crypto-rsarsa(江苏工匠杯 CTF)

又是一题pwn结合crypto，记录一下。听说是鹤城杯2021 babyrsa类似题目。
源码challenge.sage：

for _ in range(3):
    p = random_prime(2^1024)
    q = random_prime(2^1024)
    n = p*q
    p1=p>>724
    ct=n * inverse_mod(q % (2 ** 265), 2^265) % 2^265
    print('p1=',p1)
    print('ct=',ct)
    print("n=",n)
    e = 65537
    alarm(80)
    m = randint(2,n-1)
    c=pow(m,e,n)
    print('c=', c)
    print('---------------------------------------------')
    m1 = int(input("m="))
    print('---------------------------------------------')
    print()
    if m1!=m:
        print("Nope")
        exit()

print(open("flag.txt","r").read())

分析一下逻辑，一共三轮RSA加密，p,q 是1024bit随机素数， e=65537，给出 p1 是 p 的高300bit值，给出 n=p*q ，给出$ct=n\times q^{-1}\mathrm{mod}{2}^{265}$
另外还给出明文 m 经过RSA加密后的密文 c
需要解出明文后进入下一轮。

推导一下；
实际上$ct=n\times q^{-1}\mathrm{mod}{2}^{265}=p\mathrm{mod}{2}^{265}$也就是p的低265bit；已知p的高位和低位套coppersmith攻击脚本求解。

最终exp：

#sage
from pwn import *

context.log_level = "DEBUG"
conn = remote("223.112.5.156", 54864)

def solveit(p1,ct,n,c):
    mod=pow(2,265)
    pbar=(p1<<724)+ct
    PR.<x> = PolynomialRing(Zmod(n))
    for i in range(32):
        f=pbar+x*mod*32
        f=f.monic()
        pp=f.small_roots(X=2^454,beta=0.4)
        if(pp):
            break
        pbar+=mod
    assert pp
    p=pbar+pp[0]*32*mod
    q=n//Integer(p)
    e=65537
    phi=(p-1)*(q-1)
    d = inverse_mod(e, phi)
    m = pow(c, d, n)
    return m

for _ in range(3):
    conn.recvuntil(b'p1=')
    params = conn.recvuntil(b'm=')
    params=params.split(b'\n')
    p1=int(params[0][1:])
    ct=int(params[1][4:])
    n=int(params[2][3:])
    c=int(params[3][3:])
    #print(p1,ct,n,c)
    m=solveit(p1,ct,n,c)
    print(m)
    conn.sendline(str(m))

conn.recvall()