

sky's blog

当中国剩余定理邂逅RSA

sky's blog

当中国剩余定理邂逅RSA

writeup crypto

字数统计: 1,272阅读时长: 5 min

 2018/11/17  Share

• 
• 
• 
• 
• 

文章首发于安全客 https://www.anquanke.com/post/id/164575

前言

实在不知道起什么标题，于是滑稽了一波。写这篇文章的起源是2018高校网络信息安全管理运维挑战赛的一道RSA题目，借此机会，将中国剩余定理与RSA的结合研究一下。

题目描述

拿到题目很简短

身陷囹圄

发现

assert gcd(e1,(p1-1)*(q1-1))==14
assert gcd(e2,(p2-1)*(q2-1))==14

那么本能想到公约数的问题，于是尝试

gcd(n1,n2)

发现有公约数

12120327527644543811107783655014863098833219936714394976342507913322405566177432644931575840816861543106701611662013978324877080018872656490603706071067111

那么可以分解出p和q1,q2

p = gcd(n1,n2)
q1 = n1/p
q2 = n2/p

得到结果

p=12120327527644543811107783655014863098833219936714394976342507913322405566177432644931575840816861543106701611662013978324877080018872656490603706071067111
q1=12037827528067911684278967221392433256129944002157200272548317200308481572950474775891360447285969682243206009995242277136633522897723532096467191105943909
q2=12301580698247665838432962460247894405698817646605188562297985838079356879336309758823376086396761749681729993573203954506346863479448531269351981555913253

到目前为止一直很开心，因为成功的分解了p和q
那么是不是直接求逆元，得到私钥，就结束了呢？
我开心的运行

print gmpy2.invert(e,phi)

直到报错，我才想起来

gcd(e,phi)=14

所以直接求逆元肯定是不行的
第一时间想到的是Rabin Attack，但是那是e=2的时候，所以此时陷入困境

公式代换

后来想到等式代换

$$gcd(e,\phi(n))=b \\ ed \equiv 1 \space mod \space \phi(n)\\ e = a*b\\ abd \equiv 1 \space mod \space \phi(n)\\ m^{ab} \equiv c \space mod \space n\\ c^{bd} \equiv m^{abbd} \equiv m^b \space mod \space n \\$$

我们知道b=14，此时a和phi(n)互素
那么可以求a和phi的逆元得到bd

gmpy2.invert(a,phi)

于是可以

pow(c,bd,n)

得到m^14 mod n1的值，于是同理：
n1得到一组m^14 mod n1的值
n2得到一组m^14 mod n2的值
可以得到以下方程组：

$$res_1 \equiv m^{14} \space mod \space n_1 \\ res_2 \equiv m^{14} \space mod \space n_2 \\$$

如果这里不是m^14，是m^2或者m^3
那么完全可以尝试爆破得到m
因为m^2不会太大，所以

$$m^2+k*n_1 = res_1$$

那么完全可以使用低指数的思想去破解
然而这里是m^14，并不是啥低指数了。

中国剩余定理

虽然题目走的绝，但是他给了2组等式，那么这样的等式，仅仅为了让我们利用公约数分解p,q这么简单吗？答案显然是否定的
这里我们可以尝试中国剩余定理

$$res1 \equiv m^{14} \space mod \space n_1 \\ res2 \equiv m^{14} \space mod \space n_2 \\$$

二者联立，可以求出m的特值，但是这里的m值并不是真的flag的明文
因为m^14足够大，这里仅仅是个模数，可以理解为

flag=m+k*n1

依旧需要爆破k，如果flag的长度比较短，例如

flag={this_is_flag}

那么很快可以爆破出来，但是事实上，题目的格式都是
EIS{MD5(.....)}
估计一时半会儿出不来了

灵感乍现

在非常难受的情况下，学长给了我一些点播，我们刚才的做法，完全是对中国剩余定理使用的浪费，我们可以根据中国剩余定理得到如下3个式子

$$res1 \equiv m^{14} \space mod \space p \\ res1 \equiv m^{14} \space mod \space q_1 \\ res2 \equiv m^{14} \space mod \space q_2 \\$$

即模数分解，这样依旧可以计算出特解m

1157918953656051452784355699923609238578087085530356730257378716186056416448726997740518977363905297393271755641099448971883212306481009956454341821281132105675527179275608942496622728690548474209986204730278844220750782548612807173412632486533313585094360198798935868257031751209954691446183447044165077233401610378901936945171131038402147803394967428713339276583596523854139656861116867477243532939513114104962464919267716378905965731491698192883615068033313579

之前我们到这里为止，开始了爆破，无果而终。
那之前为什么我们不把现在这个局面当做

$$c \equiv m^{14} \space mod \space n_1 \\$$

这样一个问题去解决呢？
这里的c我们已经求得，n1也是已知的，并且可以被分解，公钥e=14
因为这样无济于事，e依旧和phi(n1)有公约数。
那有没有办法换个模数呢，让phi与e互素
这里就是这道题的有趣之处:
我们可以将后2个式子合并

$$res \equiv m^{14} \space mod \space q_1q_2 \\$$

（注：为什么可以合并呢？）
我们可以这样理解

$$res_1 = k_1*q_1+m^{14}\\ res_2 = k_2*q_2+m^{14}\\ res_1*res_2=k_1k_2q_1q_2+(k_1q_1+k_2q_2+m^{14})m^{14}$$

两边同时模q1q2，即可得到合并后结果
所以我们现在有等式

$$res \equiv m^{14} \space mod \space q_1q_2 \\$$

我们可以把他当做一个新的RSA题目：

密文等于中国剩余定理求出的m特解
公钥等于14
模数已经分解为q1和q2

水到渠成

那么这样一看，就是一个非常简单的RSA题目了

c=1157918953656051452784355699923609238578087085530356730257378716186056416448726997740518977363905297393271755641099448971883212306481009956454341821281132105675527179275608942496622728690548474209986204730278844220750782548612807173412632486533313585094360198798935868257031751209954691446183447044165077233401610378901936945171131038402147803394967428713339276583596523854139656861116867477243532939513114104962464919267716378905965731491698192883615068033313579
q1=12037827528067911684278967221392433256129944002157200272548317200308481572950474775891360447285969682243206009995242277136633522897723532096467191105943909
q2=12301580698247665838432962460247894405698817646605188562297985838079356879336309758823376086396761749681729993573203954506346863479448531269351981555913253
e=14

当我们兴致勃勃去求逆元私钥d时，又发现

这里的e和phi又不是互素的，有公约数2，乍一看非常头疼
实际上，这里的公约数2和14比实在太小了，所以我们可以直接破解：
按照之前的思路

$$c \equiv m^e \space mod \space q_1q_2\\ e = 2*7 \\ 2*7*d \equiv 1 \space mod \space q_1q_2\\ m^{2} \equiv c^{2d} \space mod \space q_1q_2\\$$

2d可以通过7的逆元求得，由于2次方太小，所以直接对m开方即可
完整脚本如下

n1=0xcfc59d54b4b2e9ab1b5d90920ae88f430d39fee60d18dddbc623d15aae645e4e50db1c07a02d472b2eebb075a547618e1154a15b1657fbf66ed7e714d23ac70bdfba4c809bbb1e27687163cb09258a07ab2533568192e29a3b8e31a5de886050b28b3ed58e81952487714dd7ae012708db30eaf007620cdeb34f150836a4b723L
e1=0xfae3aL
c1=0x81523a330fb15125b6184e4461dadac7601340960840c5213b67a788c84aecfcdc3caf0bf3e27e4c95bb3c154db7055376981972b1565c22c100c47f3fa1dd2994e56090067b4e66f1c3905f9f780145cdf8d0fea88a45bae5113da37c8879c9cdb8ee9a55892bac3bae11fbbabcba0626163d0e2e12c04d99f4eeba5071cbeaL
n2=0xd45304b186dc82e40bd387afc831c32a4c7ba514a64ae051b62f483f27951065a6a04a030d285bdc1cb457b24c2f8701f574094d46d8de37b5a6d55356d1d368b89e16fa71b6603bd037c7f329a3096ce903937bb0c4f112a678c88fd5d84016f745b8281aea8fd5bcc28b68c293e4ef4a62a62e478a8b6cd46f3da73fa34c63L
e2=0x1f9eaeL
c2=0x4d7ceaadf5e662ab2e0149a8d18a4777b4cd4a7712ab825cf913206c325e6abb88954ebc37b2bda19aed16c5938ac43f43966e96a86913129e38c853ecd4ebc89e806f823ffb802e3ddef0ac6c5ba078d3983393a91cd7a1b59660d47d2045c03ff529c341f3ed994235a68c57f8195f75d61fc8cac37e936d9a6b75c4bd2347L
from libnum import *
import gmpy2
p=gcd(n1,n2)
q1=n1/p
q2=n2/p
assert(p*q1==n1)
assert(p*q2==n2)
f1=(p-1)*(q1-1)
f2=(p-1)*(q2-1)
tmp=gcd(e1,e2)

e1=e1/tmp
e2=e2/tmp
d1=invmod(e1,f1)
d2=invmod(e2,f2)

m1=pow(c1,d1,n1)
m2=pow(c2,d2,n2)
m3=m1%p
m2=m2%q2
m1=m1%q1

m=solve_crt([m1,m2,m3], [q1,q2,p]) 
print m
n=q1*q2
f=(q1-1)*(q2-1)
m=m%n
d=invmod(7,f)
m=pow(m,d,n)
print n2s(gmpy2.iroot(m, 2)[0])

后记

当我们的公钥与phi不互素时，不仅有Rabin Attack解法了，这道题对中国剩余定理的灵活运用非常有趣XD

点击赞赏二维码，您的支持将鼓励我继续创作！

• Next Post
  2018 安恒杯 11月月赛writeup
• Previous Post
  2018 Xctf Final LCTF-Bestphp

Powered by Hexotheme Archer

CATALOG

1. 1. 前言
2. 2. 题目描述
3. 3. 身陷囹圄
4. 4. 公式代换
5. 5. 中国剩余定理
6. 6. 灵感乍现
7. 7. 水到渠成
8. 8. 后记



• Archive
• Tag
• Cate

Total : 225

2020

• 08/232020 第四届强网杯全国网络安全挑战赛Online Writeup
• 08/202020 全国大学生信息安全竞赛Online Web题解
• 08/11Paper Summary & ABSynthe & Automatic Blackbox Side-channel Synthesis onCommodity Microarchitectures
• 08/012020 WMCTF Online Web Writeup
• 07/252020 Cybrics CTF Web Writeup
• 07/22Laravel 5 Deserialization Chain Summary
• 07/19Laravel 7 Deserialization Chain Summary
• 06/272020 TCTF Online Web WriteUp
• 06/242020 第五空间 Web Writeup
• 06/22CVE-2019-10795 & undefsafe Prototype Pollution Vulnerability
• 06/12Web缓存利用分析(三)
• 06/12Web缓存利用分析(二)
• 05/29Paper Summary & Deemon & Detecting CSRF with Dynamic Analysis and Property Graphs
• 05/14Web缓存利用分析(一)
• 05/05Paper Summary & NAVEX-Precise and Scalable Exploit Generation for Dynamic Web Applications
• 05/032020 De1CTF & Animal Crossing
• 04/29Paper Summary & FUSE & Finding File Upload Bugs via Penetration Testing
• 02/092020 CodeGate Web Writeup
• 01/14Paper Summary & Webshell Detection Based on Random Forest–Gradient Boosting Decision Tree Algorithm
• 01/13Paper Summary & Evaluating CNN and LSTM for Web Attack Detection
• 01/13Paper Summary & Detecting Webshell Based on Random Forest with FastText
• 01/09Paper Summary & CNN-Webshell & Malicious Web Shell Detection with Convolutional Neural Network
• 01/09Paper Summary & Peeves ：Physical Event Verification in Smart Homes

2019

• 12/132019 FudanCTF Writeup
• 12/07Paper Summary & LEMNA & Explaining Deep Learning based Security Applications
• 12/062019 SWPU CTF Web Writeup
• 12/06Paper Summary & Prototype pollution attack in NodeJS application
• 12/032019 TMCTF Final & Hack Server
• 10/192019 巅峰极客 Online WriteUp
• 09/282019 OGeek Final & Java Web
• 09/272019 Trend Micro CTF & Java Web
• 08/152019网络与信息安全领域专项赛Web Writeup
• 08/032019 De1CTF Writeup
• 08/02phpggc详解
• 07/22CVE-2019-9081:Laravel Deserialization RCE Vulnerability
• 07/22CyBRICS CTF Quals 2019 Web Writeup
• 07/18Summary of serialization attacks Part 3
• 07/122019 0ctf final Web Writeup（2）
• 07/092019 WCTF & P-door
• 07/042019 神盾杯 final Writeup（2）
• 07/032019 神盾杯 final Writeup（1）
• 06/162019 强网杯final Web Writeup
• 06/102019 0ctf final Web Writeup（1）
• 05/252019 强网杯online Web Writeup
• 05/182019 RCTF Web Writeup
• 05/05Summary of serialization attacks & Part 2
• 05/05Summary of serialization attacks & Part 1
• 04/252019西湖论剑AD攻防Web题解
• 04/12从PHP底层看open_basedir bypass
• 04/08Some Trick About LFI
• 03/292019 Pwnhub-Always be with U-Writeup
• 03/29PHP Parametric Function RCE
• 03/252019 0CTF Web WriteUp
• 03/102018 Code Breaking(1) & function
• 03/102018 Code Breaking(2) & pcrewaf
• 03/102018 Code Breaking(3) & phplimit
• 03/102018 Code Breaking(4) & phpmagic
• 02/25从一道题看imap_open() rce
• 02/242019 安恒杯 2月月赛 Writeup
• 02/21浅谈RSA公钥非素数问题
• 02/192019 Hgame Week4 Crypto&Sign_in_SemiHard
• 02/182019 Hgame Web Week4 Writeup
• 02/102019 Hgame Web&Crypto Week3 Writeup
• 02/052019 Hgame Web Week2 Writeup
• 01/252019 Hgame Web Week1
• 01/252019 安恒杯 1月月赛 Writeup
• 01/22JavaScript侧信道时间测量

2018

• 12/24Cross-Browser-Tracking-Summary-Part-4
• 12/21Cross-Browser-Tracking-Summary-Part-3
• 12/20Cross Browser Tracking Summary Part-2
• 12/172018 SWPUCTF Web
• 12/15Cross Browser Tracking Summary Part-1
• 11/242018 安恒杯 11月月赛writeup
• 11/17当中国剩余定理邂逅RSA
• 11/172018 Xctf Final LCTF-Bestphp
• 11/162018 EIS web
• 11/122018 HCTF Web Writeup
• 11/12Artificial Intelligence Review
• 11/042018 上海大学生信息安全竞赛 web
• 10/29Symmetric block ciphers Summary - DES & AES
• 10/132018 护网杯 web writeup
• 09/242018安恒杯 9月月赛Writeup
• 09/172018-noxCTF-Crypto-RSA
• 09/17Crypto-RSA-公钥攻击小结
• 09/15浅析RSA Padding Attack
• 09/13Crypto-RSA多等式攻击总结
• 09/10Pwnhub-Crypto-韩国欧巴
• 08/252018 安恒8月赛 Writeup
• 08/25RSA之拒绝套路(2)
• 08/24Crypto之击破多层加密
• 08/24RSA之拒绝套路(1)
• 08/23从一道Crypto题目认识z3
• 08/202018 WhiteHat writeup
• 08/18浅析xml之xinclude & xslt
• 08/17SOAP及相关漏洞研究
• 08/17php函数默认配置引发的安全问题
• 08/172018 RealWorld Web Writeup
• 08/17xss->ssrf->redis
• 08/17浅析xml及其安全问题
• 08/16一道CTF题引发的思考-sql注入
• 08/16Upload-labs&Upload Bypass Summarize
• 08/16inndy-crypto-writeup
• 08/15从一道CTF题引发的思考
• 07/302018 ISITDTU CTF-Web
• 07/262018 MeePwn-Web-复现
• 07/232018 巅峰极客-Web补题
• 07/18东南-复旦保研经历及感想
• 07/14软件安全复习总结
• 07/13网络管理复习
• 06/29安全协议考试重点
• 06/20DC0531-web
• 06/13保研机试C++算法复习
• 06/05Network Management Review
• 06/04Secure Protocol Review
• 06/032018.6.1 信息安全铁人三项赛数据赛题解
• 05/312018.5.18 信息安全铁人三项赛数据赛题解
• 05/302018.5.5 信息安全铁人三项赛数据赛题解
• 05/272018RedHat-AD-Web
• 05/19Json Web Token历险记
• 05/192018CUMTCTF-Final-Web
• 05/122018年第四届全国网络空间安全技术大赛
• 05/012018-RedHat-Web_Misc
• 04/27线下AD&代码审计&ECShop V2.7.3
• 04/222018 DDCTF-bitcoin-51%Attack
• 04/21数据分析-企业渗透过程
• 04/21流量分析-CTF题目实战
• 04/162018-XCTF-HITB-PhpLover
• 04/15Long-Ago-AWD-Flasky
• 04/132018-XCTF-HITB-WEB
• 04/112018 0ctf-ezdoor
• 04/092018 0ctf-login me
• 04/042018 pwnhub time injection带来的新思路
• 04/04amazing phpinfo()
• 04/01Python is the best language
• 03/23从sql注入到xslt再到xxe的一道ctf题目
• 03/21从一道题深入mysql字符集与比对方法collation
• 03/15solveme.peng.kr-web
• 03/15Some trick in ssrf and unserialize()
• 03/12N1CTF 2018-Web
• 03/09php-command/code-injection summary
• 03/052018安全客元宵节小礼品趣味题
• 02/27RingZer0-web-sql系列记录
• 02/272018安恒杯2月月赛web题解
• 02/25hgame-week4-web
• 02/21week3-hgame之web粗略记录
• 02/13happymoctf之web全题解
• 02/02skysql之union绕waf
• 02/01HITCTF-WEB题解
• 01/31moctf-Web题解
• 01/27最近复现的几个CVE题目
• 01/27有点意思的3道web题
• 01/222018 安恒一月月赛部分题解
• 01/182018 XCTF-赛博地球杯工业互联网安全大赛web部分题解
• 01/07hackme网站边做边记录

2017

• 12/29Time_Based_RCE
• 12/29cms小白审计-typecho反序列漏洞
• 12/25一道有关密钥编排的DES题目
• 12/24密码学课程设计之二手撸AES加解密程序
• 12/24密码学课程设计一之维吉尼亚唯密文破解
• 12/24密码学课程设计二之手撸DES加解密程序
• 12/192017 安恒12月赛之VSCMS审计
• 12/172017 安恒杯-12月月赛
• 12/15parse_url函数小记
• 12/142017 pwnhub成功就是要梭哈之学习记录
• 12/13密码学课程3道古典密码题目
• 12/13padding oracle和cbc翻转攻击
• 12/112017.12.11学习笔记
• 12/11Jarvis-OJ-Crypto
• 11/27算法上机题复习
• 11/272017 湖湘杯复赛web400
• 11/252017 湖湘杯复赛web题解
• 11/19近期做的其他平台的3道注入题
• 11/18第三届上海AWD线下赛感悟
• 11/12MCTF-flappybird题解
• 11/122017 hctf的3道web题题解
• 11/052017 上海赛的RSA研究
• 11/052017 上海线上赛web题解
• 10/302017 XDCTF线下赛经历及感悟
• 10/292017 安恒总决赛的一道代码审计
• 10/282017 geekgame部分web题解
• 10/27江苏第六届省赛线下AWD感触
• 10/232017 BDCTF第一轮初赛web题解
• 10/22ss和kali源遇到的bug记录
• 10/22安恒秋季线下赛决赛wp
• 10/15安恒杯Web安全测试赛秋季赛部分wp
• 10/12安恒秋季测试赛web部分wp
• 09/08XSS挑战之旅-bugku
• 09/06过气的00截断
• 09/06有趣的.htaccess
• 08/28sql注入—into outfile、load_file()
• 08/212017 Xman线下赛源码审计
• 08/19SSRF学习
• 08/18xml注入攻击学习
• 08/18密码学自学
• 08/17Hexo报错，DEP0061
• 08/16jarvisoj-web
• 07/25RSA常用工具
• 07/25github博客之page build failed
• 07/24docker基础学习
• 07/23SQLi-LABS(Challenges)(Less-54 ~ Less-65)
• 07/23SQLi-LABS(Stacked)(Less-39 ~ Less-53)
• 07/22PHP函数黑魔法小总结
• 07/20SQLi-LABS(Adv)(Less-23 ~ Less-38)
• 07/19sql注入的一些技巧原理
• 07/18SQLi-LABS(Basic)(Less-1 ~ Less-22)
• 07/18flask的excel导入与导出
• 07/12.git学习-边学边记录
• 07/11sniperoj-web
• 07/10曼切斯特与差分曼切斯特
• 06/28马原闲聊
• 06/28openctf-writeup
• 06/26记一次蛇皮的微机实验考试
• 06/24计网复习总结
• 06/22闲着无聊随便写的微机代码
• 06/21微机实验考试代码
• 06/21RSA算法研究
• 06/20GCTF的一道php反序列化题目
• 06/19CRC32爆破总结
• 06/18陕西杯web详解
• 06/18微机实验代码
• 06/16CBC字节翻转攻击
• 06/16Bugku-writeup
• 06/16CUMTCTF-初赛
• 06/16椭圆加密算法ECC
• 05/172017-CUMTCTF-Final

web writeup crypto misc others cve paper ml IOT



缺失模块。
1、请确保node版本大于6.2
2、在博客根目录（注意不是archer根目录）执行以下命令：
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置：

jsonContent:
  meta: false
  pages: false
  posts:
    title: true
    date: true
    path: true
    text: false
    raw: false
    content: false
    slug: false
    updated: false
    comments: false
    link: false
    permalink: false
    excerpt: false
    categories: true
    tags: true

web writeup crypto misc others paper

