[NCTF2019]babyRSA
作者:互联网
encode
from Crypto.Util.number import *
from flag import flag
def nextPrime(n):
n += 2 if n & 1 else 1
while not isPrime(n):
n += 2
return n
p = getPrime(1024)
q = nextPrime(p)
n = p * q
e = 0x10001
d = inverse(e, (p-1) * (q-1))
c = pow(bytes_to_long(flag.encode()), e, n)
# d = 19275778946037899718035455438175509175723911466127462154506916564101519923603308900331427601983476886255849200332374081996442976307058597390881168155862238533018621944733299208108185814179466844504468163200369996564265921022888670062554504758512453217434777820468049494313818291727050400752551716550403647148197148884408264686846693842118387217753516963449753809860354047619256787869400297858568139700396567519469825398575103885487624463424429913017729585620877168171603444111464692841379661112075123399343270610272287865200880398193573260848268633461983435015031227070217852728240847398084414687146397303110709214913
# c = 5382723168073828110696168558294206681757991149022777821127563301413483223874527233300721180839298617076705685041174247415826157096583055069337393987892262764211225227035880754417457056723909135525244957935906902665679777101130111392780237502928656225705262431431953003520093932924375902111280077255205118217436744112064069429678632923259898627997145803892753989255615273140300021040654505901442787810653626524305706316663169341797205752938755590056568986738227803487467274114398257187962140796551136220532809687606867385639367743705527511680719955380746377631156468689844150878381460560990755652899449340045313521804
decode
import gmpy2
import Crypto.Util.number
import sympy
d = 19275778946037899718035455438175509175723911466127462154506916564101519923603308900331427601983476886255849200332374081996442976307058597390881168155862238533018621944733299208108185814179466844504468163200369996564265921022888670062554504758512453217434777820468049494313818291727050400752551716550403647148197148884408264686846693842118387217753516963449753809860354047619256787869400297858568139700396567519469825398575103885487624463424429913017729585620877168171603444111464692841379661112075123399343270610272287865200880398193573260848268633461983435015031227070217852728240847398084414687146397303110709214913
c = 5382723168073828110696168558294206681757991149022777821127563301413483223874527233300721180839298617076705685041174247415826157096583055069337393987892262764211225227035880754417457056723909135525244957935906902665679777101130111392780237502928656225705262431431953003520093932924375902111280077255205118217436744112064069429678632923259898627997145803892753989255615273140300021040654505901442787810653626524305706316663169341797205752938755590056568986738227803487467274114398257187962140796551136220532809687606867385639367743705527511680719955380746377631156468689844150878381460560990755652899449340045313521804
e = 0x10001
# 有 c d e 我们知道e*d = 1 %(p-1)(q-1) 则e*d-1 = k* (p-1)*(q-1)
# 可以爆破k要得到(p-1)(q-1)
#取k的范围 ed - 1是2063到2064位 、 (p-1)(q-1)是1024+1024位 则k取2**15~2**16
for i in range(1000,3000):
if e*d-1 > 2**i and e*d-1<2**(i+1):
print(i)
break
#2063
# (e*d-1)对k的模为0
# 我们还知道q是p的下一个素数 俩者大小相差不大
for k in range(2**15,2**16):
if (e*d-1) % k==0:
p = sympy.prevprime(gmpy2.iroot((e*d-1)//k,2)[0])
#通过sympy.prevprime(n)得到小于n的最大素数
#gmpy2.iroot开方函数输出的是一个元组
q = gmpy2.next_prime(p)
# print(q)
# print(p)
if (e*d-1)//k == (q-1)*(p-1):
#验证pq是否正确
break
n = q * p
m = pow(c ,d ,n )
print(Crypto.Util.number.long_to_bytes(m))
# b'NCTF{70u2_nn47h_14_v3ry_gOO0000000d}'
标签:19275778946037899718035455438175509175723911466127462154506916564101519923603308 来源: https://blog.csdn.net/weixin_45859850/article/details/111401650