The symmetric crypto algorithm is much more secure, but the problem of key distribution is annoying. Why don't we combine both symmetric and asymmetric algorithm in a crypto system. What a brilliant idea!
Attachment: combine.py
#!/usr/bin/env python3
from Crypto.Util.number import getStrongPrime, bytes_to_long
from Crypto.Cipher import AES
from secret import flag, key
def encrypt_message(key, msg):
BS = 16
pad = lambda s: s + (BS - len(s) % BS) * chr(BS - len(s) % BS)
msg = pad(msg).encode()
cipher = AES.new(key, AES.MODE_ECB)
ciphertext = cipher.encrypt(msg).hex()
return ciphertext
def encrypt_key(key):
nbit = 2048
p = getStrongPrime(nbit // 2)
q = getStrongPrime(nbit // 2)
n = p * q
e = 3
m = bytes_to_long(key)
cipherkey = pow(m, e, n)
return n, e, cipherkey
ciphertext = encrypt_message(key, flag)
n, e, c = encrypt_key(key)
print('n =', n)
print('e =', e)
print('cipherkey =', c)
print('ciphertext =', ciphertext)
output.txt
n = 17209865306489383127800020243389994329129743604782790572071575275930356482173664633977129059765483365641382694889746793832394394570779520318736174413698255275805470489995770799549145326336810606098666485462172397721883061380164674372281155031229403077923081446873681038939824476853501573626662210456685550050398627753809494063023262928406194832122173907376911569530179213802008987425021865006236985258208235745676711294952229465208427722435166889999294578405054346630724018303425483416613451938567146420297094727347064526763529390676971710365525083049556260598332852178425692853805520818042005192063672211992678540011
e = 3
cipherkey = 142196723273747238898852175173915220249887834079871068954399297555327440564641299650087764716642697466878642687260087329740593337673114537926971425515696694822194006024953138119955781575720865321942965774838545548158954058397248000
ciphertext = e6c2921a3edb52639e871ebad04f16ff4580870a8522295cf58914b09fee749afcdd94a0beb8471dbaa50ed37693653295d4e798798674e2048f5c233cd9aba1
Ở đây, flag được mã hóa thông qua AES_ECB với block size là 16-bits, cùng với đó là key được mã hóa dựa trên RSA.
Nhìn vào output được cung cấp, mình nhận thấy e = 3, dấu hiệu cho lỗ hổng small e trong RSA. Giải thích dễ hiểu thì khi e quá nhỏ, m^e sẽ nhỏ hơn n. Khi đó m^e % n sẽ bằng m^e. Vậy thì đơn giản để tìm lại được key, ta chỉ cần lấy căn bậc e của cipherkey.
from Crypto.Util.number import *
from sympy import *
from Crypto.Cipher import AES
n = 17209865306489383127800020243389994329129743604782790572071575275930356482173664633977129059765483365641382694889746793832394394570779520318736174413698255275805470489995770799549145326336810606098666485462172397721883061380164674372281155031229403077923081446873681038939824476853501573626662210456685550050398627753809494063023262928406194832122173907376911569530179213802008987425021865006236985258208235745676711294952229465208427722435166889999294578405054346630724018303425483416613451938567146420297094727347064526763529390676971710365525083049556260598332852178425692853805520818042005192063672211992678540011
e = 3
cipherkey = 142196723273747238898852175173915220249887834079871068954399297555327440564641299650087764716642697466878642687260087329740593337673114537926971425515696694822194006024953138119955781575720865321942965774838545548158954058397248000
ciphertext = "e6c2921a3edb52639e871ebad04f16ff4580870a8522295cf58914b09fee749afcdd94a0beb8471dbaa50ed37693653295d4e798798674e2048f5c233cd9aba1"
ciphertext = bytes.fromhex(ciphertext)
key = long_to_bytes(int(real_root(cipherkey, 3))).decode()
print(key)
# key = "secret#keysummerSuperSecureAyyah"
Với key tìm được, mình thực hiện giải mã AES_ECB và ra được flag.
The secret agents share private information through a secret services. We take it from a napped agent, but cannot get its private information without knowing secret id. Wrong trials will punch me!
nc 34.143.143.97 8000
Attachment: chal_server.py
import base64
import json
import os
from Crypto.Cipher import AES
from Crypto.Util.Padding import pad, unpad
from secret import secret_client, flag
import socketserver
import sys
key = os.urandom(16)
iv1 = os.urandom(16)
iv2 = os.urandom(16)
def encrypt(msg):
aes1 = AES.new(key, AES.MODE_CBC, iv1)
aes2 = AES.new(key, AES.MODE_CBC, iv2)
enc = aes2.encrypt(aes1.encrypt(pad(msg, 16)))
return iv1 + iv2 + enc
def decrypt(msg):
iv1, iv2, enc = msg[:16], msg[16:32], msg[32:]
aes1 = AES.new(key, AES.MODE_CBC, iv1)
aes2 = AES.new(key, AES.MODE_CBC, iv2)
msg = unpad(aes1.decrypt(aes2.decrypt(enc)), 16)
return msg
def create_user(requestHandler):
requestHandler.request.sendall(b'Your client id: ')
client_id = requestHandler.rfile.readline().rstrip(b'\n').decode()
if client_id:
data = {"client_id": client_id, "privileged_granted": False}
else:
# Default token
data = {"client_id": secret_client, "privileged_granted": True}
token = encrypt(json.dumps(data).encode())
requestHandler.request.sendall(b"Your token: ")
requestHandler.request.sendall(base64.b64encode(token) + b'\n')
def login(requestHandler):
requestHandler.request.sendall(b'Your client id: ')
client_id = requestHandler.rfile.readline().rstrip(b'\n').decode()
requestHandler.request.sendall(b'Your token: ')
raw_token = requestHandler.rfile.readline().rstrip(b'\n')
try:
raw_token = decrypt(base64.b64decode(raw_token))
except:
requestHandler.request.sendall(b"Failed! Check your token again\n")
return None
try:
data = json.loads(raw_token.decode())
except:
requestHandler.request.sendall(b"Failed! Your token is malformed\n")
return None
if "client_id" not in data or data["client_id"] != client_id:
requestHandler.request.sendall(b"Failed! Check your client id again\n")
return None
return data
def none_menu(requestHandler):
requestHandler.request.sendall(b"1. New client\n")
requestHandler.request.sendall(b"2. Log in\n")
requestHandler.request.sendall(b"3. Exit\n")
try:
requestHandler.request.sendall(b"> ")
inp = int(requestHandler.rfile.readline().rstrip(b'\n').decode())
except ValueError:
requestHandler.request.sendall(b"Invalid choice!\n")
return None
if inp == 1:
create_user(requestHandler)
return None
elif inp == 2:
return login(requestHandler)
elif inp == 3:
exit(0)
else:
requestHandler.request.sendall(b"Invalid choice!\n")
return None
def user_menu(user, requestHandler):
requestHandler.request.sendall(b"1. Show flag\n")
requestHandler.request.sendall(b"2. Log out\n")
requestHandler.request.sendall(b"3. Exit\n")
try:
requestHandler.request.sendall(b"> ")
inp = int(requestHandler.rfile.readline().rstrip(b'\n').decode())
except ValueError:
requestHandler.request.sendall(b"Invalid choice!\n")
return None
if inp == 1:
if "privileged_granted" in user and user["privileged_granted"]:
requestHandler.request.sendall(flag + b'\n')
else:
requestHandler.request.sendall(b"Insuffcient permissions! Alerts triggered!!!\n")
return user
elif inp == 2:
return None
elif inp == 3:
exit(0)
else:
requestHandler.request.sendall(b"Invalid choice!\n")
return None
class RequestHandler(socketserver.StreamRequestHandler):
def handle(self):
user = None
self.request.sendall(b"Super-secure secret sharing service for only privileged users!\n")
self.request.sendall(b"I dare you to get me!\n")
self.request.sendall(b"=====================================================\n")
while True:
if user:
user = user_menu(user, self)
else:
user = none_menu(self)
class ThreadedTCPServer(socketserver.ThreadingMixIn, socketserver.TCPServer):
pass
def main(argv):
host, port = '0.0.0.0', 8000
if len(argv) == 2:
port = int(argv[1])
elif len(argv) >= 3:
host, port = argv[1], int(argv[2])
sys.stderr.write('Listening {}:{}\n'.format(host, port))
server = ThreadedTCPServer((host, port), RequestHandler)
server.daemon_threads = True
server.allow_reuse_address = True
try:
server.serve_forever()
except KeyboardInterrupt:
pass
server.server_close()
if __name__ == '__main__':
main(sys.argv)
Ở challenge này thì mình có thể tạo tài khoản và được cung cấp token cho tài khoản đó. Sau đó thì có thể thực hiện đăng nhập. Nếu mình có quyền "privileged_granted" thì có thể truy cập được vào mục show flag và lấy được flag.
Có thể thấy, token là JSON dạng {"client_id": client_id, "privileged_granted": True} được mã hóa thông qua hàm encrypt và base64. Cũng từ đoạn code, mình thấy rằng có thể dễ dàng lấy được đoạn token của secret_client bằng cách để trống client_id khi tạo tài khoản.
Super-secure secret sharing service for only privileged users!
I dare you to get me!
=====================================================
1. New client
2. Log in
3. Exit
> 1
Your client id:
Your token: yDb0q2pNaoySGmGrFNNWNWooRRl4soz6/g9oMrcLQBmuO+6LMqJuD5Lqc+OzwCUidMuWixJjkx4Zcexawgfyz64c7DGgXDgizbAtIOtwFGBsN210v6bTPAwI/x/pJGmZ
Tuy nhiên thì token này cũng chưa ra ngay được flag vì muốn đăng nhập chúng ta cần phải điền cả client_id. Vì vậy mình tiến tới xem xét các hàm liên quan tới mã hóa:
Ở đây, hàm encrypt sử dụng 2 lần mã hóa AES_CBC với key, iv1, iv2 được gen ra từ hàm os.random(16) ở đầu chương trình. Quá trình mã hóa có thể được minh họa như sau:
[M_1] [M_2] [M_3]
(CBC) | | |
v v v
(Enc) (Enc) (Enc)
| | |
v v v
[IV1] ----------> (Xor) .----> (Xor) .----> (Xor)
| | | | |
v -------. v -------. v --- ...
[T_1] [T_2] [T_3]
(CBC) | | |
v v v
(Enc) (Enc) (Enc)
| | |
v v v
[IV2] ----------> (Xor) .----> (Xor) .-----> (Xor)
| | | | |
v -------. v -------. v --- ...
[C_1] [C_2] [C_3]
Quá trình thám mã:
[C_1] [C_2] [C_3]
(CBC) | | |
v -------. v -------. v --- ...
(Dec) | (Dec) | (Dec)
| | | | |
v | v | v
[IV2] ----------> (Xor) .----> (Xor) .----> (Xor)
| | |
v v v
[T_1] [T_2] [T_3]
(CBC) | | |
v -------. v -------. v --- ...
(Dec) | (Dec) | (Dec)
| | | | |
v | v | v
[IV1] ----------> (Xor) .----> (Xor) .----> (Xor)
| | |
v v v
[M_1] [M_2] [M_3]
Vì là CBC nên ở đây, mình sẽ thực hiện tấn công Padding Oracle Attack. Lý thuyết sẽ được dựa trên bài viết này.
Với bài này, phần token trong login chính là nơi chúng ta thực hiện tấn công. Message "Failed! Check your token again\n" sẽ là cơ sở để phát hiện unpadding thành công hay không.
Code:
from tqdm import tqdm
from pwn import *
from base64 import *
r = remote('34.143.143.97', 8000)
def recv_line(x):
for _ in range(x):
r.recvline()
recv_line(3)
recv_line(3)
r.sendline(b"1")
r.send(b"\n")
token = r.recvline()
token = b64decode(token[30:158].decode())
print(token)
print(len(token))
true_token = [0] * 80
for i in range(64, 16, -16):
for j in range(0, 16):
for k in tqdm(range(0, 256)):
if i == 64 and j == 0 and k == 0:
continue
query_token = token[:i-j-17]
query_token += bytes([token[i-j-17] ^ k])
for u in range(j):
query_token += bytes([token[i-j-16+u] ^ true_token[i-j+16+u] ^ (j+1)])
query_token += token[i-16:i+16]
recv_line(3)
r.sendline(b"2")
r.sendline(b"trungpq")
r.sendline(b64encode(query_token))
res = r.recvline()
if b"Check your token again" not in res:
true_token[i+15-j] = k ^ (j+1)
break
print(bytes(true_token))
print(bytes(true_token))
Đến đây thì mình đã biết được client_id là fAiryTypeAn. Thử login với token đã lấy được từ trước, mình ra được flag.
Super-secure secret sharing service for only privileged users!
I dare you to get me!
=====================================================
1. New client
2. Log in
3. Exit
> 2
Your client id: fAiryTypeAn
Your token: yDb0q2pNaoySGmGrFNNWNWooRRl4soz6/g9oMrcLQBmuO+6LMqJuD5Lqc+OzwCUidMuWixJjkx4Zcexawgfyz64c7DGgXDgizbAtIOtwFGBsN210v6bTPAwI/x/pJGmZ
1. Show flag
2. Log out
3. Exit
> 1
FUSEC{rewire_for_basic_padding_orarcle_attack_is_fresh_didnt_it???}
I'm experimenting a new attack techniques but it takes too much time to attack. How long do I have to wait?
Attachment: special.py
#!/usr/bin/env python3
from Crypto.Util.number import getRandomNBitInteger, isPrime, bytes_to_long
from secret import flag
def genSpecialPrime(m, lsbit, nbit):
while True:
a = getRandomNBitInteger(nbit // m)
r = getRandomNBitInteger(lsbit)
p = a**m + r
if r < 2*a**(m/2) and isPrime(p):
return p, r
nbit = 2048
m = 6
lsbit = 36
p, r = genSpecialPrime(m, lsbit, nbit // 2)
q, s = genSpecialPrime(m, lsbit, nbit // 2)
n = p * q
e = 65537
m = bytes_to_long(flag)
c = pow(m, e, n)
print('n =', n)
print('e =', e)
print('r =', r)
print('s =', s)
print('c =', c)
output.txt
m = 6
n = 5492976487480578679267506637417801509317575229841582749209362422880496777697661463095681941384511594820366511371078950067259638159638389989851901094616667910772899948116916895560657161074452965224886315236525532104338582761091946493205663174132497284245913314808985617596094177891747635436626372362419446572744233021469108886918772231670973970330484736435736890290124391275237703374323416608209748760112099103861040856470543532740357396508522280726638388570667399579137930936466246498207356915282942024097243750099523899175827041338927836612379110009635783586479804781742147071688918856302200006864480644483685727
e = 65537
r = 65871773553
s = 50658050575
c = 328506890795505985479314425320468974528937152189787155810049374466222414408309371075268525124782969010895427145735894650939612552930129921545287771508147208685473386844493855455126505968483417807661266701694249679381494984658286621393654760823114577720985012613334426848040215211775270445793784398458277660845650104875381989887737457174846940396779008778505642465746393480801263823838958304980787593119384354693228102651172949043206704478693630425605780458674874508775093796165405750695793617366872908551523437485079189142381300394920095207163887827407773610175995565670690368395275769023963778492110094765806536
Bài này thì cũng là một dạng về RSA. Từ code, ta thấy được hai số p,q được tạo ra từ hàm sau:
def genSpecialPrime(m, lsbit, nbit):
while True:
a = getRandomNBitInteger(nbit // m)
r = getRandomNBitInteger(lsbit)
p = a**m + r
if r < 2*a**(m/2) and isPrime(p):
return p, r
Chúng ta đã biết n, e, c nhưng chúng đều ở trong điều kiện đủ để không khai thác được các cách thông dụng. Nhận thấy ngoài ra mình còn được cung cấp cả r,s là 2 giá trị trả về cùng với p,q dựa trên hàm gen số nguyên tố, mình đoán có thể khôi phục p,q bằng cách nào đó. Xem xét kĩ hàm genSpecialPrime, mình nhận thấy số nguyên tố trả về có dạng a**m + r. Dựa trên số liệu bài cho, mình có thể viết lại p,q như sau:
p = a^6 + r
q = b^6 + s
Do đã biết n, và n = p * q, mình có:
n = (a^6 + r)*(b^6 + s)
<=> (a*b)^6 + s*a^6 + r*b^6 + r*s - n = 0
Đặt a*b = x
Đến đây thì mình cũng khá là bế tắc. Sau khi bú chút hint thì mình nhận ra r,s là 2 số khá nhỏ. Khi đó, n sẽ xấp xỉ bằng (a*b)^6. Để gần hơn thì mình sẽ lấy a*b = căn bậc 6 của n-r*s
s*a^6 + r*b^6 = n - r*s - x^6
Đặt n - r*s - x^6 = y
<=> s*a^6 + r*b^6 - y = 0
Nhân cả 2 vế với a^6
<=> s*a^12 + r*x^6 - y*a^6 = 0
Phương trình trên là phương trình bậc 2 1 ẩn, hoàn toàn có thể giải ra được a. Từ đó ta sẽ có được b và tính được p,q. Lúc đó, bài toán RSA sẽ không còn gì khó nữa.
n = 5492976487480578679267506637417801509317575229841582749209362422880496777697661463095681941384511594820366511371078950067259638159638389989851901094616667910772899948116916895560657161074452965224886315236525532104338582761091946493205663174132497284245913314808985617596094177891747635436626372362419446572744233021469108886918772231670973970330484736435736890290124391275237703374323416608209748760112099103861040856470543532740357396508522280726638388570667399579137930936466246498207356915282942024097243750099523899175827041338927836612379110009635783586479804781742147071688918856302200006864480644483685727
e = 65537
r = 65871773553
s = 50658050575
c = 328506890795505985479314425320468974528937152189787155810049374466222414408309371075268525124782969010895427145735894650939612552930129921545287771508147208685473386844493855455126505968483417807661266701694249679381494984658286621393654760823114577720985012613334426848040215211775270445793784398458277660845650104875381989887737457174846940396779008778505642465746393480801263823838958304980787593119384354693228102651172949043206704478693630425605780458674874508775093796165405750695793617366872908551523437485079189142381300394920095207163887827407773610175995565670690368395275769023963778492110094765806536
m = 6
x = int((n - r * s) ** (1/6))
assert x ** 6 < n - r*s < (x+1)**6
y = n - r*s - x**6
R.<a> = PolynomialRing(ZZ)
f = s*a**12 - y * a**6 + r*(x)**6
a = f.roots()[0][0]
b = x // a
p = a**m + r
q = b**m + s
assert p * q == n
from Crypto.Util.number import long_to_bytes, bytes_to_long
d = int(pow(e, -1, (p-1)* (q-1)))
print(long_to_bytes(int(pow(c,d,n))))
