CTFshow——funnyrsa1的wp理解

题目如下：

题目分析：

拿到题，发现给的e不常规，p1和p2相等，有两个不同n，两个不同c和两个不同e。给定两个密文的情况下，通常需要找到两者之间存在的关系，“合并”密文求解才能得到正确的明文。先计算phi1和phi2，然后分别计算e和phi的gcd，发现都等于14，所以这里问题考察e和phi不互素情况下的求解。

1.已知存在如下数学公等式：

1　　gcd(e,phi)=b

2　　e = a * b

3　　ed ≡ 1 mod phi

4　　m^e　≡　c mod n

5　　abd  ≡  1 mod phi     由2和3得到，这里可以推出abd=1

6　　m^ab  ≡   c mod  n       由2和4得到，这里可以变换成c ≡ m^ab mod n

存在性质：

由以上可以推出c^bd ≡ m^abbd mod n  即得c^bd ≡ m^b mod n

所以我们先要求出bd，然后就能算出m^b。求bd我们可以根据5式子，所以要算出a。由题目分析我们知道b=14，所以a=e/b。代码如下：

p = p1
phi1 = (p - 1) * (q1 - 1)
phi2 = (p - 1) * (q2 - 1)
b = gmpy2.gcd(e1, phi1)
a1 = e1 // b
a2 = e2 // b
bd1 = gmpy2.invert(a1, phi1)
bd2 = gmpy2.invert(a2, phi2)

由以上我们分别求出了bd，然后就可以分别算出m^b。到了这一步还是无法算出m的，我第一次看别人题解时就想，直接调用gmpy2.iroot(m^b,14)不就算出来m了吗？试了，结果不行。原因？欢迎你告诉我。

无法算出m^b所以我们要再找新的解题思路。于是找到了同余式组，如下：

c1 ≡ m^b1 mod n1    变换得到   c1 ≡ m^b1 mod (p1 * q1)

c2 ≡ m^b2 mod n2　同理　　c2 ≡ m^b2 mod (p2 * q2)

根据同余性质：

a ≡ b mod (mn)   变换成  a ≡ b mod m且a ≡ b mod n

所以得到下列式子：

c1 ≡ m^b1 mod p1

c1 ≡ m^b1 mod q1

c2 ≡ m^b2 mod p2

c2 ≡ m^b2 mod q2

因为p1和p2相等，根据如下性质

我们可以得到c3 ≡ m^b1 * m^b2  mod p

代码写法如下：

mb1 = pow(c1, bd1, n1)
mb2 = pow(c2, bd2, n2)
c3 = mb1 * mb2 % p
c2 = mb2 % q2
c1 = mb1 % q1

接下来要引用中国同余定理，所以先要有所了解，百度百科解释如下：

简单来说，就是求一个整数满足一组同余式组。所以这里把c1，c2和c3‘连接’起来，求一个特解c，即c满足如下：

c3 = c % p

c2 = c % q2

c1 = c % q1

所以求特解c的代码如下：

res = solve_crt([c1, c2, c3], [q1, q2, p]) 

于是我们重新得到了c ≡ m^e mod n的形式:

res ≡ m¹⁴ mod q1*q2

根据上面式子我们就可以求出真正的m¹⁴，也许你会想：之前不是都求出了m^b了吗？一开始我也挺疑惑的，思考发现之前的m^b都是分开的，只有求出特解c之后求的

m^b才是真正的m¹⁴。根据以上的求解的思路，可以得到如下式子：

因为n = q1 * q2，所以我们只要对7和phi求逆元就可以求出2d,于是就可以求出m²，接着对m²开根就可以得到m。代码如下：

n = q1 * q2
f = (q1 - 1) * (q2 - 1)
m = res % n
d2 = gmpy2.invert(7, f)
m = pow(m, d2, n)
msg = gmpy2.iroot(m, 2)[0]
print(long_to_bytes(msg))

完整代码如下：

from Cryptodome.Util.number import *
import gmpy2
from libnum import *

e1 = 14606334023791426
p1 = 121009772735460235364940622989433807619211926015494087453674747614331295040063679722422298286549493698150690694965106103822315378461970129912436074962111424616439032849788953648286506433464358834178903821069564798378666159882090757625817745990230736982709059859613843100974349380542982235135982530318438330859
q1 = 130968576816900149996914427770826228884925960001279609559095138835900329492765336419489982304805369724685145941218640504262821549441728192761733409684831633194346504685627189375724517070780334885673563409259345291959439026700006694655545512308390416859315892447092639503318475587220630455745460309886030186593
c1 = 11402389955595766056824801105373550411371729054679429421548608725777586555536302409478824585455648944737304660137306241012321255955693234304201530700362069004620531537922710568821152217381257446478619320278993539785699090234418603086426252498046106436360959622415398647198014716351359752734123844386459925553497427680448633869522591650121047156082228109421246662020164222925272078687550896012363926358633323439494967417041681357707006545728719651494384317497942177993032739778398001952201667284323691607312819796036779374423837576479275454953999865750584684592993292347483309178232523897058253412878901324740104919248
n1 = p1 * q1

e2 = 13813369129257838
p2 = 121009772735460235364940622989433807619211926015494087453674747614331295040063679722422298286549493698150690694965106103822315378461970129912436074962111424616439032849788953648286506433464358834178903821069564798378666159882090757625817745990230736982709059859613843100974349380542982235135982530318438330859
q2 = 94582257784130735233174402362819395926641026753071039760251190444144495369829487705195913337502962816079184062352678128843179586054535283861793827497892600954650126991213176547276006780610945133603745974181504975165082485845571788686928859549252522952174376071500707863379238688200493621993937563296490615649
c2 = 7984888899827615209197324489527982755561403577403539988687419233579203660429542197972867526015619223510964699107198708420785278262082902359114040327940253582108364104049849773108799812000586446829979564395322118616382603675257162995702363051699403525169767736410365076696890117813211614468971386159587698853722658492385717150691206731593509168262529568464496911821756352254486299361607604338523750318977620039669792468240086472218586697386948479265417452517073901655900118259488507311321060895347770921790483894095085039802955700146474474606794444308825840221205073230671387989412399673375520605000270180367035526919
n2 = p2 * q2

p = p1
phi1 = (p - 1) * (q1 - 1)
phi2 = (p - 1) * (q2 - 1)
b = gmpy2.gcd(e1, phi1)
a1 = e1 // b
a2 = e2 // b
bd1 = gmpy2.invert(a1, phi1)
bd2 = gmpy2.invert(a2, phi2)

mb1 = pow(c1, bd1, n1)
mb2 = pow(c2, bd2, n2)
c3 = mb1 * mb2 % p
c2 = mb2 % q2
c1 = mb1 % q1

res = solve_crt([c1, c2, c3], [q1, q2, p])   #crt中国同余定理,求出特解作为
print(res)

n = q1 * q2
f = (q1 - 1) * (q2 - 1)
m = res % n
d2 = gmpy2.invert(7, f)
m = pow(m, d2, n)
msg = gmpy2.iroot(m, 2)[0]
print(long_to_bytes(msg))

得到flag ：

中间的\xcf\x86为utf-8编码，转换得到字符：φ

最终flag为：flag{gcd_e&φ_isn't_1}

总结：

这题真的真的真的花费了我好多时间去理解，到目前我依然存在一些不理解的地方。当然我也从中学到了一些东西，比如CRT，e和phi不互素时的求解思路等。一开始我是不会做这道题的，于是我去寻找wp，发现每个wp中总是说都不够透彻，所以看了wp总觉得会了但又没完全会，于是写了这篇博客分享我的理解，随便整理思路过程。如果你觉得有所收获，可以跟我分享一下你对这题的理解（也许我理解在某个点不对呢？），这也许能帮助到我。

参考文章：

数论-模运算与同余的性质_AcmAlgorithm的博客-CSDN博客_模同余关系性质的证明

RSA--e与φ(n)不互素时_原味瓜子、的博客-CSDN博客_e与φ(n)不互素

ctfshow funnyrsa1 e与phi不互素_是真的白的博客-CSDN博客