CTF Crypto题解简单RSA Wiener’s Attack 攻击 题目信息简单RSA已知N 7414571144918957894009130075076623468104787088880786848384304202195894442483334829319171712905975283178498354592957730348231637645803408251658776870887613e 5981029313933894258581971566428136415533632516605454590943812288528436693719803568404832909242493538766098852203771662822547849096234923807130087141104633c 2841604519518485432740943719011131647295050370262352921197542804113942147532827415802833252422134652832887894874295475005522089375327572415995370520766571. 解题思路 为什么选择 Wiener 攻击这是一道经典的 RSA 密码学 CTF 题。RSA 加密的安全性建立在「大整数分解难题」之上但在某些特定条件下存在快捷的侧信道攻击途径。选择 Wiener 攻击的理由e 值异常巨大观察到公钥指数e的数值与N几乎相当均为约 310 位十进制数这在标准 RSA 中是极不寻常的正常 RSA 的 e通常选取为 655372¹⁶1或 3、17 等小奇数作为公钥的一部分理应很小e 过大意味着 d 可能过小根据 RSA 的数学性质e × d ≡ 1 (mod φ(n))如果e非常大而φ(n)相对固定那么对应的私钥d就会很小 Wiener 攻击的核心条件Wiener’s Attack 适用于以下条件d (1/3) × N^(1/4)即私钥指数d相对于模数N足够小时攻击才能成功。换句话说当 d 小于 N 的四次方根的三分之一时连分数方法能够有效恢复私钥。2. 背景知识连分数什么是连分数任何一个有理数 e/N 都可以唯一表示为连分数形式e/N a₀ 1/(a₁ 1/(a₂ 1/(...)))其中 a₀, a₁, a₂, … 均为非负整数。例如 355/113 的连分数展开为[3; 7, 16]表示355/113 3 1/(7 1/16)连分数的收敛分数连分数的部分和构成一系列有理数逼近 e/N称为收敛分数Convergents记作hᵢ/kᵢ ≈ e/N关键发现这些收敛分数的分母 kᵢ 正好对应 RSA 私钥 d 的可能候选值。3. Wiener’s Attack 原理数学推导RSA 的基本等式e × d ≡ 1 (mod φ(n))即存在整数 k 使得e × d 1 k × φ(n)两边同时除以 d × φ(n)e/φ(n) - k/d 1/(d × φ(n))由于 k ≈ e×d/φ(n) ≈ e/d而 φ(n) ≈ n可得| e/n - k/d | 1/d²这意味着 k/d 是 e/n 的一个极佳有理逼近而 e/n 的所有最佳有理逼近恰好由其连分数展开的收敛分数给出。攻击流程计算 e/N 的连分数展开枚举所有收敛分数kᵢ/dᵢ其中 dᵢ 作为候选私钥验证条件检查 (e × dᵢ - 1) mod kᵢ 0恢复 φ(n)φ(n) (e × dᵢ - 1) / kᵢ分解 N利用 p q n - φ(n) 1 和 p × q n 解二次方程计算私钥 d由收敛分数直接获得4. 代码实现解析核心函数continued_fraction(x, y) — 连分数展开defcontinued_fraction(x,y):cf[]whiley:cf.append(x//y)# 记录整数部分x,yy,x%y# 辗转相除returncf通过辗转相除法提取 x/y 的连分数系数。convergents(cf) — 计算收敛分数defconvergents(cf):convs[]foriinrange(len(cf)):ifi0:h,kcf[0],1# h0/k0 a0/1elifi1:h,kcf[1]*cf[0]1,cf[1]# h1/k1 (a1*a01)/a1else:# 递推公式: hi ai*hi-1 hi-2, ki ai*ki-1 ki-2hcf[i]*convs[i-1][0]convs[i-2][0]kcf[i]*convs[i-1][1]convs[i-2][1]convs.append((h,k))returnconvs根据递推公式从连分数系数计算所有收敛分数。主攻击逻辑# 遍历所有收敛分数fork,dinconvs:# 检查 (e*d - 1) 是否能被 k 整除if(e*d-1)%k!0:continue# 计算 φ(n)phi(e*d-1)//k# 根据 pq 和 p*q 构造二次方程# x² - (pq)x pq 0bn-phi1# 这里 b p qdeltab*b-4*n# 判别式 Δ (pq)² - 4pq (p-q)²# 验证 Δ 是否为完全平方数sqrt_deltaisqrt(delta)ifsqrt_delta*sqrt_delta!delta:continue# 求根公式p(bsqrt_delta)//2q(b-sqrt_delta)//2# 验证 p, q 是否合法ifp0andq0andp*qn:returnp,q,d关键验证点(e × d - 1) mod k 0 确保 k 确实是公式中的那个 kΔ 必须为完全平方数因为 p 和 q 均为整数最终验证 p × q n 确保分解正确5. 解题结果✅ 攻击成功项目值私钥 d65537素数 p100450526476578029826767001337536289347807647561108913398620116543514585634083素数 q73813163603953908696863884310584185678105154396583546085637801292303843786911 注意这里 d 65537 2¹⁶1这正是 RSA 标准公钥指数说明本题中 e 虽然看起来很大但实际上 e × d ≈ N攻击成功找到了标准私钥。 解密得到明文明文十进制: 11859814988219572398902824910735964098597031196539320808215595041976292804539261转换后发现为十六进制编码的字符串。 Flagflag{0f3j003f03j0f3f030f3-f3f3f3}6. 完整解题代码frommathimportisqrtdefwiener_attack(e,n):Wieners attack: 针对 e 较大、d 较小的 RSA 进行攻击defcontinued_fraction(x,y):计算 x/y 的连分数展开cf[]whiley:cf.append(x//y)x,yy,x%yreturncfdefconvergents(cf):从连分数系数计算所有收敛分数convs[]foriinrange(len(cf)):ifi0:h,kcf[0],1elifi1:h,kcf[1]*cf[0]1,cf[1]else:hcf[i]*convs[i-1][0]convs[i-2][0]kcf[i]*convs[i-1][1]convs[i-2][1]convs.append((h,k))returnconvs# 展开 e/n 的连分数cfcontinued_fraction(e,n)convsconvergents(cf)# 枚举所有收敛分数尝试恢复私钥fork,dinconvs:ifk0:continueif(e*d-1)%k!0:continuephi(e*d-1)//k bn-phi1deltab*b-4*nifdelta0:continuesqrt_deltaisqrt(delta)ifsqrt_delta*sqrt_delta!delta:continuep(bsqrt_delta)//2q(b-sqrt_delta)//2ifp0andq0andp*qn:returnp,q,dreturnNone,None,None# RSA 参数N7414571144918957894009130075076623468104787088880786848384304202195894442483334829319171712905975283178498354592957730348231637645803408251658776870887613e5981029313933894258581971566428136415533632516605454590943812288528436693719803568404832909242493538766098852203771662822547849096234923807130087141104633c284160451951848543274094371901113164729505037026235292119754280411394214753282741580283325242213465283288789487429547500552208937532757241599537052076657# 执行攻击p,q,dwiener_attack(e,N)ifdisnotNone:print(fd {d})print(fp {p})print(fq {q})# 解密mpow(c,d,N)m_hexhex(m)[2:]iflen(m_hex)%2!0:m_hex0m_hex flagbytes.fromhex(m_hex).decode(utf-8)print(fFlag:{flag})else:print(Wieners attack 失败)7. 经验总结 学到的知识点RSA 中 e 过大的危险性虽然 e 通常选择为 65537但如果实现不当或为了特殊用途而选择过大的 e会导致 Wiener 攻击可行连分数在密码学中的应用连分数展开能够高效地找到有理数的最佳有理逼近Wiener 攻击的局限性要求 d (1/3) × N^(1/4)当 d 较大时攻击会失败️ 防御建议始终使用标准的公钥指数如 65537确保私钥 d 足够大使用足够的密钥长度至少 2048 bits CTF 常用工具工具用途Python gmpy2高精度计算RsaCtfTool全自动 RSA 攻击工具factordb.com在线大整数分解
CTF_RSA_Wiener攻击_Writeup
发布时间:2026/6/22 13:03:09
CTF Crypto题解简单RSA Wiener’s Attack 攻击 题目信息简单RSA已知N 7414571144918957894009130075076623468104787088880786848384304202195894442483334829319171712905975283178498354592957730348231637645803408251658776870887613e 5981029313933894258581971566428136415533632516605454590943812288528436693719803568404832909242493538766098852203771662822547849096234923807130087141104633c 2841604519518485432740943719011131647295050370262352921197542804113942147532827415802833252422134652832887894874295475005522089375327572415995370520766571. 解题思路 为什么选择 Wiener 攻击这是一道经典的 RSA 密码学 CTF 题。RSA 加密的安全性建立在「大整数分解难题」之上但在某些特定条件下存在快捷的侧信道攻击途径。选择 Wiener 攻击的理由e 值异常巨大观察到公钥指数e的数值与N几乎相当均为约 310 位十进制数这在标准 RSA 中是极不寻常的正常 RSA 的 e通常选取为 655372¹⁶1或 3、17 等小奇数作为公钥的一部分理应很小e 过大意味着 d 可能过小根据 RSA 的数学性质e × d ≡ 1 (mod φ(n))如果e非常大而φ(n)相对固定那么对应的私钥d就会很小 Wiener 攻击的核心条件Wiener’s Attack 适用于以下条件d (1/3) × N^(1/4)即私钥指数d相对于模数N足够小时攻击才能成功。换句话说当 d 小于 N 的四次方根的三分之一时连分数方法能够有效恢复私钥。2. 背景知识连分数什么是连分数任何一个有理数 e/N 都可以唯一表示为连分数形式e/N a₀ 1/(a₁ 1/(a₂ 1/(...)))其中 a₀, a₁, a₂, … 均为非负整数。例如 355/113 的连分数展开为[3; 7, 16]表示355/113 3 1/(7 1/16)连分数的收敛分数连分数的部分和构成一系列有理数逼近 e/N称为收敛分数Convergents记作hᵢ/kᵢ ≈ e/N关键发现这些收敛分数的分母 kᵢ 正好对应 RSA 私钥 d 的可能候选值。3. Wiener’s Attack 原理数学推导RSA 的基本等式e × d ≡ 1 (mod φ(n))即存在整数 k 使得e × d 1 k × φ(n)两边同时除以 d × φ(n)e/φ(n) - k/d 1/(d × φ(n))由于 k ≈ e×d/φ(n) ≈ e/d而 φ(n) ≈ n可得| e/n - k/d | 1/d²这意味着 k/d 是 e/n 的一个极佳有理逼近而 e/n 的所有最佳有理逼近恰好由其连分数展开的收敛分数给出。攻击流程计算 e/N 的连分数展开枚举所有收敛分数kᵢ/dᵢ其中 dᵢ 作为候选私钥验证条件检查 (e × dᵢ - 1) mod kᵢ 0恢复 φ(n)φ(n) (e × dᵢ - 1) / kᵢ分解 N利用 p q n - φ(n) 1 和 p × q n 解二次方程计算私钥 d由收敛分数直接获得4. 代码实现解析核心函数continued_fraction(x, y) — 连分数展开defcontinued_fraction(x,y):cf[]whiley:cf.append(x//y)# 记录整数部分x,yy,x%y# 辗转相除returncf通过辗转相除法提取 x/y 的连分数系数。convergents(cf) — 计算收敛分数defconvergents(cf):convs[]foriinrange(len(cf)):ifi0:h,kcf[0],1# h0/k0 a0/1elifi1:h,kcf[1]*cf[0]1,cf[1]# h1/k1 (a1*a01)/a1else:# 递推公式: hi ai*hi-1 hi-2, ki ai*ki-1 ki-2hcf[i]*convs[i-1][0]convs[i-2][0]kcf[i]*convs[i-1][1]convs[i-2][1]convs.append((h,k))returnconvs根据递推公式从连分数系数计算所有收敛分数。主攻击逻辑# 遍历所有收敛分数fork,dinconvs:# 检查 (e*d - 1) 是否能被 k 整除if(e*d-1)%k!0:continue# 计算 φ(n)phi(e*d-1)//k# 根据 pq 和 p*q 构造二次方程# x² - (pq)x pq 0bn-phi1# 这里 b p qdeltab*b-4*n# 判别式 Δ (pq)² - 4pq (p-q)²# 验证 Δ 是否为完全平方数sqrt_deltaisqrt(delta)ifsqrt_delta*sqrt_delta!delta:continue# 求根公式p(bsqrt_delta)//2q(b-sqrt_delta)//2# 验证 p, q 是否合法ifp0andq0andp*qn:returnp,q,d关键验证点(e × d - 1) mod k 0 确保 k 确实是公式中的那个 kΔ 必须为完全平方数因为 p 和 q 均为整数最终验证 p × q n 确保分解正确5. 解题结果✅ 攻击成功项目值私钥 d65537素数 p100450526476578029826767001337536289347807647561108913398620116543514585634083素数 q73813163603953908696863884310584185678105154396583546085637801292303843786911 注意这里 d 65537 2¹⁶1这正是 RSA 标准公钥指数说明本题中 e 虽然看起来很大但实际上 e × d ≈ N攻击成功找到了标准私钥。 解密得到明文明文十进制: 11859814988219572398902824910735964098597031196539320808215595041976292804539261转换后发现为十六进制编码的字符串。 Flagflag{0f3j003f03j0f3f030f3-f3f3f3}6. 完整解题代码frommathimportisqrtdefwiener_attack(e,n):Wieners attack: 针对 e 较大、d 较小的 RSA 进行攻击defcontinued_fraction(x,y):计算 x/y 的连分数展开cf[]whiley:cf.append(x//y)x,yy,x%yreturncfdefconvergents(cf):从连分数系数计算所有收敛分数convs[]foriinrange(len(cf)):ifi0:h,kcf[0],1elifi1:h,kcf[1]*cf[0]1,cf[1]else:hcf[i]*convs[i-1][0]convs[i-2][0]kcf[i]*convs[i-1][1]convs[i-2][1]convs.append((h,k))returnconvs# 展开 e/n 的连分数cfcontinued_fraction(e,n)convsconvergents(cf)# 枚举所有收敛分数尝试恢复私钥fork,dinconvs:ifk0:continueif(e*d-1)%k!0:continuephi(e*d-1)//k bn-phi1deltab*b-4*nifdelta0:continuesqrt_deltaisqrt(delta)ifsqrt_delta*sqrt_delta!delta:continuep(bsqrt_delta)//2q(b-sqrt_delta)//2ifp0andq0andp*qn:returnp,q,dreturnNone,None,None# RSA 参数N7414571144918957894009130075076623468104787088880786848384304202195894442483334829319171712905975283178498354592957730348231637645803408251658776870887613e5981029313933894258581971566428136415533632516605454590943812288528436693719803568404832909242493538766098852203771662822547849096234923807130087141104633c284160451951848543274094371901113164729505037026235292119754280411394214753282741580283325242213465283288789487429547500552208937532757241599537052076657# 执行攻击p,q,dwiener_attack(e,N)ifdisnotNone:print(fd {d})print(fp {p})print(fq {q})# 解密mpow(c,d,N)m_hexhex(m)[2:]iflen(m_hex)%2!0:m_hex0m_hex flagbytes.fromhex(m_hex).decode(utf-8)print(fFlag:{flag})else:print(Wieners attack 失败)7. 经验总结 学到的知识点RSA 中 e 过大的危险性虽然 e 通常选择为 65537但如果实现不当或为了特殊用途而选择过大的 e会导致 Wiener 攻击可行连分数在密码学中的应用连分数展开能够高效地找到有理数的最佳有理逼近Wiener 攻击的局限性要求 d (1/3) × N^(1/4)当 d 较大时攻击会失败️ 防御建议始终使用标准的公钥指数如 65537确保私钥 d 足够大使用足够的密钥长度至少 2048 bits CTF 常用工具工具用途Python gmpy2高精度计算RsaCtfTool全自动 RSA 攻击工具factordb.com在线大整数分解
相关文章
5个颠覆级技巧:League-Toolkit如何用智能辅助重塑英雄联盟游戏体验
5个颠覆级技巧:League-Toolkit如何用智能辅助重塑英雄联盟游戏体验 【免费下载链接】League-Toolkit 兴趣使然的、简单易用的英雄联盟工具集。支持战绩查询、自动秒选等功能。基于 LCU API。 项目地址: https://gitcode.com/gh_mirrors/le/League-Toolkit 在…
Zotero翻译插件深度开发指南:构建个性化学术翻译工作流
Zotero翻译插件深度开发指南:构建个性化学术翻译工作流 【免费下载链接】zotero-pdf-translate 支持将PDF、EPub、网页内容、元数据、注释和笔记翻译为目标语言,并且兼容20多种翻译服务。 项目地址: https://gitcode.com/gh_mirrors/zo/zotero-pdf-tra…
IPSec和GRE混搭的3种姿势:从基础配置到高级路由应用
IPSec与GRE混合组网实战:从基础架构到企业级路由优化 当企业分支机构需要安全互联时,单纯依赖IPSec或GRE往往难以满足复杂场景需求。IPSec提供加密但缺乏路由灵活性,GRE支持多协议却存在安全隐患。本文将深入探讨三种混合部署方案,…
OpenBoxes数据迁移策略:从Excel到专业库存管理系统的平滑过渡终极指南
OpenBoxes数据迁移策略:从Excel到专业库存管理系统的平滑过渡终极指南 【免费下载链接】openboxes OpenBoxes is a supply chain management system designed to manage inventory and track stock movements for healthcare facilities. 项目地址: https://gitco…
告别繁琐配置!用rime-auto-deploy一键部署20款Rime输入法皮肤
告别繁琐配置!用rime-auto-deploy一键部署20款Rime输入法皮肤 【免费下载链接】rime-auto-deploy Rime输入法安装脚本,让一切更轻松。Make using Rime easy. 项目地址: https://gitcode.com/gh_mirrors/ri/rime-auto-deploy 你是否曾经为Rime输入…
LangChain+DeepSeek实现华为交换机自然语言运维
1. 项目概述:让运维指令“开口说话”,用自然语言直连华为交换机你有没有过这样的时刻:深夜收到告警,说某台华为S5735交换机的端口流量突增,需要立刻查VLAN配置、看STP状态、确认端口是否被误shutdown——但你手边只有手…
利用python传统网络爬虫包爬取Ajax网站数据
此文章仅供合法用途,请勿违反法律! 据一些网络调查显示,大约40%的爬虫任务属于Ajax网站。所谓Ajax网站,就是内容动态生成的网站,Ajax网站的最大特征就是翻页时url没有变化,因此如果用selenium的get方法是无…
OpenClaw:Windows本地AI Agent运行时与Skill编排系统
1. OpenClaw不是“另一个LLM前端”,而是AI Agent的OS级调度中枢你可能已经试过Dify、Ollama、Claude Code这些热门工具,也搭过本地大模型服务,但总感觉缺了点什么——模型能跑,提示词能写,可一旦要让AI自动完成“查天气…
振动信号混合谱时融合:从特征工程到模型部署的性能分析与实战
1. 项目缘起:当振动信号遇上混合谱时融合最近在做一个工业设备的状态监测项目,客户给了一堆从传感器上采集来的振动信号数据,要求我们不仅能判断设备“有没有坏”,还得能预测“大概什么时候会坏”,甚至最好能定位“哪个…
AI谈判中透明度与人格特质如何影响人机信任与合作
1. 项目概述:当AI成为谈判桌上的“新同事”最近几年,AI从后台的“计算器”逐渐走向前台,开始扮演“协作者”甚至“谈判者”的角色。无论是电商平台的智能议价客服,还是企业内部用于采购、资源分配的自动化谈判代理,人机…
跨平台Java开发:构建无处不在的应用
在当今数字化时代,应用的跨平台能力已成为企业竞争的关键因素。无论是移动设备、桌面系统还是嵌入式设备,用户都期望能够无缝访问他们喜爱的应用。Java,作为一种成熟且强大的编程语言,凭借其“一次编写,到处运行”的核…
解锁学术高效写法!paperxie智能写作,搞定毕业论文全程难题
paperxie-免费查重复率aigc检测/开题报告/毕业论文/智能排版/文献综述/课程论文毕业论文 - PaperXie智能写作PaperXieAi论文智能生成软件,10分钟生成万字毕业论文、期刊论文、文献综述、PPT,Aigc查重、降重报告、文献资料。只需一个标题,从开…
Google AI Studio 300美元额度的真相与实战指南
1. 这300美金不是“送钱”,而是Google埋下的第一道技术门槛 你看到标题里那个醒目的“$300美金”时,第一反应可能是:又一个免费额度?领完就完事?我亲手试过——这300美金根本不是红包,而是一张入场券&…
PDF对比终极指南:用diff-pdf轻松识别文档差异的完整教程
PDF对比终极指南:用diff-pdf轻松识别文档差异的完整教程 【免费下载链接】diff-pdf A simple tool for visually comparing two PDF files 项目地址: https://gitcode.com/gh_mirrors/di/diff-pdf 还在为PDF文档的版本对比而烦恼吗?diff-pdf这款开…
嵌入式GUI控件实战:ROTARY、SCROLLBAR、SLIDER原理与应用
1. 嵌入式GUI控件:从原理到实战的深度解析在嵌入式系统开发中,图形用户界面(GUI)的设计与实现往往是项目从“能用”到“好用”的关键一跃。不同于资源充沛的PC或移动平台,嵌入式设备的GUI需要在有限的CPU性能、内存空间…
Zotero Duplicates Merger:5步彻底清理文献库重复条目
Zotero Duplicates Merger:5步彻底清理文献库重复条目 【免费下载链接】ZoteroDuplicatesMerger A zotero plugin to automatically merge duplicate items 项目地址: https://gitcode.com/gh_mirrors/zo/ZoteroDuplicatesMerger 还在为文献库中堆积如山的重…
利用随机有限集理论对蜂群的ILQR和MPC控制研究附Matlab代码
✅作者简介:热爱科研的Matlab仿真开发者,擅长数据处理、建模仿真、程序设计、完整代码获取、论文复现及科研仿真。🍎 往期回顾关注个人主页:Matlab科研工作室🍊个人信条:格物致知,完整Matlab代码及仿真咨询…
为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因
更多请点击: https://intelliparadigm.com 第一章:为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因 Gemini邮件的客户转化效率(CTE)显著偏低,根本原因常被误判为…