一周参加培训,看见群里这个附件,后来问了大姥,此题确实有问题。在整理后终于明白怎么加事。
原题通过一个3参2变量的LCG对flag进行加密(每次两字符),但给出的是完整32位,并给出其中一个seed值,经运算这个给出的值不正确。不过由于给出的是完整的32位结果,所以可以直接算出参数。
加密是通过flag每4字节再来seed右移16位得到(密文前两字节可直接得到)
python
from Crypto.Util.number import*
from secret import flag
assert(flag[0:5]==b"flag{" )
assert(flag[-1:]==b"}" )
flag = flag[7:-1]
print(len(flag))
class LCG:
def __init__(self):
self.a = getRandomNBitInteger(32)
self.b = getRandomNBitInteger(32)
self.c = getRandomNBitInteger(32)
self.m = getPrime(32)
self.seed1 = getRandomNBitInteger(32)
self.seed2 = getRandomNBitInteger(32)
def next(self):
tmp = self.seed2
self.seed2 = (self.a*self.seed1+self.b*self.seed2 +self.c) % self.m
self.seed1 = tmp
#return self.seed2 >> 16
return self.seed2 #从给出的T来看,是32位的
def output(self):
print("m = {}".format(self.m))
print("self.seed1= {}".format(self.seed1))
print("self.seed2= {}".format(self.seed2))
L = LCG()
T = [0]
#这里需要经过k次叠代,原题未给出叠代过程
for k in range(random(10)):
T.append(L.next())
#L.output() 在经过k次叠代后输出,并不重要,没有意思,但显然并不是第1次的结果
for i in range(9):
tmp = bytes_to_long(flag[i*4:i*4+4])
tt = L.next()
T.append(tt)
print(tmp^(tt>>16)) #由于给出的tt并不是16位而是完整的32位,加密时使用的应该是16位
print(T[:6])
print("Have a good time!")
'''
m = 3533156827
seed1 = 2970464585
seed2 = 3350124366
enc = [909619317, 912378641, 761422938, 841844503, 1701111746, 1701194992, 959752815, 892545567, 1667598316]
T = [0,3180180532,86337434,1850726346,2970464585,3350124366]
'''
这题由于给出了seed1,seed2所以显得很难理解,如果加上前部叠代次数就很正常了
由于给出6个完整的结果,可以直接算出参数a,b,c再通过叠代k次得到加密序列
python
m = 3533156827
seed1 = 2970464585
seed2 = 3350124366
enc = [909619317, 912378641, 761422938, 841844503, 1701111746, 1701194992, 959752815, 892545567, 1667598316]
T = [0,3180180532,86337434,1850726346,2970464585,3350124366]
T = T[1:]
#先用groebner_basis求参
#这里还用不到seed1,seed2
P.<a,b,c,s1,s2>=GF(m)[]
F = []
#F.append(s1 - seed1) #从原题看这里不是seed1,seed2
#F.append(s2 - seed2)
for i in range(len(T)):
s1,s2 = s2, a*s1 + b*s2 + c
F.append(s2 - T[i])
I = Ideal(F).groebner_basis()
print(I)
# 求解参数a b c
res=[x.constant_coefficient() for x in I]
a = -res[0]%m
b = -res[1]%m
c = -res[2]%m
#a,b,c = 3222280379, 2578155191, 3272724155
然后可以用这个seed1,seed2算后边的加密序列,从而解密
python
from Crypto.Util.number import long_to_bytes as l2b
#使enc^^T[n]为UUID
s1,s2 = seed1,seed2
flag = b''
for i in range(9):
s1,s2 = s2,a*s1 + b*s2 + c
print(s2)
flag += l2b(enc[i]^^(int(s2)>>16))
print(flag)
#flag{67456ac9-b362-11ed-aef7-94085339ce84}