一周参加培训,看见群里这个附件,后来问了大姥,此题确实有问题。在整理后终于明白怎么加事。
原题通过一个3参2变量的LCG对flag进行加密(每次两字符),但给出的是完整32位,并给出其中一个seed值,经运算这个给出的值不正确。不过由于给出的是完整的32位结果,所以可以直接算出参数。
加密是通过flag每4字节再来seed右移16位得到(密文前两字节可直接得到)
- from Crypto.Util.number import*
- from secret import flag
-
- assert(flag[0:5]==b"flag{" )
- assert(flag[-1:]==b"}" )
- flag = flag[7:-1]
- print(len(flag))
-
-
- class LCG:
- def __init__(self):
- self.a = getRandomNBitInteger(32)
- self.b = getRandomNBitInteger(32)
- self.c = getRandomNBitInteger(32)
- self.m = getPrime(32)
- self.seed1 = getRandomNBitInteger(32)
- self.seed2 = getRandomNBitInteger(32)
-
- def next(self):
- tmp = self.seed2
- self.seed2 = (self.a*self.seed1+self.b*self.seed2 +self.c) % self.m
- self.seed1 = tmp
- #return self.seed2 >> 16
- return self.seed2 #从给出的T来看,是32位的
-
- def output(self):
- print("m = {}".format(self.m))
- print("self.seed1= {}".format(self.seed1))
- print("self.seed2= {}".format(self.seed2))
-
- L = LCG()
- T = [0]
-
- #这里需要经过k次叠代,原题未给出叠代过程
- for k in range(random(10)):
- T.append(L.next())
-
- #L.output() 在经过k次叠代后输出,并不重要,没有意思,但显然并不是第1次的结果
-
- for i in range(9):
- tmp = bytes_to_long(flag[i*4:i*4+4])
- tt = L.next()
- T.append(tt)
- print(tmp^(tt>>16)) #由于给出的tt并不是16位而是完整的32位,加密时使用的应该是16位
- print(T[:6])
- print("Have a good time!")
-
- '''
- m = 3533156827
- seed1 = 2970464585
- seed2 = 3350124366
- enc = [909619317, 912378641, 761422938, 841844503, 1701111746, 1701194992, 959752815, 892545567, 1667598316]
- T = [0,3180180532,86337434,1850726346,2970464585,3350124366]
- '''
这题由于给出了seed1,seed2所以显得很难理解,如果加上前部叠代次数就很正常了
由于给出6个完整的结果,可以直接算出参数a,b,c再通过叠代k次得到加密序列
- m = 3533156827
- seed1 = 2970464585
- seed2 = 3350124366
- enc = [909619317, 912378641, 761422938, 841844503, 1701111746, 1701194992, 959752815, 892545567, 1667598316]
- T = [0,3180180532,86337434,1850726346,2970464585,3350124366]
- T = T[1:]
-
- #先用groebner_basis求参
- #这里还用不到seed1,seed2
- P.=GF(m)[]
- F = []
- #F.append(s1 - seed1) #从原题看这里不是seed1,seed2
- #F.append(s2 - seed2)
- for i in range(len(T)):
- s1,s2 = s2, a*s1 + b*s2 + c
- F.append(s2 - T[i])
-
- I = Ideal(F).groebner_basis()
- print(I)
- # 求解参数a b c
- res=[x.constant_coefficient() for x in I]
- a = -res[0]%m
- b = -res[1]%m
- c = -res[2]%m
- #a,b,c = 3222280379, 2578155191, 3272724155
然后可以用这个seed1,seed2算后边的加密序列,从而解密
- from Crypto.Util.number import long_to_bytes as l2b
-
- #使enc^^T[n]为UUID
- s1,s2 = seed1,seed2
- flag = b''
- for i in range(9):
- s1,s2 = s2,a*s1 + b*s2 + c
- print(s2)
- flag += l2b(enc[i]^^(int(s2)>>16))
-
- print(flag)
- #flag{67456ac9-b362-11ed-aef7-94085339ce84}