cry1のWP, 大杂烩暂时挖坑 题面 from gmpy2 import * from Crypto.Util.number import * from secret import flag m = bytes_to_long(flag) R = getPrime(256) S = getPrime(512) A = getPrime(1024) N = R * S * A c = pow(m, 0x10001, N) # c = m^e mod N RA = R & A print('RSA1',hex(RA * S)) print('RSA2',hex(RA | S)) print('c', hex(c)) print('N',hex(N)) # RSA1 0x97be543979cb98c109103fa118c1c930ff13a6b2562166417021afd6e46cb0837a5cc5f4094fcea5fcc33efdfa495050e0fb8269922b3ee2d403210ed1ba339af2dc3d4e8952f0c784fcc655436cf255b98cdaf8080df47f6c28bc0bae68c713 # RSA2 0xa887aa84f3a0bd8b79ed59a7bb98d8e58a85414f85cf2ddf53ff4bd9294bfdadf7d6d6adfe7fbed55fc71b5a6bfcfe79ced27e2f41e7546a8679daf5b63dda37 # c 0x2f62fb7e7e8e27823193119f8412050ade9084ade25261a5875da23a07d5d5145e72d460697984d8aa668a25822009a4fdc85df2b208941cd3219b312f21c3c7bc4ef7aa8c18b4f91a0e815fe1892fca0f72406e571fbd0fea2c4710c601165ccd7e8a5a828721a5e2c956b732223d683d1413ef393b5f80a431c52bf9099e22b8e27daafb9d3e055242b89b5419b8925744ccf348e1bea519225af8efe7dbcc202425251039cbfe6b892a7fcf7e9d72224ea9381e3fb32ab837139af4b4112a3c7a6571c88e7d6c5db4c3f91e25edd15eb5544ef2f29a9e1bb1062ec86f1902 # N 0x58a7ff25292651e1a8d82656d64fe3b458d6e688405e85aa6c02e0c33469ad3dbaef6c6eaf8faf22f2d15e80856ab7b90a40fd50c36f7b59932bc94e6fb4fabefa87b11bf4ef74df4ccf8d254f0c6812628df3c5b3786af35e3dde9c87b462d1a565af6f100750718ccb7235174947f00cec5836765150f1680d0c58a5f9ea2473a6033c218c75664dc53377dde9386f37e1a89d77e61a716129d290c5a41f81cd3490bab6fe51f232ab27cb1ac9c8eb88e908c12109a125b7439c25b6879283a17a3467823fbb089709eb836cfd03386cc4bf186eb45401472ab0bdec605fd7 非预期解(因$N$与$rsa1$中存在公因子$S$, 直接gcd(rsa1, N) 求出S, 又因为 $S > m$ 于是 $S$ 直接当做 $N$ 使用 Q: 为什么这里的 $S$ 可以当作 $N$ 使用呢 A: 这里因为 $m$ 比 $S$ 小, 所以在模 $S$ 和模 $N$ 下加密程序( $c = m^e mod N$ )求出来的 $c$ 是一样的, 于是把 $S$ 当 $N$ 算 可以理解为因为加密公式为 $m^e mod n$ , 膜的数学小技巧为 $c = m^e mod n$ 等同于 $c＝(m mod n)^e$ , 所以在 $S＞m$ ( $s$ 是 $n$ 的一个因子) 的时候, $S$ 可以直接接做 $N$ 使用 问了些师傅 + 个人想法, 如果有错请联系我更正谢谢！ 非预期解法code from Crypto.Util.number import * from z3 import * from gmpy2 import * # from sage.all import * from math import gcd rsa1 = 0x97be543979cb98c109103fa118c1c930ff13a6b2562166417021afd6e46cb0837a5cc5f4094fcea5fcc33efdfa495050e0fb8269922b3ee2d403210ed1ba339af2dc3d4e8952f0c784fcc655436cf255b98cdaf8080df47f6c28bc0bae68c713 rsa2 = 0xa887aa84f3a0bd8b79ed59a7bb98d8e58a85414f85cf2ddf53ff4bd9294bfdadf7d6d6adfe7fbed55fc71b5a6bfcfe79ced27e2f41e7546a8679daf5b63dda37 c = 0x2f62fb7e7e8e27823193119f8412050ade9084ade25261a5875da23a07d5d5145e72d460697984d8aa668a25822009a4fdc85df2b208941cd3219b312f21c3c7bc4ef7aa8c18b4f91a0e815fe1892fca0f72406e571fbd0fea2c4710c601165ccd7e8a5a828721a5e2c956b732223d683d1413ef393b5f80a431c52bf9099e22b8e27daafb9d3e055242b89b5419b8925744ccf348e1bea519225af8efe7dbcc202425251039cbfe6b892a7fcf7e9d72224ea9381e3fb32ab837139af4b4112a3c7a6571c88e7d6c5db4c3f91e25edd15eb5544ef2f29a9e1bb1062ec86f1902 N = 0x58a7ff25292651e1a8d82656d64fe3b458d6e688405e85aa6c02e0c33469ad3dbaef6c6eaf8faf22f2d15e80856ab7b90a40fd50c36f7b59932bc94e6fb4fabefa87b11bf4ef74df4ccf8d254f0c6812628df3c5b3786af35e3dde9c87b462d1a565af6f100750718ccb7235174947f00cec5836765150f1680d0c58a5f9ea2473a6033c218c75664dc53377dde9386f37e1a89d77e61a716129d290c5a41f81cd3490bab6fe51f232ab27cb1ac9c8eb88e908c12109a125b7439c25b6879283a17a3467823fbb089709eb836cfd03386cc4bf186eb45401472ab0bdec605fd7 e = 0x10001 # S = gcd(N, rsa2) 因为 rsa1 和 N 都有相同的因子 (S == Because both rsa1 and N has same factor S. by BaakingDog S = gcd(N, rsa1) # 这里想尝试分解pq, p*q太大未遂 # print(N//S) # 非预期解 常规解法应该求出N的全部因子 (R, A) 然后d = e^-1 mod phi(N); m = c^d mod N (明文就求出来了) # 而这里因为m比s小, 所以在模n和模s下求出来的m是一样的, 于是把s当n算 d = inverse(e, S - 1) # d = e^-1 mod phi(N) 求逆元 m = pow(c, d, S) # 把s当n算 m = c^d mod N print(S > m) # True 加以验证 print(bytes.fromhex(hex(m)[2:])) # 转为字符 # print(long_to_bytes(m)) # 另一种转为字符的方式

碎碎念： rCTF一Misc题(feedback)flag就在给的链接里 但只有1/7的队伍做出来 / 令人唏嘘 / ezPVZ应该第二关需要单独修改数据且如果发现不是所修改的数据应该还原回修改前的状态，或者使用时间齿轮，不然会闪退

n和Q求最大公约数拿到q，P直接开立方拿到p，n整除p和q拿到r 或者求解q时可以 # Eq = Euler(Q) = Euler(q**2) 求q-> sqrt(Euler(q**2)) + 1 = q # EQQ = gmpy2.iroot(Eq, 2)[0] # 求平方根 # q = EQQ + 1 Euler对于任意 互质 的整数a和b有性质f(a b) = f(a) ⋅ f(b) / 题面 from Crypto.Util.number import * import gmpy2 from flag import flag p=getPrime(512) q=getPrime(512) r=getPrime(512) n=p*q*r e=65537 m=bytes_to_long(flag) def Euler(x): res=0 for i in range(1,x): if gmpy2.gcd(i,x)==1: res+=1 return res P=p**3 Q=q**2 c=pow(m,e,n) print(P) print(Euler(Q)) print(c) print(n) #P = 1686761823519516525084824311416810253107853832929411677237594989001281261421956188747941222367576127569696216513071075733130132251383529469095077597202999362675041210639065389821237728348981344440193122126487447235175127680730304754656661704596111547454161716607787386914764780833658069534913186485846587027674567133467341836048413431174183101579802349498153899249182793495245916757355079598668221097821452488627067390724198617676379698358212167618567704428433303 #Eq = 54800501457630149544580145188029519076092032026436445384163914536965196942938808746487258773679836358732387355329080483568564046906919385574994390974732491368590525875801103056613954297623835159311237599961507385582029709732950222118171961946571285930711702624160354541459438994349318149872111029043942485620 #c = 568846080701555049788706647255668980211679838950729382006912035332305772256748203239331545262283165739670330060735508231578298253855583985677482008855909565463834639005910652510802915373310537390293061001384655286359323437737989289787972131460392977341024828530868508329336263146882773903176326250063921456707975853839017504122823304303509269793133132036479219404842827556015566627129747816769486873563843578029479179692030808518925753268233301452280242586076493 #n = 1069981867450019752454430625015273180922733107799929958042241890002915414684562764186875387471850290817321430141222917656674447229697676236077201897275059270515637506529666384968535578683380559782336910645306992981172862940944536463561840412558764760962107958365575095435157363812028759723055357681895134974760386884254380189603418912937553755099672511307377054933171384741715642510754214768859689909974996095149155241791151425031489280537907842378844226410097051 $gcd$ 方法 from Crypto.Util.number import * e = 65537 r = 12142261002625479270959358223863571062295429117378994112396394259314721874267081158944354513358164889564741712782226613341612447412750073385958464420872713 c = 568846080701555049788706647255668980211679838950729382006912035332305772256748203239331545262283165739670330060735508231578298253855583985677482008855909565463834639005910652510802915373310537390293061001384655286359323437737989289787972131460392977341024828530868508329336263146882773903176326250063921456707975853839017504122823304303509269793133132036479219404842827556015566627129747816769486873563843578029479179692030808518925753268233301452280242586076493 n = 1069981867450019752454430625015273180922733107799929958042241890002915414684562764186875387471850290817321430141222917656674447229697676236077201897275059270515637506529666384968535578683380559782336910645306992981172862940944536463561840412558764760962107958365575095435157363812028759723055357681895134974760386884254380189603418912937553755099672511307377054933171384741715642510754214768859689909974996095149155241791151425031489280537907842378844226410097051 # p = gmpy2.iroot(P, 3)[0] # 开3次方根 p = 11903771663059518341912645066042582267678745214691121272332269847512624178064427789028954264701292914161793272471217879550653909080475237446747964043276487 # q = gmpy2.gcd(n,Eq) q = 7402736079155473279000574596031490410671021795687853893698348179857428763438305848933328416647633118223876785823588566614584124350907811192587130096357221 phi = (q - 1) * (p - 1) * (r - 1) # phi = (q - 1) * (p - 1) # n = q * p d = pow(e, -1, phi) # 求逆元 d = e**-1 mod phi m = pow(c, d, n) print(long_to_bytes(m)) 拿到q p r (n的三个因子) 后也可以只用q p (不用r) 构造出新的phi, d和n来解密(数学底力不足，有的题不能这样操作，原因暂时未知，挖坑先) from Crypto.Util.number import * q = 7402736079155473279000574596031490410671021795687853893698348179857428763438305848933328416647633118223876785823588566614584124350907811192587130096357221 p = 11903771663059518341912645066042582267678745214691121272332269847512624178064427789028954264701292914161793272471217879550653909080475237446747964043276487 e = 65537 r = 12142261002625479270959358223863571062295429117378994112396394259314721874267081158944354513358164889564741712782226613341612447412750073385958464420872713 c = 568846080701555049788706647255668980211679838950729382006912035332305772256748203239331545262283165739670330060735508231578298253855583985677482008855909565463834639005910652510802915373310537390293061001384655286359323437737989289787972131460392977341024828530868508329336263146882773903176326250063921456707975853839017504122823304303509269793133132036479219404842827556015566627129747816769486873563843578029479179692030808518925753268233301452280242586076493 n = 1069981867450019752454430625015273180922733107799929958042241890002915414684562764186875387471850290817321430141222917656674447229697676236077201897275059270515637506529666384968535578683380559782336910645306992981172862940944536463561840412558764760962107958365575095435157363812028759723055357681895134974760386884254380189603418912937553755099672511307377054933171384741715642510754214768859689909974996095149155241791151425031489280537907842378844226410097051 # phi = (q - 1) * (p - 1) * (r - 1) phi = (q - 1) * (p - 1) n = q * p d = pow(e, -1, phi) m = pow(c, d, n) print(long_to_bytes(m)) $sqrt(Eq)$ #by sangge’s code from Crypto.Util.number import * import gmpy2 import binascii import hashlib def Euler(x): res = 0 for i in range(1, x): if gmpy2.gcd(i, x) == 1: res += 1 return res # 16进制转字符串 def hex_to_str1(s): s = binascii.unhexlify(s) # ASCII 码转换函数 # unhexlify()传入的参数也可以是b'xxxx'(xxxx要符合16进制特征) return s.decode('utf-8') # s的类型是bytes类型，用encode()方法转化为str类型(去除b'') P = 1686761823519516525084824311416810253107853832929411677237594989001281261421956188747941222367576127569696216513071075733130132251383529469095077597202999362675041210639065389821237728348981344440193122126487447235175127680730304754656661704596111547454161716607787386914764780833658069534913186485846587027674567133467341836048413431174183101579802349498153899249182793495245916757355079598668221097821452488627067390724198617676379698358212167618567704428433303 EQ = 54800501457630149544580145188029519076092032026436445384163914536965196942938808746487258773679836358732387355329080483568564046906919385574994390974732491368590525875801103056613954297623835159311237599961507385582029709732950222118171961946571285930711702624160354541459438994349318149872111029043942485620 c = 568846080701555049788706647255668980211679838950729382006912035332305772256748203239331545262283165739670330060735508231578298253855583985677482008855909565463834639005910652510802915373310537390293061001384655286359323437737989289787972131460392977341024828530868508329336263146882773903176326250063921456707975853839017504122823304303509269793133132036479219404842827556015566627129747816769486873563843578029479179692030808518925753268233301452280242586076493 n = 1069981867450019752454430625015273180922733107799929958042241890002915414684562764186875387471850290817321430141222917656674447229697676236077201897275059270515637506529666384968535578683380559782336910645306992981172862940944536463561840412558764760962107958365575095435157363812028759723055357681895134974760386884254380189603418912937553755099672511307377054933171384741715642510754214768859689909974996095149155241791151425031489280537907842378844226410097051 e = 65537 p = gmpy2.iroot(P, 3)[0] # Euler对于任意 互质 的整数a和b有性质f ( a b ) = f ( a ) ⋅ f ( b ) Eq = gmpy2.iroot(EQ, 2)[0] # 求平方根 q = Eq + 1 r = n//p//q # 求整数除法 phi_n = (p - 1) * (q - 1) * (r - 1) # 求欧拉函数 d = gmpy2.invert(e, phi_n) # 求逆元 m = pow(c, d, n) # 求模幂 # print(m) flag = hex_to_str1(hex(m)[2:]) # 不会附带 b'' 与下方转换类似(# 转化为16进制 后去掉前面的0x 后转化为str类型) # flag = long_to_bytes(m) # 会附带 b'' 可以像上面一样再转一次str print(flag[5:-1]) # 去掉前后的flag{} ,下面继续进行题意要求的md5加密 hash = hashlib.md5() # md5加密 hash.update(flag[5:-1].encode('utf-8')) # encode()方法将str类型转化为bytes类型 print("flag{" + hash.hexdigest() + "}") # hexdigest()方法将bytes类型转化为str类型 ![q的推导.png]]

基本原理 ¶ 公钥与私钥的产生 ¶ 随机选择两个不同大质数 $p$ 和 $q$，计算 $N=p×q$ 根据欧拉函数，求得 $φ(N)=φ(p)φ(q)=(p−1)(q−1)$ 选择一个小于 $φ(N)$ 的整数 $e$，使 $e$ 和 $φ(N)$ 互质。并求得 $e$ 关于 $φ(N)$ 的模反元素，命名为 $d$，有 $ed≡1(modφ(N))$ 将 $p$​ 和 $q$​ 的记录销毁 此时，$(N,e)$ 是公钥，$(N,d)$ 是私钥。

[公式] / 韦达定理 [公式] / 用法 1 [公式] / 2 [公式] / [公式] / [公式] / [公式]

级数 调和级数 调和级数的定义 调和级数是指这样一个数列： [公式] / 调和级数的性质 $\gamma$是欧拉常数，其值为 / [公式] / 明显的, $S(n)$为第$n$个调和数。 / 已知 / [公式] / 欧拉推导过调和级数有限多项式和的表达式为 [公式] / 我们需要满足 $S(n) > k$,即满足 [公式] 化简得 [公式]

Crypto 写博客时的本机python环境：python 3.10 x64 cry1-babyRSA 题目附件 #!/usr/bin/env python3 import libnum import gmpy2 def main(): m = "" p = libnum.generate_prime(1024) q = libnum.generate_prime(1024) n = p * q e1 = 65537 e2 = 1145141 m = libnum.s2n(m) c1 = pow(m, e1, n) c2 = pow(m, e2, n) print(f"n = {n}") print(f"e1 = {e1}") print(f"e2 = {e2}") print(f"c1 = {c1}") print(f"c2 = {c2}") if __name__ == "__main__": main() # ------------ output ------------- # n = 11609263367794994463117283145812710043177521810736993971752031031462916890183901184704668542746877577916588155978013244385351397164066533771160861236441526284927774454246028029331726391203226023580325080150500633513024867014342350030181272221968801196510315424256352865890631054232306002238256568004250127485008008138279976475038656972273740968642332785779132654095393753232949667278798806004585797554024955342308244602767094536835410577382144435188162865642061122467384470501907391577779349252938141732012071206498806107556481558249549513041515803734342211746038126753951345855276903954190730328577080831957273691313 # e1 = 65537 # e2 = 1145141 # c1 = 8279258823057357102846768374381269167364145680055017957250521243478403606503599610855366519746944230676766499525422449675601214010991204564154995560170186683394412090168422510245266135032687364205431432451045158622417794414045719898864520112347836962316252383017549810699146506152781517871135246521405624365475969605452621085531890669372145482824845129281827033881675216546685064514926792907604133415349309151330709913454541960741984877203112442510747386406221828180805888471328964423290560512976977772551838742784356814497777401061881079781523967957560383718977490546677541952293716448514035557723329598904161762173 # c2 = 4995747575438050007737011353038705757162003396847797286289786278729187499823790079035532946676851313055563930519198963823829616599717198622635901839657079748022082189146477789049024407969208203999231434278100203042702919909473619456123328867313626560538182915794195719942071958092695261033449894563006040003298826647287929451919428024895476725340892133852628235964798488419924387986089462246202364608313134686465936926347848518960121189416319175083481701958106210362456062685045840587374473767109533027613795056920007028898921123363733374705988009798831764416119904696307107441325551226052940068337901039381485797771 解题思路 查看代码和注释掉的运行结果可知：m(密文)未知，已知e1,e2,c1,c2,n

stdin A+B / #include <iostream> typedef long long ll; using std::cout; const char endl = '\n'; namespace sscio { inline ll pull() { ll sign = 1LL,res = 0LL; char ch = getchar(); for (;!isdigit(ch);ch=getchar()) { if (ch == '-') { sign *= -1LL; } } for (;isdigit(ch);ch = getchar()) { res = (res << 3) + (res << 1) - '0' + ch; // *10 } return sign * res; } } void solve() { ll n=sscio::pull(); ll p=sscio::pull(); cout << n + p << endl; } signed main() { solve(); return 0 ^ 0; }

【模板】线性筛素数 - 洛谷 / 【深基7.例2】质数筛 - 洛谷 / #include <iostream> #include <bitset> typedef long long ll; const int sz=1e8+10; namespace sscio { inline ll pull() { ll sign = 1LL,res = 0LL; char ch = getchar(); for (;!isdigit(ch);ch=getchar()) { if (ch == '-') { sign *= -1LL; } } for (;isdigit(ch);ch = getchar()) { res = (res << 3) + (res << 1) - '0' + ch; // *10 } return sign * res; } } using std::bitset; bitset<sz> primeTable; int primes[sz],prpp=0; void fetchPrimes(const int &ed) { //线性筛 形参为边界 primeTable.reset(); primeTable.set(0); primeTable.set(1); for(register int cx=2;cx<ed;cx++) { if(!primeTable[cx]) { primes[prpp++]=cx; } for (register int cy=0;cy<prpp&&cx*primes[cy]<ed;cy++) { //用质数来筛质数 primeTable.set(cx*primes[cy]); if (cx%primes[cy]==0) { break; } } } } void solve() { fetchPrimes(sz-6); int n=sscio::pull(); //n为查询范围,因为已经筛了超出题目范围素数了,所以无需处理 int p=sscio::pull(); //查询的个数 while(p--) { int k=sscio::pull(); //表示查询第 k 小的素数 printf("%d\n", primes[k-1]); //因为我们下标从零开始 所以是k - 1 } } signed main() { solve(); return 0 ^ 0; } #include <iostream> #include <bitset> typedef long long ll; const int sz=1e5+10; namespace sscio { inline ll pull() { ll sign = 1LL,res = 0LL; char ch = getchar(); for (;!isdigit(ch);ch=getchar()) { if (ch == '-') { sign *= -1LL; } } for (;isdigit(ch);ch = getchar()) { res = (res << 3) + (res << 1) - '0' + ch; // *10 } return sign * res; } } using std::bitset; bitset<sz> primeTable; int primes[sz],prpp=0; void fetchPrimes(const int &ed) { //线性筛 形参为边界 primeTable.reset(); primeTable.set(0); primeTable.set(1); for(register int cx=2;cx<ed;cx++) { if(!primeTable[cx]) { primes[prpp++]=cx; } for (register int cy=0;cy<prpp&&cx*primes[cy]<ed;cy++) { //用质数来筛质数 primeTable.set(cx*primes[cy]); if (cx%primes[cy]==0) { break; } } } } void solve() { fetchPrimes(sz-6); // int n=sscio::pull(); //n为查询范围,因为已经筛了超出题目范围素数了,所以无需处理 int p=sscio::pull(); //查询的个数 int cnt = 0; //空格数量 while(p--) { int k=sscio::pull(); if (!primeTable[k]) { if (cnt==0) { cnt++; } else { putchar(' '); } printf("%d", k); } } } signed main() { solve(); return 0 ^ 0; }

from Kotori 学长の小测验 / from secret import flag from Crypto.Util.number import * # seed = bytes_to_long(flag) bits = seed.bit_length() while True: p = getPrime(bits + 1) if p > seed: break print(p) a = getRandomRange(1, p) b = getRandomRange(1, p) for _ in range(3): seed = (a * seed + b) % p print(seed) # 31893593182018727625473530765941216190921866039118147474754069955393226712079257707838327486268599271803 # 25820280412859586557218124484272275594433027771091486422152141535682739897353623931875432576083022273940 # 24295465524789348024814588142969609603624462580932512051939198335014954252359986260009296537423802567677 # 14963686422550871447791815183480974143372785034397446416396172429864269108509521776424254168481536292904 RSA的计算过程是： / 任选两个大质数p和q，p!=q，计算N=pq 计算N的欧拉函数r(n)=(p-1)(q-1) 任选一个e满足 1<e<r(n) ,且e与r(n)互质 找到d，使e*d/r(n)=x……1（x是多少不重要，重要的是余数为1）后丢弃p， 至此（n，e）为公钥，（n，d）为私钥 加密：C=Me(mod n)；解密：M=Cd（mod n） 下述推导来自 (RSA 介绍 - CTF Wiki)