Misc
bcu-binding
Tải file về thì ta search thử ‘dice{’ để tìm flag và nó ra thật @@ Có vẻ như nó được giấu trong phần nền trắng để không thể nhìn thấy…
Flag: dice{r3ad1ng_th4_d0cs_71ccd}
dicecap
Đề cho ta 1 file pcap nên ta mở nó lên bằng wireshark và xem thử:
Thử tìm theo từ khóa thì ta ra được 2 kênh khả nghi chứa flag theo protocol FTP-DATA. Export file ra thì ta được 1 file main theo định dạng ELF cùng 1 tệp zip cần mật khẩu mà trong đó chứa flag.txt có thể lấy flag.
File main được định dạng ELF nên ta mở IDA để đọc code của nó
Ở đây file main khởi tạo mật khẩu và nó có thể được dùng để giải nén file zip. Đọc rõ hơn:
- Lấy thời gian hiện tại và làm tròn theo phút là được s
- Lấy 5 ký tự đầu tiên của locale (dest)
- Ghép username (v3)
- Kết hợp tất cả thành mật khẩu (v6)
Đầu tiên, khi ta xem lại thì gói main nằm ở No.168 và khi tra lại thì ta lấy được thời gian v1 rồi sau đó tính theo công thức để lấy s.
| |
Thứ hai về locate thì ta lấy mặc định là en_US.UTF-8 nhưng chỉ lấy 5 kí tự đầu cho dest là: en_US
Cuối cùng, username ta sẽ có được bằng cách tìm kiếm những request được gửi lên thông qua gói tin mà ta có thể xem được và đây là kết quả:
| |
Giải nén file zip và lấy flag thôi:
Flag: dice{5k1d_y0ur_w@y_t0_v1ct0ry_t0d4y!!!}
Crypto
vorpal-sword
| |
Theo thử thách, bài này nói về 1-2 oblivious transfer nên mình cũng lên mạng tìm hiểu và đây là các bước mà giao thức này thực hiện:
- Alice có tin nhắn $m_0, m_1$ và 1 cặp khóa RSA $(e, d, N)$. Bob biết được khóa công khai $(e, N)$ của Alice và muốn tin nhắn $m_c$ , với $c \in {0, 1}$.
- Alice tạo ngẫu nhiên 2 số $x_0, x_1$ và gửi cho Bob.
- Bob tạo ngẫu nhiên 1 số $k$ và gửi $v = b+k^e \mod N$ cho Alice.
- Alice tính $k_0 = (v-x_0)^d\mod N$ và $k_1 = (v-x_1)^d\mod N$ rồi gửi $m_0’=m_0+k_0\mod N$ và $m_1’=m_1+k_1\mod N$ cho Bob.
- Bob tính và lấy được $m_c=m_c’-k\mod N$ và không lấy được thông tin gì từ $m_{1-c}$
Đọc file server thì ta thấy là hàm run_ot đúng là đang thực hiện giống như 4 bước đầu trong giao thức trên. Và khi ta truy ngược lại thì ta cần biết được page mà được giấu trong tin nhắn live
| |
Tuy nhiên vì msgs được random giữa (live,die) và (die, live), cùng với việc ta phải nhập đúng page trong 64 lần liên tiếp thì rõ ràng việc làm như Bob là lấy được 1 trong 2 tin nhắn không khả thi(vì xác suất trúng được hết chỉ là $\dfrac{1}{2^{64}}$)
Hơn nữa, ta đã biết được list của các DEATH_CAUSES nên ta cũng có thể tính được hết tất cả các die của chall, tức là ta có thể phân biệt được đâu là live và đâu là die.
Nhận thấy, ta đã biết $c_0, c_1$, 1 trong hai giá trị $m_0, m_1$ thì việc tìm ra được giá trị còn lại phải dựa vào 1 biểu thức tuyến tính giữa 4 biến này xảy ra. Nói rõ hơn:
$$ c_0\equiv m_0+k_0\mod n $$$$ c_1\equiv m_1+k_1\mod n $$$$ \Leftrightarrow a c_0 -bc_1\equiv am_0-bm_1 +(ak_0 -bk_1)\mod n \ \ \ \ \ (*) $$Có nghĩa là ta phải tìm v làm sao mà $ak_0-bk_1 \equiv 0 \mod n$, với a,b bất kỳ
Điều này tương đương với: $(v-x_0)^d\equiv k(v-x_1)^d \mod n$
$$ \Leftrightarrow (v-x_0)^{de}\equiv k^e(v-x_1)^{de}\mod n $$Chọn v có điều kiện $\gcd(v-x_0, n) = 1$ và sử dụng định lý Euler cùng $de\equiv 1\mod \phi(n)$
$$ \Leftrightarrow v-x_0\equiv k^e(v-x_1)\mod n $$$$ \Leftrightarrow (k^e - 1)(v-x_1)\equiv x_1-x_0\mod n $$Thử $k=1,-1$ đều không thỏa nên ta thử $k = 2$
Lúc này, $k^e-1=2^{65537}-1$ là 1 số Mersenne nên các ước nguyên tố của nó có tính chất: Nếu q là một số nguyên tố của 1 số Mersenne: $q\equiv 1\mod 65537, q\equiv \pm1\mod 8$
Mặt khác, $n$ là một số nguyên tố 1024 bit nằm trong khoảng $2^{1023}$ đến $2^{1024}-1$ và là rất lớn so với ước nguyên tố điển hình của $2^{65537}-1$.
Hơn nữa, theo Định lý số nguyên tố thì có thể có khoảng $\dfrac{2^{1023}}{ln(2^{1023})} \approx \dfrac{2^{1023}}{709}$ số nguyên tố 1024 bit. Do đó với 1 số nguyên tố 1024 bit ngẫu nhiên, gần như chắc chắn là số đó không có khả năng là ước của $2^{65537}-1$
Vì vậy, $\gcd(k^e-1,n)=1$ tương đương với tồn tại nghịch đảo modulo n của $2^{65537}-1$
$$ \Leftrightarrow v-x_1\equiv (k^e - 1)^{-1}(x_1-x_0)\mod n $$$$ \Leftrightarrow v\equiv (k^e - 1)^{-1}(x_1-x_0) + x_1\mod n $$ | |
Bây giờ trở lại với $(*)$ thì ta được biểu thức tuyến tính sau:
$$ \Leftrightarrow c_0 -2c_1\equiv m_0-2m_1\mod n \ \ \ \ \ (**) $$Lúc này, ta chia 2 trường hợp rõ ràng:
- nếu
pagenằm tronglivecủa $m_0$: $$ (**)\Leftrightarrow m_0\equiv c_0 -2c_1+2m_1\mod n $$
| |
- nếu
pagenằm tronglivecủa $m_1$: $$ (**)\Leftrightarrow m_1\equiv (m_0-c_0+2c_1)\times 2^{-1}\mod n $$
| |
Đến đây rồi thì, ta brute-force hết cái list của die thì ta sẽ biết được trường hợp nào là thỏa và tìm được page. Remote tới server và nhận flag thôi :333
| |
Flag: dice{gl3am1ng_g0ld_doubl00n}