领航杯2022

8月的比赛了，一共三道题，感觉都还行。

modus

共模攻击，但是三组e，并且任意两组e的公因子均很大；显然还是利用RSA的乘法同态性质去构造出指数为1的情况：

$$y_1 \;\equiv\;x_1\cdot e_1 + x_2 \cdot e_2 \\1\equiv t_1 \cdot y_1 + x_3 \cdot e_3\\1\equiv t_1 \cdot(x_1\cdot e_1+x_2 \cdot e_2) + x_3\cdot e_3$$

所以exp为：

from gmpy2 import *

n = 14142010206099386143235977555692857399310494373372334255226213043954222671886219214790080363755519983589419573494262932031062165425660149023699589427423291076757673539031113758789961660789969074666728548356143546954548237178966812807683542026090314756465049840269239582841323515153189937744280883895942616355068450477244038093783025761830910527817275117470273068582606801561816182028771714266926279491448124072638544823523354972471012076902504991756879694948477398253632905720027515230565063830199860044535605314432273647912553716877788661706091962626029470938285869557993283863813783012548154763397158585969860496209
e1 = 8044170206501208651566242545498471362911890649958881015968520025930186294576023443506808099677296038797758573489705294289102108150592764180571398770862282775413964383616485564171756065468610971753771700993772575426420613330938626182989999507422559869431997096499661057456703567386749182728255894961711
c1 = 11517322714245526592044873592382373283428914348422645739336159016405003731268657488015847458779166523731678788259036486197351408324218938844963108776390284845014868126098529982171539875948326597563481747612010865265679909207769244324752454968172401384300433252342047155447253514663020084257315172025978213587941036806257025876560069777775117798912056950800470305039358493009376541529192357082470617915062674822440632959240104574498373020678875137349967659371746447815516349204225897744273956308472359601558104152900628002351072193856499370256139818744736463310402972428459727204523498170929275318085749369313370330104
e2 = 7981110843177277522743262582712207767500318326009118362192817529414323700650435360291001887232564132664914694220334201133850645107707193720930288877874115700468049318771691746592219604611120450612600603061311788240065247605723819417162805390035814213048743243801428908542140081097421519822132590047533
c2 = 12907231513900923422005862146378905589636791955213455533815625546155661275692081099543894853443339737652933422555561840945917851059973294781475696342510739464313686827430856742266071924616860913810640580296234473777303348248031669837803543965896443694327322478656672147536068477193332582821244877632320706358476947499828283809012293724747791713411303065091158644428874828519807586496004634361827049528190857803358038226873772036022804215684911051370929474550764142943510840488678370689581686370179457811111602201500802245275266633124851078915997894235280935026230159846619929979668248511374747926732890795947582868735
e3 = 8321945773137532897701269832287423438330975369722946793416731752574708023263908693097168458920645511451157398450278461406044452962800707032660103849647429968263806321843635237930345258217128805872313308435747131438472827261934005675575066641207582827978944766548998867180054428477087525524476746729443
c3 = 14065425026445215199826296511184881258323064633386950509660192854866326626040354040592178906620984652169865998063876885421774133239148395916412178848784041317916589243316140373118461629430419305769180856968279675982734449182890302977853892881391084830333333875116598959777525928574769839174695101654696531535920235825780434207646161363349309470260223615977113109458426965856166705879375711518022880712089324008258280991081209228374850515248942548172463741894540420262751207821783524890116559086561517224038086473047623408064157594299815732082781632190258405091440187576055868450259807171733509904666142689629066721239
y1,x1,x2=gcdext(e1,e2)
s,t1,x3=gcdext(y1,e3)
# sage中为xgcd
print(s)
m=pow(c1,x1*t1,n)*pow(c2,x2*t1,n)*pow(c3,x3,n)%n
print(bytes.fromhex(hex(m)[2:]))

xor

看到异或往往会想到mod2的矩阵方程，但这题恰好不需要。因为头部flag{这五个字节的信息联立第一组密文已经可以恢复pad数组，然后再用pad数组去依次解每组的$i_3->i_5->i_4->i_2->i_0->i_1$

start = 'flag{'
res = [[150, 194, 49, 195, 23, 79, 66], [194, 136, 63, 147, 3, 2, 81], [132, 221, 57, 144, 83, 83, 93], [208, 223, 37, 193, 28, 0, 70], [154, 203, 108, 156, 28, 78, 68], [159, 221, 62, 146, 86, 82, 88], [197, 141, 117, 192, 31, 90, 85]]
start_c = res[0]
pad0 = start_c[0] ^ ord(start[0]) ^ ord(start[1]) ^ ord(start[2])
pad1 = start_c[5] ^ ord(start[2]) ^ ord(start[4]) ^ pad0
pad4 = start_c[6] ^ ord(start[0]) ^ ord(start[2]) ^ ord(start[4])
pad2 = start_c[1] ^ ord(start[3]) ^ ord(start[4]) ^ pad1
pad3 = start_c[3] ^ ord(start[3]) ^ pad1 ^ pad4
i5 = start_c[4] ^  ord(start[4]) ^ pad0 ^ pad1
print(chr(i5))
pad5 = start_c[2] ^ i5 ^ pad1 ^ pad3
pad = [pad0,pad1,pad2,pad3,pad4,pad5]


def check(out):
    i = b'flag{9'
    tmp = []
    tmp.append(i[0] ^ i[1] ^ i[2] ^ pad[0])
    tmp.append(i[3] ^ i[4] ^ pad[1] ^ pad[2])
    tmp.append(pad[5] ^ i[5] ^ pad[1] ^ pad[3])
    tmp.append(i[3] ^ pad[3] ^ pad[4] ^ pad[1])
    tmp.append(i[5] ^ pad[0] ^ i[4] ^ pad[1])
    tmp.append(i[2] ^ i[4] ^ pad[0] ^ pad[1])
    tmp.append(i[2] ^ i[0] ^ i[4] ^ pad[4])
    if out == tmp:
        print('验证通过')

def decrypt(c):
    i3 = c[3] ^ pad1 ^ pad3 ^ pad4
    i4 = c[1] ^ i3 ^ pad1 ^ pad2
    i2 = c[5] ^ i4  ^ pad0 ^ pad1
    i0 = c[6] ^ i2 ^ i4 ^ pad4
    i1 = c[0] ^ i0 ^ i2 ^ pad0
    i5 = c[2] ^ pad1 ^ pad3 ^ pad5
    return chr(i0) + chr(i1) + chr(i2) + chr(i3) + chr(i4) + chr(i5)

if __name__ == '__main__':

    check(res[0])
    flag = ''
    for i in res:
        flag = flag + decrypt(i)
    print(flag)