值对

    public static Dictionary<string, string> JsonStringToKeyValuePairs(string jsonStr) { char json ...

  6. 适用于Java开发人员的SOLID设计原则简介

    看看这篇针对Java开发人员的SOLID设计原则简介.抽丝剥茧,细说架构那些事——[优锐课] 当你刚接触软件工程时,这些原理和设计模式不容易理解或习惯.我们都遇到了问题,很难理解SOLID + DP的 ...

  7. Dapr 运用之集成 Asp.Net Core Grpc 调用篇

    前置条件: <Dapr 运用> 改造 ProductService 以提供 gRPC 服务 从 NuGet 或程序包管理控制台安装 gRPC 服务必须的包 Grpc.AspNetCore ...

  8. 你不知道的JavaScript(上)作用域与闭包

    第一部分 作用域与闭包 第一章 作用域是什么 1.作用域 变量赋值操作会执行两个动作:首先编译器会在当前作用域中声明一个变量(如果之前没有声明过), 然后会在运行时引擎会在作用域中查找该变量,找到就会 ...

  9. ElasticSearch 时间格式

    "datetime": { "type": "date", "format": "yyyy-MM-dd HH: ...

  10. 爬虫(五):代理IP、Cookie

    1. 代理IP 代理IP这个功能呢,在urllib和requests中都存在,但是这个在大的爬虫项目中是非常重要的,所以我拿出来单独讲解. 对于某些网站,如果同一个 IP 短时间内发送大量请求,则可能 ...