【攻防世界】SECCON-CTF-2014 - Decrypt-It-easy

附件给了个可执行文件和一个加密文件，还给了个readme告诉你加密文件就是用可执行文件加密的

可执行文件逆出来是这样的：

是的，输入一个文件，给每个字节异或一个随机数再输出来……

由于加密的是png，前8位是固定文件头，那或许可以破解伪随机数

很自然的想法是爆破，但是时间戳太大了，枚举时间比较长

不过这里使用时间戳加密，因此可以灵稽一动，想到从这场比赛举办的时间附近开始枚举

比赛在2014年举办，那么从2014/01/01的时间戳开始枚举，结果还真的枚举到了囧

（需要注意一点，Linux上的gcc和Windows上的gcc编译完的程序使用相同种子似乎会得到不同的伪随机数，附件里的可执行文件是Linux平台的，因此爆破脚本也应该跑在Linux上）

解完之后是一张图片，这个图片才是真正意义上的密码学题

加密的柿子很简单，但是我没找到什么优美的办法，只能直接配方，然后pq拆成两个柿子，然后二次剩余，然后再中国剩余定理拼回来囧

这里需要注意一点，二次剩余是有重根的，因此对于解出来的m1和m2，还要分别枚举4种情况，找出最有可能是flag的解密串输出（一般判断有没有不可见字符就行了）

代码：

from random import randint
from Crypto.Util.number import *
from gmpy2 import *


def exgcd(a, b):
    if b == 0:
        return 1, 0
    x, y = exgcd(b, a % b)
    return y, x - a // b * y


def crt(a, m):
    M = 1
    for i in m:
        M = M * i

    ans = 0
    for i in range(len(a)):
        x, y = exgcd(M // m[i], m[i])
        ans = (ans + a[i] * M // m[i] * x) % M

    return (ans + M) % M


def mul_i(a, b, t, p):
    return [(a[0] * b[0] + a[1] * b[1] * t) % p, (a[0] * b[1] + b[0] * a[1]) % p]


def pow_i(a, b, c, t, p):
    ans = [1, 0]
    z = [a, b]
    while c > 0:
        if c % 2 == 1:
            ans = mul_i(ans, z, t, p)
        z = mul_i(z, z, t, p)
        c = c // 2

    return ans


def legendre(a, p):
    return pow(a, (p - 1) // 2, p)


def residue(n, p):
    t = randint(0, p - 1)
    while legendre(t ** 2 - n, p) != p - 1:
        t = randint(0, p - 1)

    a = pow_i(t, 1, (p + 1) // 2, t ** 2 - n, p)
    # print('residue:', a[0] * a[0] % p == n)
    return a[0]


def get_string(m):
    s = ''
    while m > 0:
        s = s + chr(m % 256)
        m = m // 256

    return s[::-1]


def check_visible(s):
    for i in s:
        if not 32 <= ord(i) < 128:
            return 0

    return 1


if __name__ == '__main__':
    '''
    n = 0xB8AE199365
    b = 0xFFEEE
    c = 0x8D5051562B
    '''
    N = [0xB8AE199365, 0xB86E78C811, 0x7BD4071E55]
    B = [0xFFEEE, 0xFFFEE, 0xFEFEF]
    C = [0x8D5051562B, 0x5FFA0AC1A2, 0x6008DDF867]
    t = ''
    for i in range(len(N)):
        n = N[i]
        b = B[i]
        c = C[i]
        p = 1
        for i in range(2, n):
            if n % i == 0:
                p = i
                q = n // i
                break

        b2 = b * invert(2, p) % p
        r1 = residue((c + b2 * b2) % p, p)
        m1 = [(r1 - b2 + p) % p, (p - r1 - b2 + p) % p]
        b2 = b * invert(2, q) % q
        r2 = residue((c + b2 * b2) % q, q)
        m2 = [(r2 - b2 + q) % q, (q - r2 - b2 + q) % q]
        for temp1 in m1:
            for temp2 in m2:
                m = crt([temp1, temp2], [p, q])
                s = get_string(m)
                if check_visible(s):
                    break

        # print('crt1:', m % p == m1)
        # print('crt2:', m % q == m2)

        # print(s[::-1])
        t = t + s

    print(t)

 

更新：
在我看了攻防世界admin题解之后，才终于明白怎么用中国剩余定理优雅地做这道题

n很小，qp更小，直接在[0,p)和[0,q)枚举m，就能得到m = m1 (mod p)和m = m2 (mod q)

然后中国剩余定理拼一下就vans了