BUUCTF Crypto_WP(2)

BUUCTF Crypto WP

• 几道密码学wp

[GXYCTF2019]CheckIn

知识点：Base64，rot47

• 下载文件后，发现一个txt文件，打开发现一串base64，界面之后出现一串乱码，由符号，字母，数字构成，尝试多词之后发现是rot47
• 大致介绍一下rot47,这个其实和凯撒差不多，都属于移位密码，rot47大家估计不常见，常见的是rot13,rot47是对数字，字母，常用符号进行编码，按照它们的ASCII值进行位置替换，并且ASCII的范围在33~126，解密时，对于ASCII减47后值在这个范围内的直接替换即可，不在这个范围内的则采用其ASCII加上47来实现编码。
• 解码代码：

chiper="v)*L*_F0<}@H0>F49023@FE0#@EN"
flag=''
for i in chiper:
    if(33<=ord(i)-47<=126):
        flag+=chr(ord(i)-47)
    else:
        flag+=chr(ord(i)+47)
#flag:GXY{Y0u_kNow_much_about_Rot}

• 在线解密网站：https://www.qqxiuzi.cn/bianma/ROT5-13-18-47.php

Unencode

知识点：UUencode

• 题目就一个题目交Uencode,网上找了半天都解不开这个，但隐隐约约记得好像还有一个叫UUencode的，遂尝试解密发现成功解出
• 在线解密网站：http://ctf.ssleye.com/uu.html

信息化时代的步伐

知识点：汉字电报码

• 题目提示最后flag是汉字，但是给出的密文是一串数，一开始以为是16进制转汉字，但是解出来是乱码，遂最后查出来是这种汉字的电报码
• 解题链接：https://www.qqxiuzi.cn/bianma/dianbao.php

一张谍报

知识点：替换密码

• 给出的word，有两段对于同一件事情描述的文段，大概读了一下，发现有些文章对应部分文字不同，判断可能就是码表的对应关系
• 看到网上有大佬写好了代码，本来打算用一下，却发现，python3的setdefaultencoding函数已经被删除了，所以稍作修改，成了下述代码

str1 = "今天上午，朝歌区梆子公司决定，在每天三更天不亮免费在各大小区门口设卡为全城提供二次震耳欲聋的敲更提醒，呼吁大家早睡早起，不要因为贪睡断送大好人生，时代的符号是前进。为此，全区老人都蹲在该公司东边树丛合力抵制，不给公司人员放行，场面混乱。李罗鹰住进朝歌区五十年了，人称老鹰头，几年孙子李虎南刚从东北当猎户回来，每月还寄回来几块鼹鼠干。李罗鹰当年遇到的老婆是朝歌一枝花，所以李南虎是长得非常秀气的一个汉子。李罗鹰表示：无论梆子公司做的对错，反正不能打扰他孙子睡觉，子曰：‘睡觉乃人之常情’。梆子公司这是连菩萨睡觉都不放过啊。李南虎表示：梆子公司智商捉急，小心居民猴急跳墙！这三伏天都不给睡觉，这不扯淡么！到了中午人群仍未离散，更有人提议要烧掉这个公司，公司高层似乎恨不得找个洞钻进去。直到治安人员出现才疏散人群归家，但是李南虎仍旧表示爷爷年纪大了，睡不好对身体不好。"
str2 = "喵天上午，汪歌区哞叽公司决定，在每天八哇天不全免费在各大小区门脑设卡为全城提供双次震耳欲聋的敲哇提醒，呼吁大家早睡早起，不要因为贪睡断送大好人生，时代的编号是前进。为此，全区眠人都足在该公司流边草丛合力抵制，不给公司人员放行，场面混乱。李罗鸟住进汪歌区五十年了，人称眠鸟顶，几年孙叽李熬值刚从流北当屁户回来，每月还寄回来几块报信干。李罗鸟当年遇到的眠婆是汪歌一枝花，所以李值熬是长得非常秀气的一个汉叽。李罗鸟表示：无论哞叽公司做的对错，反正不能打扰他孙叽睡觉，叽叶：‘睡觉乃人之常情’。哞叽公司这是连衣服睡觉都不放过啊。李值熬表示：哞叽公司智商捉急，小心居民猴急跳墙！这八伏天都不给睡觉，这不扯淡么！到了中午人群仍未离散，哇有人提议要烧掉这个公司，公司高层似乎恨不得找个洞钻进去。直到治安人员出现才疏散人群归家，但是李值熬仍旧表示爷爷年纪大了，睡不好对身体不好。"
str3 = "喵汪哞叽双哇顶，眠鸟足屁流脑，八哇报信断流脑全叽，眠鸟进北脑上草，八枝遇孙叽，孙叽对熬编叶：值天衣服放鸟捉猴顶。鸟对：北汪罗汉伏熬乱天门。合编放行，卡编扯呼。人离烧草，报信归洞，孙叽找爷爷。"
res = ""
for i in range(len(str3)):
    for j in range(len(str2)):
        if str3[i] == str2[j]:
            res += str1[j]
            break
print(res)

• python3已支持的是unicode编码，而unicode已涵盖大部分汉字UCS-2包含可有六万多字符，到了UCS-4已经可以有一百多万，而2016年定义的unicode9已收录有十多万字，所以在python3中已不需要像2中那样的写法

[NCTF2019]childRSA

知识点：光滑数smooth number,Pollard's p-1 method

• 这题参考了一下几篇文章，发现有多种解法，其中的一个非预期是利用的yafu直接分解n，因为这里的p,q相差位数不是很大，所以可以用yafu很快就分解出来
• 而对于预期的解，则是要利用Pollard's p-1 method
• 首先还是来先看一下题目源码

from random import choice
from Crypto.Util.number import isPrime, sieve_base as primes
from flag import flag

def getPrime(bits):
    while True:
        n = 2
        while n.bit_length() < bits:
            n *= choice(primes)
        if isPrime(n + 1):
            return n + 1

e = 0x10001
m = int.from_bytes(flag.encode(), 'big')
p, q = [getPrime(2048) for _ in range(2)]
n = p * q
c = pow(m, e, n)

# n = 32849718197337581823002243717057659218502519004386...........
# c = 26308018356739853895382240109968894175166731283702...........

• sieve_base是由前10000的素数组成的列表，它生成的n是由这一列表中随机的数相乘而来，而对于p,q则是利用的将n+1取素数而来
• 这里我们要解决的就是想办法通过这个n求解p,q,对于如何实现这个问题，我们这里就要用到Pollard's p-1 method
• Pollard's p-1 method主要就是说：如果p-1正好是一些很小的质数的乘积，那么p-1就能整除n!，其中n是一个不太大的数。
• 而对于费马小定理：\(a^{p-1}\equiv 1(mod)p \Rightarrow a^{t\times(p-1)}-1=k \times p\) (\(t,k \in \mathbb{Z}\))，这里我们可以发现对于一个素数\(p\),它的一个倍数可以写成\(a^{t\times(p-1)}-1\),那么对于这个大素数\(n\),它也算是\(p\)的一个倍数，那么如果我们可以找到一个指数\(L\),使得对于某一个底数\(a\),\(a^{L}-1\)也是\(p\)的倍数，那么我们只要能通过求解\(n\)和\(a^{L}-1\)的公因数，不就求出\(p\)了吗
• 对于这个\(L\)的求解，就要用到Pollard's p-1 method了，具体的一些原理细节，还没太弄懂，所以就直接按照当时NCTF2019的官方WP写了一些exp，文章链接如下：
  
  http://www.soreatu.com/ctf/writeups/Writeup%20for%20Crypto%20problems%20in%20NCTF%202019.html#childrsa
• exp:

# -*- coding:utf-8 -*-
# Author:Konmu
# [NCTF2019] childrsa
from Crypto.Util.number import *
import gmpy2

def Pollard(n):
    a=2
    while True:
        for i in range(2,80000):
            a=pow(a,i,n)
        for j in range(80000,104729+1):
            a=pow(a,j,n)
            if j % 15 ==0:
                d=GCD(a-1,n)
                if(1<d<n):
                    return(d)
        a+=1

n=3284971819733758182300224371705765921850251900438699...........
c=2630801835673985389538224010996889417516673128370292...........
p=Pollard(n)
q=n//p
e=0x10001
d=int(gmpy2.invert(e,(p-1)*(q-1)))
m=pow(c,d,n)
print(long_to_bytes(m))