题外话

其实这道题在比赛过程中并没有解出来,思路完全想偏导致无解就放弃了,后来研究了大佬的writeup大半天才看懂。。。

正文

nc获取题目信息,返回一段明文和密文,要求输入一段明文和密文。

题目源码:

# server.py

#!/usr/bin/python

# -*- coding: utf-8 -*-

from Crypto.Cipher import AES

from Crypto.Util.strxor import strxor

from Crypto.Random import get_random_bytes

from FLAG import flag

class MAC:

    def __init__(self):

        self.key = get_random_bytes(16)

        self.iv = get_random_bytes(16)

    def pad(self, msg):

        pad_length = 16 - len(msg) % 16

        return msg + chr(pad_length) * pad_length

    def unpad(self, msg):

        return msg[:-ord(msg[-1])]

    def code(self, msg):

        res = chr(0)*16

        for i in range(len(msg)/16):

            res = strxor(msg[i*16:(i+1)*16], res)

        aes = AES.new(self.key, AES.MODE_CBC, self.iv)

        return aes.encrypt(res).encode('hex')

    def identity(self, msg, code):

        if self.code(msg) == code:

            msg = self.unpad(msg)

            if msg == 'please send me your flag':

                print 'remote: ok, here is your flag:%s' % flag

            else:

                print 'remote: I got it'

        else:

            print 'remote: hacker!'

if __name__ == '__main__':

    mac = MAC()

    message = 'see you at three o\'clock tomorrow'

    print 'you seem to have intercepted something:{%s:%s}' %(mac.pad(message).encode('hex'), mac.code(mac.pad(message)))

    print 'so send your message:'

    msg = raw_input()

    print 'and your code:'

    code = raw_input()

    mac.identity(msg.decode('hex'), code)

    exit()

通过identity函数可知,自己输入的明文在服务端加密后要等于自己输入的密文(也就是self.code(msg) == code,才能得到flag。

同时题目的坑点(也是我思路想歪的地方)就在这地方, 因为要求你输入的明文加密后等于你输入的密文,同时,加密使用的AES的CBC模式,对你的明文的加密是使用的和返回的第一段明文密文相同的iv和key,因此自然想到要得到iv和key才能求出要输入的密文。但是iv和key是通过随机数生成的,所以就无法用这个方法。

那么换一种思路,我们看看加密函数code如何工作的:

 def code(self, msg):

        res = chr(0)*16

        for i in range(len(msg)/16):

            res = strxor(msg[i*16:(i+1)*16], res)

        aes = AES.new(self.key, AES.MODE_CBC, self.iv)

        return aes.encrypt(res).encode('hex')

既然AES无法破解,那么先看一下送进AES加密前明文,是将原明文分为每16位一组然后接连异或得到的16位字符串res,并且这个res我们可以求出来,也就相当于知道“明文”了。

如果我们直接使用第一段返回的'code'作为自己输入的'code',那么我们只需要构造一串明文,使其通过code函数中AES加密前的操作,得到的结果,等于第一段的'res',这样输入到服务端加密后的结果也等于了输入的'code'(即第一段code)。

好了,现在就开始考虑如何构造明文。

为了得到flag,我们倒着推明文,看identity函数,满足msg == 'please send me your flag'才能得到flag,其上一步是msg = self.unpad(msg)要求输入的明文脱去填充后的字符串是“please send me your flag”,看一下unpad函数,msg[:-ord(msg[-1])]和填充函数pad是相反的作用,即取末尾字符的ASCII码表示的范围之前的字符串。

现在我们将“please send me your flag”的长度记作len1 == 24,由于AES加密的要求,字符串填充后的长度要满足为16的倍数,因此这里可填充8+16n个字符(n=0,1,2...)。根据unpad函数,必须让填充后的字符串最末尾一个字符的ASCII码可表示填充的位数。

先跑一下code函数中的一部分(就是AES加密前),得出第一段密文前一阶段的'res':

message = '73656520796f75206174207468726565206f27636c6f636b20746f6d6f72726f770f0f0f0f0f0f0f0f0f0f0f0f0f0f0f'

for i in range(len(msg)/16):

    res = strxor(msg[i*16:(i+1)*16], res)

print(res.encode('hex'))

# res结果为24054d4c1a0f19444e0f4016080f1805

目标就是我们填充后的字符串异或处理后与上面的res(这里记作res1)相等。

我们设“please send me your flag”加上8位填充的32位并进行16位分组后得到的两个16位字符串为m1和m2(暂时先不管填充是什么)。由异或运算的性质可知,a XOR b XOR b = a。设m3为一个能使m1 XOR m2 XOR m3 XOR m4== res1的16位分组,由此可知m3 == res1 XOR m1 XOR m2 XOR m4。同时要满足字符串最末尾一个字符的ASCII码可表示填充的位数,并且此时字符串总长度位48,因此就再加一个16位m4分组保证最后一位表示填充长度(这里是40)。

那么如何得到m3呢,就是用code函数里的异或方式。

到此我们就完全知道要构造的输入明文了。

下面是解题的完整代码:

from Crypto.Cipher import AES

from Crypto.Util.strxor import strxor

from Crypto.Random import get_random_bytes

flag = 'test'

class MAC:

    def __init__(self):

        self.key = get_random_bytes(16)

        self.iv = get_random_bytes(16)

    def pad(self, msg):

        pad_length = 16 - len(msg) % 16

        return msg + chr(pad_length) * pad_length

    def unpad(self, msg):

        return msg[:-ord(msg[-1])]

    def code(self, msg):

        res = chr(0)*16

        for i in range(len(msg)/16):

            res = strxor(msg[i*16:(i+1)*16], res)

        print(res.encode('hex'))  # 输出res1

        aes = AES.new(self.key, AES.MODE_CBC, self.iv)

        return aes.encrypt(res).encode('hex')

    def identity(self, msg, code):

        if self.code(msg) == code:

            msg = self.unpad(msg)

            if msg == 'please send me your flag':

                print 'remote: ok, here is your flag:%s' % flag

            else:

                print 'remote: I got it'

        else:

            print 'remote: hacker!'

if __name__ == '__main__':

    mac = MAC()

    message = 'see you at three o\'clock tomorrow'

    print 'you seem to have intercepted something:{%s:%s}' %(mac.pad(message).encode('hex'), mac.code(mac.pad(message)))

    print 'so send your message:'

    msg = 'please send me your flag'

    # 使用和pad函数一样的填充方式先构成64位

    msg_p = msg + chr(64 - len(msg)) * (64 - len(msg))

    # 生成m1 XOR m2 XOR m4

    res = chr(0)*16

    for i in range(len(msg_p)/16 - 1):

        res = strxor(msg_p[i*16:(i+1)*16], res)

    # 最终输入的明文字符串

    # strxor("24054d4c1a0f19444e0f4016080f1805".decode('hex'), res) 即为上文的m3

    msg_p = msg_p[:32] + strxor("24054d4c1a0f19444e0f4016080f1805".decode('hex'), res) + msg_p[32:38]

    # 输出明文串

    print(msg_p.encode('hex'))

    print 'and your code:'

    code = raw_input()

    mac.identity(msg_p.encode('hex').decode('hex'), code)

    exit()

将得到的明文字符串输入,再将服务端返回的密文输入,就得到flag了。

参考

我主要参考这篇文章写出来的,所以思路也大都汲取自这位大佬的:

SCTF2019 部分题目WriteUp

搞懂之后感觉这道题真是妙啊(虽然我没做出来)。

SCTF2019 Crypto-warmup writeup的更多相关文章

  1. 攻防世界 WEB 高手进阶区 HCTF 2018 warmup Writeup

    攻防世界 WEB 高手进阶区 HCTF 2018 warmup Writeup 题目介绍 题目考点 PHP代码审计 Writeup 打开 http://220.249.52.134:37877 常规操 ...

  2. 实验吧Crypto题目Writeup

    这大概是一篇不怎么更新的没什么用的网上已经有了很多差不多的东西的博客. 变异凯撒 忘记了2333 传统知识+古典密码 先查百度百科,把年份变成数字,然后猜测+甲子的意思,一开始以为是加1,后来意识到是 ...

  3. picoCTF2018记录

    近期准备参加CTF 一头雾水 开始练练手 https://2018game.picoctf.com/  这个网站挺适合新手的(据说面向高中生?? 惭愧惭愧) 前面几个比较简单 就从 Resources ...

  4. Crypto CTF 2019 writeup

    Crypto CTF 2019 writeup roXen 题目 roXen Relationship with a cryptographer! The Girlfriend: All you ev ...

  5. 攻防世界-Crypto高手进阶区部分Writeup

    1.flag_in_your_hand && flag_in_your_hand1 下载,解压后 打开index文件,直接点击get flag错误,输入其他点击也同样 打开js文件,在 ...

  6. 参加 Tokyo Westerns / MMA CTF 2nd 2016 经验与感悟 TWCTF 2016 WriteUp

    洒家近期参加了 Tokyo Westerns / MMA CTF 2nd 2016(TWCTF) 比赛,不得不说国际赛的玩法比国内赛更有玩头,有的题给洒家一种一看就知道怎么做,但是做出来还需要洒家拍一 ...

  7. We Chall-Training: Crypto - Caesar I-Writeup

    MarkdownPad Document html,body,div,span,applet,object,iframe,h1,h2,h3,h4,h5,h6,p,blockquote,pre,a,ab ...

  8. 网络信息安全攻防学习平台 上传,解密通关writeup

    上传关 [1]查看源代码,发现JS代码.提交时onclick进行过验证.ctrl+shift+i 打开开发者工具,将conclick修改为 return True,即可以上传上传php文件,拿到KEY ...

  9. 2018国赛 - Writeup(待补充)

    10.0.0.55 Writeup Web 0x01 easyweb 解题思路 题目很脑洞 用户名admin 密码123456进去可得到flag(密码现在换了) 解题脚本 无 Reverse 0x02 ...

随机推荐

  1. 转:java 解析excel,带合并单元的excel

    收集了一些对博主有帮助的博文,如下 >>>>>>>>>>>第一部分: 首先,mavn导入jar包 <!-- 解析excel需要导 ...

  2. Kafka 安装配置 及 简单实验记录

    1. 下载二进制文件并解压,并修改 broker.id 的值 wget http://apache.fayea.com/kafka/0.10.0.0/kafka_2.10-0.10.0.0.tgz - ...

  3. 2017 CCPC秦皇岛 L题 One Dimensions Dave

    BaoBao is trapped in a one-dimensional maze consisting of  grids arranged in a row! The grids are nu ...

  4. iOS和webppy图片的爱恨情仇

    如果iOS是个好哥哥,webppy一定是一个持家能干的漂亮姑娘

  5. Python必学之编译器用哪个好?你用错了吧!

    学python要知道怎么用好编译器.当我们编写Python代码时,我们得到的是一个包含Python代码的以.py为扩展名的文本文件.要运行代码,就需要Python解释器去执行.py文件由于整个Pyth ...

  6. 一位资深程序员面试Python工程师的岗位心得和历程【新手必须】

    前言本文的文字及图片来源于网络,仅供学习.交流使用,不具有任何商业用途,版权归原作者所有,如有问题请及时联系我们以作处理.作者:程序员阿牛说一些面试的心得体会: 1.简历制作我做了两份简历,用两个手机 ...

  7. matlab画二叉树

    用matlab画如下图的二叉树. 先按树的先序遍历把结点编号,如下图所示. treeplot函数的序列用如下方法得到.从根结点开始先序遍历,依次写下父结点的编号,设根结点的父结点为0.按先序遍历,根结 ...

  8. springboot搭建一个简单的websocket的实时推送应用

    说一下实用springboot搭建一个简单的websocket 的实时推送应用 websocket是什么 WebSocket是一种在单个TCP连接上进行全双工通信的协议 我们以前用的http协议只能单 ...

  9. PyCharm配置Gitee

    PyCharm配置Gitee 第一步:下载安装Git https://git-scm.com/download/win 第二步:打开PyCharm,配置Git File->Setting-> ...

  10. 基于RT-Thread的人体健康监测系统

    随着生活质量的提高和生活节奏的加快,人们愈加需要关注自己的健康状况,本项目意在设计一种基于云平台+APP+设备端的身体参数测试系统,利用脉搏传感器.红外传感器.微弱信号检测电路等实现人体参数的采集,数 ...