Posts

6月4日の14時から24時間開催されていたSECCON Beginners CTF 2022にWani Hackase で参戦して5位でした。 普段のreversing担当が不在だったので、reversingとcryptoを担当しました。 WinTLS [reversing, 102 solved] Windowsというだけで忌避していたこの手の問題に、久しぶりに挑戦しました。 .rdataを漁っていると香ばしい文字列(c4{f..., tfb%...)があったのでxrefで参照元を見に行きます。 2つのスレッドで文字列を処理していて、flagのインデックスに応じて2つの文字列に振り分けているようです。 操作は単純なので逆の操作をしてあげると、文字列を復元できます。 1t1 = b"c4{fAPu8#FHh2+0cyo8$SWJH3a8X" 2t2 = b"tfb%s$T9NvFyroLh@89a9yoC3rPy&3b}" 3 4flag = [] 5k1, k2 = 0, 0 6for i in range(len(t1+t2)): 7 if i % 3 == 0 or i % 5 == 0: 8 flag.append(t1[k1]) 9 k1 += 1 10 else: 11 flag.append(t2[k2]) 12 k2 += 1 13 14print(bytes(flag)) Flag: ctf4b{f%sAP$uT98Nv#FFHyrh2o+Lh0@8c9yoa98$ySoCW3rJPH3y&a83Xb} ところで、UndefinedFunctionがめちゃくちゃ見にくい…… Recursive [reversing, 127 solved] 再帰で文字列をぐちゃぐちゃにしてあります。 少しreversingをすると文字列長が書いてあるので、処理前の文字列が処理後にどこに配置されるかが分かれば、逆操作で元に戻せます。 1from string import printable 2 3table = b"ct`*f4(+bc95\".81b{hmr3c/}r@:{&;514od*<h,n'dmxw?leg(yo)ne+j-{(`q/rr3|($0+5s.z{_ncaur${s1v5%!p)h!q't<=l@_8h93_woc4ld%>?cba<dagx|l<b/y,y`k-7{=;{&8,8u5$kkc}@7q@<tm03:&,f1vyb'8%dyl2(g?717q#u>fw()voo$6g):)_c_+8v.gbm(%$w(<h:1!c'ruv}@3`ya!r5&;5z_ogm0a9c23smw-.i#|w{8kepfvw:3|3f5<e@:}*,q>sg!bdkr0x7@>h/5*hi<749'|{)sj1;0,$ig&v)=t0fnk|03j\"}7r{}ti}?_<swxju1k!l&db!j:}!z}6*`1_{f1s@3d,vio45<_4vc_v3>hu3>+byvq##@f+)lc91w+9i7#v<r;rr$u@(at>vn:7b`jsmg6my{+9m_-rypp_u5n*6.}f8ppg<m-&qq5k3f?=u1}m_?n9<|et*-/%fgh.1m(@_3vf4i(n)s2jvg0m4" 4 5FLAG_LEN = 0x28 6t = printable[: FLAG_LEN - 2] 7flag = [0 for _ in range(FLAG_LEN)] 8 9def check(s, i): 10 n = len(s) 11 if n == 1: 12 flag[t.index(s)] = table[i] 13 return 14 else: 15 m = n // 2 16 check(s[:m], i) 17 check(s[m:], m * m + i) 18 19check(t, 0) 20print(bytes(flag)) Flag: ctf4b{r3curs1v3_c4l1_1s_4_v3ry_u53fu1} ...

I participated in LINE CTF 2022 as a member of Wani Hackase, and solved four crypto challenges. ss-puzzle Just play an XOR puzzle using the fact S[0] == b"LINECTF{". Some values are still unknown but predictable from the restored flag. 1def xor(a, b): 2 return bytes(i ^ j for i, j in zip(a, b)) 3 4with open("Share1", "rb") as f: 5 s1 = f.read() 6with open("Share4", "rb") as f: 7 s4 = f.read() 8 9r0_s0 = s1[0:8] 10r2_s3 = s1[16:24] 11r3_s2 = s1[24:32] 12 13r0_s3 = s4[0:8] 14r1_s2 = s4[8:16] 15r2_s1 = s4[16:24] 16r3_s0 = s4[24:32] 17 18s0 = b"LINECTF{" 19r0 = xor(s0, r0_s0) 20s3 = xor(r0, r0_s3) 21r2 = xor(s3, r2_s3) 22s1 = xor(r2, r2_s1) 23r3 = xor(s0, r3_s0) 24s2 = b"wn_plain" 25r1 = xor(s2, r1_s2) 26print(s0 + s1 + s2 + s3 + r0 + r1 + r2 + r3) Flag: LINECTF{Yeah_known_plaintext_is_important_in_xor_based_puzzle!!} ...

RTACTF 2021に参加しました。TAがメインのCTFって見たことなかったので新鮮でした。 ...

I played Asian Cyber Security Challenge 2021 this weekend and finished in 55th/483 place. I solved some crypto challenges and here’s how I solve them. ...

...

Wani Hackaseで参加して1032点の23位。 開始時刻ちょっと後に、予定を入れてしまっていたのでそんなに取り組めなかったけど勉強になりました。問題設定はシンプルだけど一筋縄では解けない問題が好きなので楽しかったです。 Harekazeの方々運営ありがとうございました🙇🙇 ...

SECCON 2020 Online CTF に Wani Hackase で参戦して 44 位でした。 面白そうな問題が多かったけど、24時間が思ったより短く、あっという間に終わってしまった… This is RSA [Crypto, 62 solves] 特殊な素数生成を行っている。16 進数で 2 桁ずつ見ていくと、[$0\rm{x}30,0\rm{x}39$] の範囲に収まっている。これが枝刈りとして効いていて、下位の桁から探索していくと素因数分解できる。 1import sys 2from itertools import product 3 4from Crypto.Util.number import * 5 6from output import N, c 7 8sys.setrecursionlimit(10000) 9e = 0x10001 10 11def dfs(D, P, Q): 12 if D == 200 or P*Q == N: 13 if P*Q != N: 14 return 15 d = pow(e, -1, (P-1)*(Q-1)) 16 m = pow(c, d, N) 17 print(long_to_bytes(m)) 18 exit(0) 19 20 for i, j in product(range(10), repeat=2): 21 p = 3<<(8*D+4) | i<<(8*D) | P 22 q = 3<<(8*D+4) | j<<(8*D) | Q 23 mask = (1<<(8*D+8)) - 1 24 if (p*q)&mask == N&mask: 25 dfs(D+1, p, q) 26 27dfs(0, 0, 0) Flag: SECCON{I_would_always_love_the_cryptography_and_I_know_RSA_never_gets_old_So_Im_always_a_fan_of_this_mathematical_magic_and...Wait_This_flag_can_be_longer_than_I_expected_What_happened?} koharu [Crypto, 44 solves] Quadratic residueか否かを判定することで 0 or 1 を決める。多項式に対しても Legendre Symbol のようなものが計算できれば解けそう。 ...

InterKosenCTFにWani Hackaseで参戦して13位でした。 今回Discordにログが流れていましたが、自分のログが流れると達成感があるので結構好きです。 ciphertexts [crypto, 33 solves] 一目Common Modulus Attackが効きそうだが、$n$が異なるのでうまく行かない。 $$ \begin{aligned} c_1 &=& m^{e_1} + k_1pq \\ c_2 &=& m^{e_2} + k_2pqr \end{aligned} $$ となっているので、無理やり揃える方法として $r^{e_1} c_1$, $r^{e_2} c_2$ を考えてみると、 $$ \begin{aligned} r^{e_1}c_1 = (rm)^{e_1} + k_1pqr^{e_1}\\ r^{e_2}c_2 = (rm)^{e_2} + k_1pqr^{e_2+1} \end{aligned} $$ となる。2式に対して $\mod n_2$ をとると、 $$ \begin{aligned} r^{e_1}c_1 \equiv (rm)^{e_1} \mod n_2 = pqr \\ r^{e_2}c_1 \equiv (rm)^{e_2} \mod n_2 = pqr \end{aligned} $$ となる。これでCommon Modulus Attackが適用できる。 $rm$ の値が得られるので、$r$ で割ってFlagゲット。 ...

Trailing Bits The description says that both of head and tail bits are lost, so I just tried adding some bits both of them. ...