类型:Crypto
题目地址:https://github.com/google/google-ctf/tree/master/2018/quals/crypto-perfect-secrecy
参考:https://github.com/p4-team/ctf/tree/master/2018-06-23-google-ctf/crypto_secrecy
考察知识点:LSB-Oracle
题目给了服务器程序,加密了的flag和RSA的公钥。
这题也是考察了LSB-Oracle,和https://www.jianshu.com/p/0eba943112ec很相似。不同点在于,服务器不会直接返回明文的LSB。相关代码 如下:
m0 = reader.read(1)
m1 = reader.read(1)
ciphertext = reader.read(private_key.public_key().key_size // 8)
dice = RsaDecrypt(private_key, ciphertext)
for rounds in range(100):
p = [m0, m1][dice & 1]
k = random.randint(0, 2)
c = (ord(p) + k) % 2
writer.write(bytes((c,)))
writer.flush()
服务器会先读取我们输的两个字节,然后根据明文的LSB来选择出其中的一个字节,并且返回(ord(our_byte)+random.randint(0, 2)) %2,该操作会重复100次。
现在问题转化为如何根据这100次运算的结果来推断真正的LSB。假设我们输入两个奇偶性不同的字节,比如\1和\2,那么可以有结论:
- 如果LSB 为0,那么会选择 \1,随机的结果为[0,1,2],最后会返回[1,0,1]中的一个
- 如果LSB 为1,那么会选择 \2,随机的结果为[0,1,2],最后会返回[0,1,0]中的一个
我们假定随机的结果为等可能的,即出现0,1,2的概率都是1/3,那么根据古典概型,可知:
- 如果LSB为0,有2/3概率返回 1,1/3概率返回 0
- 如果LSB为1,有2/3概率返回 0,1/3概率返回 1
如果我们统计100次实验的实验结果,我们可以得出结论:
- 如果100次实验中,1的数量大于0,那么LSB 为0是大概率事件
- 如果100次实验中,0的数量大于1,那么LSB 为1是大概率事件
这样我们就可以根据100次计算的 结果推断LSB的情况。用函数实现该过程:
def check_bit(data):
one = 0
zero = 0
for result in data:
if result == '\1':
one += 1
else:
zero += 1
print("diff", abs(zero - one))
if one - zero > 10:
return 0
elif zero - one > 10:
return 1
else:
print("not sure for " + str(zero) + " " + str(one))
return -1
此外为了防止偶然情况,当0和1的数量比较接近(如在10以内),则我们认为无法判断属于哪种情况,需要重新计算。
最后的代码:
from Crypto.PublicKey import RSA
from crypto_commons.generic import bytes_to_long, long_to_bytes
from crypto_commons.netcat.netcat_commons import nc
from crypto_commons.oracle.lsb_oracle import lsb_oracle
def check_bit(data):
one = 0
zero = 0
for result in data:
if result == '\1':
one += 1
else:
zero += 1
print("diff", abs(zero - one))
if one - zero > 10:
return 0
elif zero - one > 10:
return 1
else:
print("not sure for " + str(zero) + " " + str(one))
return -1
def oracle(payload):
data = ""
while True:
try:
url = "perfect-secrecy.ctfcompetition.com"
port = 1337
s = nc(url, port)
s.settimeout(5)
bytes_payload = long_to_bytes(payload).zfill(128)
s.sendall("\1\2" + bytes_payload)
data = ""
for i in range(100):
data += s.recv(1)
try:
s.close()
except:
pass
print(len(data), data)
if len(data) == 100:
bit = check_bit(data)
if bit != -1:
return bit
except Exception as e:
print('retry ' + str(e) + " data received=" + data + " payload=" + str(payload))
pass
def main():
import codecs
with codecs.open("key_pub.pem", "r") as key_file:
with codecs.open("flag.txt", "rb") as flag_file:
flag_data = bytes_to_long(flag_file.read())
data = key_file.read()
key = RSA.importKey(data)
n = key.n
e = key.e
multiply_plaintext_by_2 = lambda c: (c * pow(2, e, n)) % n
result = lsb_oracle(flag_data, multiply_plaintext_by_2, n, oracle)
print(long_to_bytes(result))
main()
注意,这里使用了 p4 team 开发的一个库crypto_commons中集成的lsb_oracle功能。
地址为https://github.com/p4-team/crypto-commons