SECCON 2020 Online CTF Writeup

11-01-2021 - 0 minutes, 53 seconds -
Crypto CTF Writeup 2020

scoreboard

SECCON 2020 Online CTF に Wani Hackase で参戦して 44 位でした。 面白そうな問題が多かったけど、24時間が思ったより短く、あっという間に終わってしまった…

This is RSA [Crypto, 62 solves]

特殊な素数生成を行っている。16 進数で 2 桁ずつ見ていくと、[\(0\rm{x}30,0\rm{x}39\)] の範囲に収まっている。これが枝刈りとして効いていて、下位の桁から探索していくと素因数分解できる。

import sys
from itertools import product

from Crypto.Util.number import *

from output import N, c

sys.setrecursionlimit(10000)
e = 0x10001

def dfs(D, P, Q):
    if D == 200 or P*Q == N:
        if P*Q != N:
            return
        d = pow(e, -1, (P-1)*(Q-1))
        m = pow(c, d, N)
        print(long_to_bytes(m))
        exit(0)

    for i, j in product(range(10), repeat=2):
        p = 3<<(8*D+4) | i<<(8*D) | P
        q = 3<<(8*D+4) | j<<(8*D) | Q
        mask = (1<<(8*D+8)) - 1
        if (p*q)&mask == N&mask:
            dfs(D+1, p, q)

dfs(0, 0, 0)

Flag: SECCON{I_would_always_love_the_cryptography_and_I_know_RSA_never_gets_old_So_Im_always_a_fan_of_this_mathematical_magic_and...Wait_This_flag_can_be_longer_than_I_expected_What_happened?}

koharu [Crypto, 44 solves]

Quadratic residueか否かを判定することで 0 or 1 を決める。多項式に対しても Legendre Symbol のようなものが計算できれば解けそう。

ググったらそれらしきものが出てきた。
http://www.fen.bilkent.edu.tr/~franz/nt/ch12.pdf

from sage.all import *
from Crypto.Util.number import *

p = 4832823609987476353
PR.<x> = PolynomialRing(GF(p))
sage.repl.load.load('output.sage', globals())

fac = PQ.factor()
P, Q = fac[0][0], fac[1][0]

NP = p**P.degree()
NQ = p**Q.degree()
flag = 0

for i, poly in enumerate(c):
    if power_mod(poly, (NP-1)//2, P) == 1 and power_mod(poly, (NQ-1)//2, Q) == 1:
        flag |= 1<<i

print(long_to_bytes(flag))

Flag: SECCON{p01y-p01y-p3r0-p3r0-hy0ukun-p3r0p3r0}