Hack.lu CTF 2018 Writeup

この大会は2018/10/16 19:00(JST)~2018/10/18 19:00(JST)に開催されました。
今回もチームで参戦。結果は 1109点で1035チーム中51位でした。
自分で解けた問題をWriteupとして書いておきます。

Relations (Crypto)

いろいろ試してみる。

$ nc arcade.fluxfingers.net 1821
------------------------------
Welcome to theory world
------------------------------

------------------------------
Possible Oracles
(XOR) Choose XOR Oracle
(ADD) Choose ADD Oracle
(DEC) For trying to decrypt
-----------------------------*
XOR

Please choose the operand in hex >>> 01
Ciphertext is  sY4v3laEDC9hcW7OLMoOkxrz7SVVioYl+4ni7XawrypvCKuodcSPtwpvEJyvNGxDQgEM+qCeKcaq
xk1a7I65qQ==

------------------------------
Possible Oracles
(XOR) Choose XOR Oracle
(ADD) Choose ADD Oracle
(DEC) For trying to decrypt
-----------------------------*
XOR

Please choose the operand in hex >>> 0001
Ciphertext is  sY4v3laEDC9hcW7OLMoOkxrz7SVVioYl+4ni7XawrypvCKuodcSPtwpvEJyvNGxDQgEM+qCeKcaq
xk1a7I65qQ==

------------------------------
Possible Oracles
(XOR) Choose XOR Oracle
(ADD) Choose ADD Oracle
(DEC) For trying to decrypt
-----------------------------*
XOR

Please choose the operand in hex >>> 56
Ciphertext is  NWwcbySi44ud+TDvirbaZbwH0P5iXI0DIce9fPsp1PAapdofgXXHF2Up8cVdgmQZff4z9IUxemHh
7vHVQ6pz+w==

------------------------------
Possible Oracles
(XOR) Choose XOR Oracle
(ADD) Choose ADD Oracle
(DEC) For trying to decrypt
-----------------------------*
ADD

Please choose the operand in hex >>> 56
Ciphertext is  YGuF1Rl5Xj44kM+21Fazt7IFH0pDb5VV9QhnWghpIfCQr6fjwi2ko9RHEdw+s7dgEMKTWaf3eum/
QeqPcV6Vng==

$ nc arcade.fluxfingers.net 1821
------------------------------
Welcome to theory world
------------------------------

------------------------------
Possible Oracles
(XOR) Choose XOR Oracle
(ADD) Choose ADD Oracle
(DEC) For trying to decrypt
-----------------------------*
DEC

Enter the key base64 encoded >>> MDEy                                    
Traceback (most recent call last):
  File "/home/chall/rka.py", line 113, in <module>
    main()
  File "/home/chall/rka.py", line 107, in main
    aes = pyaes.AESModeOfOperationECB(key)
  File "/home/chall/pyaes/aes.py", line 304, in __init__
    self._aes = AES(key)
  File "/home/chall/pyaes/aes.py", line 134, in __init__
    raise ValueError('Invalid key size')
ValueError: Invalid key size

どうやらAESの鍵にXORやADDして暗号化した結果を表示していると推定できる。各ビットに対して、XORした鍵とADDした鍵が同じ場合は、ビットが立っていないことになることを利用して、鍵を1ビットずつ割り出し、128ビット分判明したら復号する。

import socket
import re
import base64

def recvuntil(s, tail):
    data = ''
    while True:
        if tail in data:
            return data
        data += s.recv(1)

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(('arcade.fluxfingers.net', 1821))

b_key = ''
for i in range(128):
    print 'Round %d' % (i + 1)
    print b_key
    send_data = hex(2**i)[2:].rstrip('L')

    data = recvuntil(s, '*\n')
    print data + 'XOR'
    s.sendall('XOR\n')
    data = recvuntil(s, '>>> ')
    print data + send_data
    s.sendall(send_data + '\n')

    data = recvuntil(s, '\n\n')
    pattern = 'Ciphertext is  (.+)\n(.+)\n'
    m = re.search(pattern, data)
    ciphertext = m.group(1) + m.group(2)
    print data

    data = recvuntil(s, '*\n')
    print data + 'ADD'
    s.sendall('ADD\n')
    data = recvuntil(s, '>>> ')
    print data + send_data
    s.sendall(send_data + '\n')

    data = recvuntil(s, '\n\n')
    pattern = 'Ciphertext is  (.+)\n(.+)\n'
    m = re.search(pattern, data)
    ciphertext2 = m.group(1) + m.group(2)
    print data

    if ciphertext == ciphertext2:
        b_key = '0' + b_key
    else:
        b_key = '1' + b_key

key = ''
for i in range(0, 128, 8):
    key += chr(int(b_key[i:i+8], 2))

print key.encode('hex')
b64_key = base64.b64encode(key)

data = recvuntil(s, '*\n')
print data + 'DEC'
s.sendall('DEC\n')
data = recvuntil(s, '>>> ')
print data + b64_key
s.sendall(b64_key + '\n')

data = recvuntil(s, '\n')
print data
flag{r3l4t3d_k3y_der1iviNg_fuNct1on5_h4ve_to_be_a_l1mit3d_cla55}

Multiplayer Part 1 (Crypto)

jsonデータ入力。パラメータは x, y, c, d, groupIDで、以下の形式。

{"x": val, "y": val, "c": val, "d": val, "groupID": val}

X = E*1
X == c*P + d*Q
response = get_response(data["x"], data["y"], data["c"], data["d"], data["groupID"])

DBにない場合は登録。指定GroupIDのデータを201個以上登録できたら、フラグが表示される。c, dをランダムな値にしてXを算出。x, yを指定すればよい。

import socket
import re
from gmpy2 import invert
from random import randint

class EllipticCurve(object):
    def __init__(self, a, b, p):
        self.a = a
        self.b = b
        self.p = p

        self.discriminant = -16 * (4 * a * a * a + 27 * b * b)
        if not self.isSmooth():
            raise Exception("The curve %s is not smooth!" % self)

    def isSmooth(self):
        return self.discriminant != 0

    def testPoint(self, x, y, p):
        return (y ** 2) % p == (x ** 3 + self.a * x + self.b) % p

    def __str__(self):
        return 'y^2 = x^3 + %Gx + %G (mod %G)' % (self.a, self.b, self.p)

    def __eq__(self, other):
        return (self.a, self.b, self.p) == (other.a, other.b, other.p)

class Point(object):
    def __init__(self, curve, x, y):
        self.curve = curve
        self.x = x
        self.y = y
        if not curve.testPoint(x, y, curve.p):
            raise Exception("The point %s is not on the given curve %s" % (self, curve))

    def __neg__(self):
        return Point(self.curve, self.x, -self.y)

    def __add__(self, Q):
        if isinstance(Q, Ideal):
            return self
        x_1, y_1, x_2, y_2 = self.x, self.y, Q.x, Q.y
        if (x_1, y_1) == (x_2, y_2):
            if y_1 == 0:
                return Ideal(self.curve)
            s = (3 * x_1 * x_1 + self.curve.a) * int(invert(2 * y_1, self.curve.p))
        else:
            if x_1 == x_2:
                return Ideal(self.curve)
            s = (y_2 - y_1) * int(invert(x_2 - x_1, self.curve.p))
        x_3 = (s * s - x_2 - x_1) % self.curve.p
        y_3 = (s * (x_3 - x_1) + y_1) % self.curve.p
        return Point(self.curve, x_3, self.curve.p - y_3)

    def __sub__(self, Q):
        return self + -Q

    def __mul__(self, n):
        if not (isinstance(n, int) or isinstance(n, long)):
            raise Exception("Can't scale a point by something which isn't an int!")
        else:
            if n < 0:
                return -self * -n
            if n == 0:
                return Ideal(self.curve)
            else:
                Q = self
                R = self if n & 1 == 1 else Ideal(self.curve)
                i = 2
                while i <= n:
                    Q = Q + Q
                    if n & i == i:
                        R = Q + R
                    i = i << 1
        return R

    def __rmul__(self, n):
        return self * n

class Ideal(Point):

    def __init__(self, curve):
        self.curve = curve

    def __str__(self):
        return "Ideal"

    def __neg__(self):
        return self

    def __add__(self, Q):
        return Q

    def __mul__(self, n):
        if not isinstance(n, int):
            raise Exception("Can't scale a point by something which isn't an int!")
        else:
            return self

p = 889774351128949770355298446172353873
a = 12345
b = 67890
px = 238266381988261346751878607720968495
py = 591153005086204165523829267245014771
qx = 341454032985370081366658659122300896
qy = 775807209463167910095539163959068826

def recvuntil(s, tail):
    data = ''
    while True:
        if tail in data:
            return data
        data += s.recv(1)

def make_json(x, y, c, d):
    groupID = 'n0r4n3c0_m1k3n3c0'
    json_format = '{"x": "%d", "y": "%d", "c": "%d", "d": "%d", "groupID": "%s"}'
    json = json_format % (x, y, c, d, groupID)
    return json

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(('arcade.fluxfingers.net', 1822))

E = EllipticCurve(a, b, p)
P = Point(E, px, py)
Q = Point(E, qx, qy)

while True:
    c = randint(1, p - 1)
    d = randint(1, p - 1)
    X = c * P + d * Q
    x = X.x
    y = X.y
    json = make_json(x, y, c, d)
    print json
    s.sendall(json + '\n')
    data = recvuntil(s, '}')
    if 'flag1' in data:
        data += recvuntil(s, '}')
        print data
        break
    else:
        print data
flag{d1str1but3_the_rh0w_p0W3r}

*1:x, y

HumanCTF Writeup

この大会は2018/10/13 10:00(JST)~2018/10/13 17:00(JST)に開催されました。
今回もチームで参戦。結果は 2009点で112チーム中2位でした。
自分で解けた問題をWriteupとして書いておきます。

Disgruntled (Misc 10)

bijereg@gmail.comに次の文面でメールをしたら、フラグを返してくれた。

Please tell me your secrets!
Best Regards
HumanCTF{nin3_to_fiv3_j0b}

Lottery (Misc 10)

ヒントのメニューが10個あり、すべて-1点。どうやらくじ引きでこのうち1個にフラグが書いてあるらしい。なんとなく7つ目を開いたら、フラグが表示された。

HumanCTF{WINNER!}

Meet the Überbank (Web 20)

HTMLソースのコメントにフラグが書いてあった。

    <!--
    Developed by Sergey Belousov (bijereg@gmail.com) for HumanCTF.
    Telegram: @bijereg
    https://vk.com/bijereg


    FLAG:
    HumanCTF{ha57_du_3in3n_V3r7rag}
    -->
HumanCTF{ha57_du_3in3n_V3r7rag}

What you have tamed? (Web 50)

robotsの話が問題文にあるので、http://ctf.knastu.ru/webch/robots.txt にアクセスすると、フラグが書いてあった。

User-Agent: *
Allow: /
Allow: /jobs
Flag: HumanCTF{skynet_d035n7_pa55}
Disallow: /jobs/manage
Allow: /about
Allow: /cards
Allow: /deposits
HumanCTF{skynet_d035n7_pa55}

More than privacy (Web 80)

Privacy Policyをクリックすると、以下のページにアクセスできる。

http://ctf.knastu.ru/webch/read?file=privacy.txt

http://ctf.knastu.ru/webch/read?file=flag.txt にアクセスしてみると、フラグが表示された。

HumanCTF{n0b0dy_r3ad5_privacy}

Stealer (Stego 90)

そのまま解凍すると、flag.txtが展開されるが、「It is not the flag」と書いてあるだけでフラグは書かれていない。
rarファイルなので、ADSにフラグが隠されていると推測して、WinRARで解凍する。解凍したディレクトリで、以下を実行する。

>dir /R
 ドライブ C のボリューム ラベルは S3A8244D001 です
 ボリューム シリアル番号は 50D2-38C8 です

 C:\CTF\work\Flag のディレクトリ

2018/10/13  11:34    <DIR>          .
2018/10/13  11:34    <DIR>          ..
2018/10/10  22:46                18 Flag.txt
                                 28 Flag.txt:Flag.txt:$DATA
                                345 Flag.txt:Zone.Identifier:$DATA
               1 個のファイル                  18 バイト
               2 個のディレクトリ  1,242,034,556,928 バイトの空き領域

>more < Flag.txt:Flag.txt:$DATA
HumanCTF{d0ub13_fak3_f1ag}
HumanCTF{d0ub13_fak3_f1ag}

InCTF 2018 Writeup

この大会は2018/10/6 20:00(JST)~2018/10/8 8:00(JST)に開催されました。
今回もチームで参戦。結果は 2120点で306チーム中24位でした。
自分で解けた問題は参加賞の問題だけですが、Writeupとして書いておきます。

Sanity check (Trivia)

freenodeで#bi0s-ctfチャネルに入る。

20:03 *topic : Official channel for InCTF | flag for Sanity Check - inctf{W3lc0me_to_our_CTF!!} | CTF has started!! |  Register at https://ctf.inctf.in/ | Read rules at https://ctf.inctf.in/rules/ | Organised by team bi0s - https://bi0s.in
inctf{W3lc0me_to_our_CTF!!}

Hackover CTF 2018 Writeup

この大会は2018/10/6 5:00(JST)~2018/10/7 19:00(JST)に開催されました。
今回もチームで参戦。結果は 1838点で201チーム中18位でした。
自分で解けた問題をWriteupとして書いておきます。

UnbreakMyStart (forensics)

xzのフォーマットだとしたら、先頭が壊れている。以下のように修正する。

(修正前)50 4B 03 04 14 00 08 00 08 00 04
(修正後)FD 37 7A 58 5A 00 00 04

解凍すると、flag.txtが展開され、フラグが書いてあった。

hackover18{U_f0und_th3_B3st_V3rs10n}

Teaser Dragon CTF 2018

この大会は2018/9/29 21:00(JST)~2018/9/30 21:00(JST)に開催されました。
今回もチームで参戦。結果は254点で233チーム中74位でした。
今回は自分が得点した問題は1問もありませんでした。
暗号の問題を解きたかったけど、まだまだ精進が足りないってことか…。

DefCamp CTF Qualification 2018 Writeup

この大会は2018/9/22 18:00(JST)~2018/9/23 18:00(JST)に開催されました。
今回もチームで参戦。結果は 681点で1005チーム中44位でした。
自分で解けた問題をWriteupとして書いておきます。

XORnigma (Junior)

XOR暗号。フラグはDCTF{で始まることを考慮し、キーを割り出す。キーの1バイト目と5バイト目が同じなので、4バイトと考え、復号する。

import itertools

def xor_two_str(s, key):
    key = key * (len(s) / len(key) + 1)
    return ''.join(chr(ord(x) ^ ord(y)) for (x,y) in itertools.izip(s, key))

enc = '000000003f2537257777312725266c24207062777027307574706672217a67747374642577263077777a3725762067747173377326716371272165722122677522746327743e'
enc = enc.decode('hex')
flag_head = 'DCTF{'

key = ''
for i in range(len(flag_head)):
    key += chr(ord(enc[i]) ^ ord(flag_head[i]))
key = key[:4]

flag = xor_two_str(enc, key)
print flag
DCTF{fcc34eaae8bd3614dd30324e932770c3ed139cc2c3250c5b277cb14ea33f77a0}

Multiple Flags (Junior)

手旗信号の画像。
f:id:satou-y:20180926185751p:plain
https://ja.wikipedia.org/wiki/%E6%89%8B%E6%97%97%E4%BF%A1%E5%8F%B7を参考に、文字にしていく。

(文字)DCTFSPECIALFLAG(数字)00(文字)AA(数字)00(文字)AA(数字)00991337(文字)DCTF
DCTFSPECIALFLAG00AA00AA00991337DCTF

Passport (Junior)

demo.binと異なるバイナリで、md5が同じファイルをアップロードすればフラグが表示されるようだ。
試しにdemo.binのmd5の値で調べてみる。

cee9a457e790cf20d4bdaa6d69f01e41

http://www.xefan.com/archives/83875.htmlに衝突する2つのファイルが書いてあり、片方はdemo.binと一致する。もう一つのバイナリを作成すればよい。
バイナリエディタでdemoの一部を修正する。

・オフセット0x15:0x70→0x74
・オフセット0x2b:0x5c→0xdc

この作成したバイナリファイルをアップロードすると、フラグが表示された。

DCTF{04c8d0052e3ffd8d21934e392c272a0494f23433901941c93fab82b50be27c1a}

Ransomware (Reverse)

ransomware.pycをEasyPythonDecompilerでデコンパイルする。

import string
from random import *
import itertools

def caesar_cipher(OOO0O0O00OOO0O0OO, O0O0O0O0OOOO0OOOO):
    O0O0O0O0OOOO0OOOO = O0O0O0O0OOOO0OOOO * (len(OOO0O0O00OOO0O0OO) / len(O0O0O0O0OOOO0OOOO) + 1)
    return ''.join((chr(ord(O0O0O00O0000O00O0) ^ ord(OO0000000O0OO00OO)) for O0O0O00O0000O00O0, OO0000000O0OO00OO in itertools.izip(OOO0O0O00OOO0O0OO, O0O0O0O0OOOO0OOOO)))


f = open('./FlagDCTF.pdf', 'r')
buf = f.read()
f.close()
allchar = string.ascii_letters + string.punctuation + string.digits
password = ''.join((choice(allchar) for OOO0OO0OO00OO0000 in range(randint(60, 60))))
buf = caesar_cipher(buf, password)
f = open('./youfool!.exe', 'w')
buf = f.write(buf)
f.close()

cease_cipher関数は読みにくいので、置き換える。

def caesar_cipher(x, y):
    y = y * (len(x) / len(y) + 1)
    return ''.join((chr(ord(a) ^ ord(b)) for a, b in itertools.izip(x, y)))

簡単に言えば, XOR関数で、実行している部分を見ると、鍵の長さは60であることがわかる。PDFに復号できることを前提に少しずつ調整しながら鍵を見つけていく。

def str_xor(s1, s2):
    return ''.join(chr(ord(a) ^ ord(b)) for a, b in zip(s1, s2))

with open('youfool!.exe', 'rb') as f:
    data = f.read()

key = ''
#### key 0-6
PDF_HEAD = '%PDF-1.'
key += str_xor(PDF_HEAD, data[:len(PDF_HEAD)])

#### key 7-9
AFTER_FIL = 'ter'
key += str_xor(AFTER_FIL, data[1387:1390])

#### key 10-11
AFTER_LENG = 'th'
key += str_xor(AFTER_LENG, data[8470:8472])

#### key 12-15
AFTER_CAT = 'alog'
key += str_xor(AFTER_CAT, data[672:676])

#### key 16-19
AFTER_MIDI = 'aBox'
key += str_xor(AFTER_MIDI, data[856:860])

#### key 20-22
AFTER_FLATEDEC = 'ode'
key += str_xor(AFTER_FLATEDEC, data[10220:10223])

#### key 23-24
AFTER_PARE = 'nt'
key += str_xor(AFTER_PARE, data[10043:10045])

#### key 25-27
AFTER_IM = 'age'
key += str_xor(AFTER_IM, data[9625:9628])

#### key 28-30
AFTER_LEN = 'gth'
key += str_xor(AFTER_LEN, data[1408:1411])

#### key 31-32
AFTER_FILT = 'er'
key += str_xor(AFTER_FILT, data[10531:10533])

#### key 33-34
AFTER_TY = 'pe'
key += str_xor(AFTER_TY, data[10173:10175])

#### key 35-43
AFTER_FL = 'ateDecode'
key += str_xor(AFTER_FL, data[9695:9704])

#### key 44-45
EOF_TAIL = 'OF'
key += str_xor(EOF_TAIL, data[10784:10786])

#### key 46-50
AFTER_FLATEDECODE_L = 'ength'
key += str_xor(AFTER_FLATEDECODE_L, data[1066:1071])

#### key 51-56
AFTER_EXT = 'GState'
key += str_xor(AFTER_EXT, data[10071:10077])

#### key 57-59
AFTER_RESO = 'urc'
key += str_xor(AFTER_RESO, data[897:900])

print '[+] key:', key

pdf = ''
for i in range(0, len(data), 60):
    dec = str_xor(data[i:i+60], key)
    print dec, i # for arrangement
    pdf += dec

with open('FlagDCTF.pdf', 'wb') as f:
    f.write(pdf)

復号したPDFは3ページにわたり、フラグが書かれている。
f:id:satou-y:20180926193052p:plain
f:id:satou-y:20180926193104p:plain
f:id:satou-y:20180926193113p:plain

DCTF{d915b5e076215c3efb92e5844ac20d0620d19b15d427e207fae6a3b894f91333}

CSAW CTF Qualification Round 2018 Writeup

この大会は2018/9/15 5:00(JST)~2018/9/17 5:00(JST)に開催されました。
今回もチームで参戦。結果は 1001点で671チーム中202位でした。
自分で解けた問題をWriteupとして書いておきます。

Twitch Plays Test Flag (Misc 1)

問題にフラグが書いてあった。

flag{typ3_y3s_to_c0nt1nue}

babycrypto (Crypto 50)

Base64デコードしてXORで復号する。XORの鍵は1文字前提でブルートフォースでやってみる。

def is_printable(s):
    for i in range(len(s)):
        if ord(s[i]) < 32 or ord(s[i]) > 126:
            return False
    return True

with open('ciphertext.txt', 'r') as f:
    data = f.read().strip()

data = data.decode('base64')

for k in range(256):
    dec = ''
    for i in range(len(data)):
        dec += chr(ord(data[i]) ^ k)
    if is_printable(dec):
        print 'key =', k
        print 'flag =', dec

実行結果は以下の通り。

key = 224
flag = Szpq?vl?~?ompxm~rrzm?hwp?~lovmzl?kp?|mz~kz?ompxm~rl?kw~k?wzso?ozposz?{p?szll1?Wz?h~qkl?kp?ojk?~jkpr~kvpq?yvmlk3?~q{?l|~s~}vsvkf?~spqxlv{z1?Wz?{mz~rl?py?~?hpms{?hwzmz?kwz?zq{szll?~q{?kwz?vqyvqvkz?}z|prz?mz~svkvzl?kp?r~qtvq{3?~q{?hwzmz?kwz?kmjz?i~sjz?py?svyz?vl?omzlzmiz{1ys~xd{vyyvz2wzssr~q2x/ow,mem~PF.U~s+|W~YF&LHMf^N)~Wb
key = 234
flag = Ypz{5|f5t5egzrgtxxpg5b}z5tfe|gpf5az5vgptap5egzrgtxf5a}ta5}pye5epzeyp5qz5ypff;5]p5bt{af5az5e`a5t`azxta|z{5s|gfa95t{q5fvtytw|y|al5tyz{rf|qp;5]p5qgptxf5zs5t5bzgyq5b}pgp5a}p5p{qypff5t{q5a}p5|{s|{|ap5wpvzxp5gpty|a|pf5az5xt{~|{q95t{q5b}pgp5a}p5ag`p5cty`p5zs5y|sp5|f5egpfpgcpq;sytrnq|ss|p8}pyyxt{8r%e}&gogtZL$_ty!v]tSL,FBGlTD#t]h
key = 241
flag = Bka`.g}.o.~|ai|occk|.yfa.o}~g|k}.za.m|kozk.~|ai|oc}.zfoz.fkb~.~ka~bk.ja.bk}} .Fk.yo`z}.za.~{z.o{zacozga`.hg|}z".o`j.}mobolgbgzw.oba`i}gjk .Fk.j|koc}.ah.o.ya|bj.yfk|k.zfk.k`jbk}}.o`j.zfk.g`hg`gzk.lkmack.|kobgzgk}.za.co`eg`j".o`j.yfk|k.zfk.z|{k.xob{k.ah.bghk.g}.~|k}k|xkj hboiujghhgk#fkbbco`#i>~f=|t|oAW?Dob:mFoHW7]Y\wO_8oFs
key = 248
flag = Kbhi'nt'f'wuh`ufjjbu'poh'ftwnubt'sh'dubfsb'wuh`ufjt'sofs'obkw'wbhwkb'ch'kbtt)'Ob'pfist'sh'wrs'frshjfsnhi'anuts+'fic'tdfkfenkns~'fkhi`tncb)'Ob'cubfjt'ha'f'phukc'pobub'sob'bickbtt'fic'sob'nianinsb'ebdhjb'ubfknsnbt'sh'jfilnic+'fic'pobub'sob'surb'qfkrb'ha'knab'nt'wubtbuqbc)akf`|cnaanb*obkkjfi*`7wo4u}ufH^6Mfk3dOfA^>TPU~FV1fOz
key = 252
flag = Oflm#jp#b#sqldqbnnfq#tkl#bpsjqfp#wl#`qfbwf#sqldqbnp#wkbw#kfos#sflsof#gl#ofpp-#Kf#tbmwp#wl#svw#bvwlnbwjlm#ejqpw/#bmg#p`bobajojwz#bolmdpjgf-#Kf#gqfbnp#le#b#tlqog#tkfqf#wkf#fmgofpp#bmg#wkf#jmejmjwf#af`lnf#qfbojwjfp#wl#nbmhjmg/#bmg#tkfqf#wkf#wqvf#ubovf#le#ojef#jp#sqfpfqufg-eobdxgjeejf.kfoonbm.d3sk0qyqbLZ2Ibo7`KbEZ:PTQzBR5bK~
key = 254
flag = Mdno!hr!`!qsnfs`llds!vin!`rqhsdr!un!bsd`ud!qsnfs`lr!ui`u!idmq!qdnqmd!en!mdrr/!Id!v`our!un!qtu!`tunl`uhno!ghsru-!`oe!rb`m`chmhux!`mnofrhed/!Id!esd`lr!ng!`!vnsme!vidsd!uid!doemdrr!`oe!uid!hoghohud!cdbnld!sd`mhuhdr!un!l`ojhoe-!`oe!vidsd!uid!ustd!w`mtd!ng!mhgd!hr!qsdrdswde/gm`fzehgghd,idmml`o,f1qi2s{s`NX0K`m5bI`GX8RVSx@P7`I|
key = 255
flag = Leon is a programmer who aspires to create programs that help people do less. He wants to put automation first, and scalability alongside. He dreams of a world where the endless and the infinite become realities to mankind, and where the true value of life is preserved.flag{diffie-hellman-g0ph3rzraOY1Jal4cHaFY9SWRyAQ6aH}
flag{diffie-hellman-g0ph3rzraOY1Jal4cHaFY9SWRyAQ6aH}

flatcrypt (Crypto 100)

CRIME: Compression Ratio Info-leak Made Easyに関する攻撃が可能。zlib(deflate圧縮)は同じ文字列が繰り返しあると、圧縮率が高くなるという性質を使って、少しずつ文字列を試し、圧縮率の高い文字を探る。

import socket
import string

def recvuntil(s, tail):
    data = ''
    while True:
        if tail in data:
            return data
        data += s.recv(1)

chars = string.lowercase + '_'

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(('crypto.chal.csaw.io', 8043))

flag = ''
while True:
    min_length = 9999
    min_char = '?'
    min_char_count = 0
    for c in chars:
        data = recvuntil(s, '\n')
        print data
        f = (c + flag) * 7
        if len(f) < 20:
            f = f * 3
        print f
        s.sendall(f + '\n')
        data = recvuntil(s, '\n')
        print data
        size = ord(data.strip()[-1])
        print size
        if size < min_length:
            min_length = size
            min_char = c
            min_char_count = 1
        elif size == min_length:
            min_char_count += 1
    if min_char_count > 1:
        break
    flag = min_char + flag

print flag

実行結果は以下の通りだが、フラグとしては通らない。

rime_doesnt_have_a_logo

CRIMEの攻撃のことを考え、以下のようにしたら通った。

crime_doesnt_have_a_logo

lowe (Crypto 200)

$ openssl rsa -pubin -text < pubkey.pem
Public-Key: (1536 bit)
Modulus:
    00:cf:70:7e:ed:97:90:17:b7:f6:f4:76:ff:3b:a6:
    55:59:ad:b1:82:e0:7c:fa:23:33:b1:ec:05:6b:7f:
    7b:96:12:40:54:f1:f5:74:8b:04:c3:69:4e:90:f0:
    d9:9f:ee:05:84:a8:7a:70:81:75:80:d4:93:93:32:
    1b:b2:08:07:ff:de:25:a4:c8:ab:d4:6d:95:c1:e3:
    74:0d:9e:64:1f:e7:7f:9b:96:ce:ca:e9:18:e6:7a:
    24:89:52:b5:da:81:ae:77:42:bd:ae:51:b1:29:24:
    59:73:41:50:57:ae:75:df:b7:5a:78:e8:24:37:9e:
    52:50:65:92:c3:75:0e:9a:1c:7e:70:1b:ee:8d:df:
    c7:a9:ca:72:53:4c:d3:b0:95:79:f8:7a:4e:b3:76:
    f9:26:7c:d1:a1:6e:1e:57:90:95:c5:b8:6f:4b:8f:
    24:fb:61:3f:08:a7:e0:e4:75:d2:55:56:ae:41:c8:
    ce:e2:48:e9:0d:ac:96:5d:c4:7d:db:b4:c5
Exponent: 3 (0x3)
writing RSA key
-----BEGIN PUBLIC KEY-----
MIHdMA0GCSqGSIb3DQEBAQUAA4HLADCBxwKBwQDPcH7tl5AXt/b0dv87plVZrbGC
4Hz6IzOx7AVrf3uWEkBU8fV0iwTDaU6Q8Nmf7gWEqHpwgXWA1JOTMhuyCAf/3iWk
yKvUbZXB43QNnmQf53+bls7K6RjmeiSJUrXaga53Qr2uUbEpJFlzQVBXrnXft1p4
6CQ3nlJQZZLDdQ6aHH5wG+6N38epynJTTNOwlXn4ek6zdvkmfNGhbh5XkJXFuG9L
jyT7YT8Ip+DkddJVVq5ByM7iSOkNrJZdxH3btMUCAQM=
-----END PUBLIC KEY-----
n = 0x00cf707eed979017b7f6f476ff3ba65559adb182e07cfa2333b1ec056b7f7b96124054f1f5748b04c3694e90f0d99fee0584a87a70817580d49393321bb20807ffde25a4c8abd46d95c1e3740d9e641fe77f9b96cecae918e67a248952b5da81ae7742bdae51b129245973415057ae75dfb75a78e824379e52506592c3750e9a1c7e701bee8ddfc7a9ca72534cd3b09579f87a4eb376f9267cd1a16e1e579095c5b86f4b8f24fb613f08a7e0e475d25556ae41c8cee248e90dac965dc47ddbb4c5
e = 3

eは小さいので、そのまま3乗根を出そうとしたが、うまくいかない。問題からfile.encはXORで復号できるはず。
この文字列より短い鍵であると仮定すると、3乗してもnを少し超える程度と予想できる。nをプラスしながら、復号する。鍵を復号で来たら、XORでフラグを復号する。

from Crypto.PublicKey import RSA
import gmpy

with open('pubkey.pem', 'r') as f:
    pub_data = f.read()

pubkey = RSA.importKey(pub_data)
n = pubkey.n
e = pubkey.e

with open('key.enc', 'r') as f:
    c = int(f.read().strip())

while True:
    m = gmpy.root(c, e)[0]
    if m**e == c:
        break
    c += n

key = '%x' % m
if len(key) % 2 == 1:
    key = '0' + key
key = key.decode('hex')

with open('file.enc', 'r') as f:
    data = f.read().strip().decode('base64')

flag = ''
for i in range(len(data)):
    code = ord(data[i]) ^ ord(key[i%len(key)])
    flag += chr(code)
print flag
flag{saltstacksaltcomit5dd304276ba5745ec21fc1e6686a0b28da29e6fc}