作者:中娅之戒
本题目采用规则二,即用户名+序列号。
压缩包中包含两个exe,其中“南充茶坊.exe”是参赛程序,另一个README.txt.exe是彩蛋。
南充茶坊.exe 实际上是一个rar自解压程序,它运行起来后会解压出CM.exe和aplib.dll,放在硬盘里,并运行CM.exe。
CM.exe会利用aplib.dll解压出python可执行程序,放在内存里,并运行。
python可执行程序会构建起python虚拟机,并执行python源代码。
直接解压缩 南充茶坊.exe,可以得到CM.exe和aplib.dll;
CM.exe的最后四字节为0xdeadc0de,将它们删除之后,就可以使用pyinstxtractor成功提取.pyc文件了。
使用某些 pyc反编译工具,即可得到程序源码。
共包含CM.py、CMpub.py、general.py三份代码文件。源码分别如下。
from CMpub import pub_n_list, pub_e_list from general import valid_serial, valid_username, get_enc_seq, enc0 from Crypto.Util.number import bytes_to_long from os import system def check(serial, seq): now = serial for j in range(len(seq)): i = seq[j] n = pub_n_list[i] e = pub_e_list[i] if now > pub_n_list[i]: return False if i > 0: now = pow(now, e, n) else: now = enc0(now, e, n) if 0 == now: return False return now def main(): username0 = input('Please input Username:\t') serial0 = input('Please input Serial:\t') try: valid_serial(serial0) valid_username(username0) except: print('\nInvalid Input\n') return else: serial = int(serial0, 16) username = username0.encode('utf-8') seq = get_enc_seq(username) username = bytes_to_long(username) check_value = check(serial, seq) if check_value == username: print('\nCorrect!\n') else: print('\nOops! The encrypted Serial is not "' + username0 + '".\n') system('pause') if __name__ == '__main__': main()
pub_n_list = [ 1230179032923966355216193664456989083993912178939747632284136330115404600706909248395341278324517175820853286404743710145952644302282044037365125019184623573863075946389644423629304167773956447181872440665027369039751736977631813405, 1230197346433601576871359147146318345794660644587556813317361121112259736906064757424819981626600536503633922734399282271582600808051530362336101942259823441839299355603967188517947938968081105138847731565260537550727639211683197879, 1230175103148238074642625667635930176506433011031372989302833308622794392947506662903737049730958209740476679577696669046125817578949235076594181707520951908118478466754559490593457625240572006099913042624607335165510041897534435209, 1230195419889872144876656964938566328205499234259210834822623032535100815525647028091967713768075507813160118981470260555950945392043292242406398016007295386079663975352275199434079009613722639414793342879897781273997830701207001839, 1230174827420484335136670743465041112031290639257519417607166302989196920558878232997045073571925815302061150702941267642751824310540753494973942944709182841639107639574372312103384805313053886702823094137071927771880443876497834223, 1230185988420782350445684618408731075592594374149632568516959143947765502111474165779039038375448460747737995123102271976521803891348006321134167925739699715318653372703575221067707929872597815216923462345784043188962130180912008349, 1230182067416272799574586563163545941454653137377618375202713428977357995541722463977983142958255155175313052685136009571171283284447072364958073918526788611457558644331357136872625495927467161960356807765452292242153097362794537297, 1230175667673121302771605367336364266247327534138626737357715728447532125946735363769285915448580252805827932111511713836998047583507066247536863749820566853793525683889378074234787827092004094825431802398656705570322640700888234457, 1230196215847264556140155304337951587143228841840811940425256504477922246092127337047231112435502675187836322205816125340569108923142351137471846665258392302281836567949024626839375922984390501852966755563575130612920367863203222919, 1230186684530117755130494958384962720772853569595334792197322452151726400507263657518745202199786469389956474942774063845925192557326303453731548268507917026122142913461670429214311602221240479274737794080665351419597459856902143413] pub_e_list = [ 516522834974778788822737622050071002228140433403308439492366176194856535110473049678585760137133115927927751389873437178270126066640141239601219481836725664034890696476089482771855782560150644578106217444113872365843767702019835165, 763019398230639020385095590111745749325105506404934257293148841704076883985487416392986296273940405033341623636375465706381388882972769884442281412068657916633528090146878551371406807944205178239005601520958614234641039656871416589, 758988267473789691400810521950661631157749425185051374867090671651749645717430551141709267885532654476900928589359256799354189000242807872593092025777838259738748452497031844208902096380110211365512236965688511597330444132995706089, 1160624249765899561934599801255171381291816170997589163041066264243942985094428544791715385847964978883555709070528078257993944356365754193784103706700609561770247555832359683008614876192584738534198649251915489100192910235497240729, 969584864618350548573879514405798110739020997255786147754353418263140741786718203172013471748696400657712445258494301947449205093259143099235572291402265831321039275001497928579686310419303799571460516007736804962510266314260484877, 977635869919691501956476862485989771461480520535754082824505449124021204549179419508424215127475063873127952064971338143136691515421466871627243381628988777601672460858098249144471775030169367579800220246847826510445608881346258241, 78547544255936347746865903259860321812178052069796003154571672431430356709336862994676369608681727972743046653319757142976388460246409300441314120923213061705641045744824531268088986356203751782848608006264879618324460588039470689, 917852167599983949701460374746950168138446186550074700858636881546192542929330983597633909534315139846805451671216776221152853388795036676315895948093016056124384137235869660229554239964598066970045657946753074761366723500887474273, 512767915836808239407587704603826045022417741229198687031456060058182528147222248648359114235863620155721720617193551963387219761946115199232261616095015003006138489919312964841684835736418589367746436759162173805823822810793395319, 1528664914065178933673821962753205462549978186396819666317790993639228285768444490202530533489915241541000489357324333513953018274712260336841857865516134868397620862505815431605074038377372062941322744934135683316080403207986149067]
from hashlib import sha256 def valid_serial(serial): assert type(serial) == str assert len(serial) > 0 if not '0' != serial[0]: assert 1 == len(serial) for c in serial: if not ord('0') <= ord(c) <= ord('9'): if not ord('A') <= ord(c) <= ord('F'): raise AssertionError return serial def valid_username(username): assert type(username) == str assert len(username) > 0 for c in username: assert ord(c) > 0 return username def get_enc_seq(username): h = sha256() h.update(username) hash_value = int(h.hexdigest(), 16) T = 9 S = 10 stat = [0] * (T + 1) seq = [0] n = hash_value while n > 0: if S * T > len(seq): now = n % T + 1 if stat[now] < S: seq.append(now) stat[now] += 1 n //= T return seq def enc0(m, e, n): nbit = 192 T = (n.bit_length() - 1) // nbit + 1 ans = 0 for i in range(T - 1, -1, -1): def xxx(x, t): return x >> t * nbit & (1 << nbit) - 1 now_n = xxx(n, i) now_e = xxx(e, i) now_m = xxx(m, i) if now_m >= now_n: return 0 ans = (ans << nbit) + pow(now_m, now_e, now_n) return ans
三份python代码中,CMpub.py的结构最简单,放了10组n、e。
general.py中只有一些函数,供CM.py调用。
主程序CM.py的执行流程如下:
因此,只要能破解这十组RSA加密,此题即可攻破。
第0组实际上包含有4个192bit的RSA;第1-9组均为768bit的RSA。
对于RSA算法,如果能够将公钥的n分解,那么就可以将其攻破。
当然,破解一个RSA并不一定完全依赖于直接分解一个大整数。
有些时候需要借助e的帮助来分解n;有些时候,并不需要分解n也可以获得RSA的明文;有些时候……
第0组
192bit实在是太短了,yafu、msieve均可以在5秒内分解一个192bit的整数。
对于这一组的n,yafu用了约80秒成功分解;msieve只花了两秒。
这一组RSA的问题在于,n有一个因子太小了,只有32bit。因此在生成RSA时,应尽量使得p和q的比特数相接近。
对于这一组的n, yafu用了约80秒成功分解。
它能够快速被分解的原因在于,存在因子p使得p-1不含大素因子。
这一组的n有一个因子为p=36796059015915981995743432427927902530578158826788662547913509800095517347118062478922356654842254755916234587213077;
将p-1放到yafu里面可以快速得到:
p-1最大的质因子只有22bit。
在已知p-1的质因子的上界的条件下,n是可以被快速分解的。
笔者使用使用上述方法,使用python可在30秒之内分解n得到p。
yafu未能快速分解。
这一组RSA的弱点在于,n存在因子p使得p+1不含大素因子。
这一组的n有一个因子为p=34508357350889186927005771176009938286558270433215942821530479444470024241863567490529149148811494601012847563892119;
将p+1放到yafu里面可以快速得到:
p+1最大的质因子只有22bit。
在已知p+1的质因子的上界的条件下,n是可以被快速分解的。
笔者使用使用上述方法,使用python可在40秒之内分解n得到p。
这一组RSA的弱点在于,n的两个质因子p和q的差值过小。
笔者使用使用上述方法,使用python可在45秒之内得到n的两个质因子p、q。
此p和q均为384bit质数,它们的高175bit都是相同的。
弱点不在于n,而在于e。
在mod phi(n)的群(记为群G)中,e的阶为973。
记e的阶为t,那么,对密文迭代加密t-1次即可得到明文。
这一解法是我们出题时的想法,即迭代攻击。
在此题结束后的交流讨论中,readyu提出,对于任选的大于1的整数g,计算:
即可得到N的一个非平凡因子,N随即被分解。
我们验证了这个方法,它确实是正确的,也是我们在出题时没有发现的。
我们就此方法进行了讨论,并给出以下命题及其证明:
我们在构造这一组RSA迭代攻击的数据时,仅仅关注了e的阶的大小。
但没有进一步思考它和phi(p-1)、phi(q-1)的关系,及其造成的影响。
在此基础上,我们在类似的数据中又有了一些新的发现:
对于这样的情形,我们尚未找到其原因,欢迎各位大佬一起来讨论。
Wiener's Attack。
弱点不在于n,而在于私钥d。如果d的比特长度短于n的比特长的四分之一,那么此攻击就会生效。
攻击的过程中可以(顺便)得到n的分解。
算法写对的话,破解时间在1秒以内。
我们发现,网上有些实现此攻击的代码是有缺陷的。使用这些代码时,对于某些情况,即使d很短,也无法攻击成功。
(所以写代码之前还是要记得仔细读论文哦!
这两组RSA的n不互素,将它们做gcd(最大公因数)即可得到质因子。
这一组RSA的n即是(著名的)RSA-768。
曾是RSA破解挑战列表中的一员,后被成功分解,计算时间在两年左右。
现已被列入“RSA黑名单”。
(要多多关注安全咨询哦!
((当然了,这种数字在factordb上是一定可以查得到的
(((除了这一组的n之外,其它的n在赛前factordb上都是没有的!
输入某些用户名,有可能会给出一个序列号。将这组用户名和序列号放到主程序里面加密,有惊喜。
附上我们的KeyGen.exe。
运行时间在5min以内。
(这是一个python程序
此题基于RSA算法,虽算不上10大经典案例,但至少可以充当10大“
反面典型
”。
出题团队希望借此题向大家展示:A known mistake is better than an unknown truth.
(
出题团队: {
iiiiiiiiiiii:一个小肥宅,晚上不睡觉,白天起不来,
xh1998:国家一级彩蛋制造专家,
leafpad:仍旧是萌新,
Venessa:深深觉得还是自然科学有意思的密码学方向在读研(小)究(姑)生(娘),
}
# 我们的征程是吸尘器和云台
# 两只黄鹂鸣翠柳 一行白鹭上青天
)
[进行中]2019 KCTF总决赛 | 巅峰对决,谁与争锋!(感谢第五空间和安恒信息对活动的支持!)
最后于 22小时前 被iiiiiiiiiiii编辑 ,原因: