Друзья, публикуем для вас два райтапа с Tinkoff CTF 2024 от ТОП-10 на Codeby Games!

"Элементарно, Ватсон!" от @Max_RSC

Я выделяю два основных способа решить "Ватсона": посредством программирования и классическим методом с помощью двух цилиндров и ленты из бумаги. К сожалению, и тот, и другой способы достаточно продолжительные по времени. Поскольку речь идет о соревнованиях, мы не можем себе позволить тратить время там, где его тратить вовсе не обязательно. Я опишу третий способ: быстрое решение с помощью онлайн-сервиса.

Вам наверняка известно, что шифр, который дан – это модифицированный вариант скиталы, она же сцитала, она же шифр Древней Спарты, достаточно эффективный для своего времени шифр. Насколько мне известно, первым работу скиталы описал Плутарх. Разумеется, изобретателем этого шифра философ не является.

В отличие от оригинальной скиталы в "ватсоновском" варианте используется два шифровальных цилиндра вместо одного, а также добавлена пара других усложнений. Однако схема решения остается прежней: нужно найти ключ. В оригинальной скитале ключом выступают длина и диаметр цилиндра. В данном случае ключ – это количеств букв на виток.

Мы воспользуемся замечательным сеpвиcом dCode. В поиске находим Scytale Cipher, вставляем шифртекст в соответствующее поле, просим сохранить пунктуацию (Keep punctuation and spaces), выбираем опцию Try all possible sizes, другими словами запускаем брутфорс-атаку и... видим, что у нас ничего не вышло: все еще нечитаемый текст. Почему так? Потому что мы не указали ключ – количество букв на виток, за это отвечает опция Number of letters per turn of band.

Я предвижу вопрос: "Максим, но как узнать длину ключа?". Есть много способов, я назову самый очевидный: перебор всех возможных вариантов – всех возможных длин. Перебор займет не больше пяти минут, потому что длина ключа – 32 буквы на виток. Результат можно наблюдать на скриншоте.

Хочу отметить, что в картотекe, которую мы расшифровали, будет присутствовать не один флаг, а несколько. Правильный флаг начинается с "tctf{Cr1...". Строки разбиты, но продолжение флага долго искать не придется.

"Глухой видеофон" от @Max_RSC

Открываем hex-редактор, изучаем картинку. Отсутствие маркера FF D9 в конце файла позволяет нам понять, что в картинке может быть спрятан другой файл.

Продолжаем изучение, например с помощью утилиты strings. Hаходим сигнатуру "....ftypisom" – это однозначно говорит о том, что в картинке спрятан файл формата mp4. Нам осталось лишь извлечь этот файл из картинки. Для этого я написал скрипт на Питоне: в цикле for последовательно перебираются байты картинки до тех пор, пока не найдется сигнатура 0000001с6674797069736f ("....ftypisom" в hex-нотации), сразу после этого все в том же цикле создается файл result.mp4, куда записываются байты, начиная с сигнатуры. Здесь важно убедиться, что скрипт корректно обрабатывает байты и не пропускает важные данные. Последним шагом в скрипте выполняется операция from hex.

Теперь запускаем result.mp4 как видеоролик любым просмотрщиком – в видеоролике и будет находиться флаг.

#crypto #stegano #TinkoffCTF2024

#crypto
Алиса не знает алгебру

Автор: @Max_RSC (ТОП-10 на платформе Codeby Games)

Ссылка на задание 🚩

Прежде всего отмечу два важных момента:

1. Если вы не математик, для решения таска вам потребуется уверенный навык программирования на языке Python. Надеюсь, это понятно.

2. В процессе решения таска ни в коем случае не разрывайте соединение с сервером, иначе работу придется начинать по новой.

Подключаемся к серверу:

nc 62.173.140.174 11002

Мы получили значения N, e_1 и e_2. Скопируем их куда-нибудь — еще пригодятся.

В подавляющем большинстве случаев в тасках, где фигурирует RSA, мы имеем дело с реализацией одноименного алгоритма, имеющей ту или иную уязвимость. В данном случае уязвимость заключается в том, что используются две экспоненты e_1 и e_2 вместо одной e, как должно быть в RSA. Подобное "нововведение" сразу наводит на мысль о Common Modulus Attack.

Внимательно изучив скрипт, который нам предоставили организаторы, мы сможем понять логику работу сервера: одно и то же сообщение шифруется с использованием сначала одной экспоненты e_1 и модуля N, затем с использованием другой экспоненты e_2 и модуля N. На выходе получается не один шифртекст c как должно быть, а два разных шифртекста c1 и c2. Это серьезная уязвимость и в CTF мы еще не раз встретим подобные таски.

Возвращаемся к серверу. Про действия [1] и [2] в принципе можно забыть, так как для решения таска они не понадобятся. Выбираем действие [4]. Сервер отдает нам два шифртекста, каждый из которых представляет собой сообщение, зашифрованное с использованием одного и того же модуля, но разных экспонент. Думаю, вы уже сообразили, что эти шифртексты уязвимы для Common Modulus Attack. Давайте договоримся, что в данном случае первый шифртекст — это c1, a второй — это c2. Однако шифртексты нам даны в hex-формате. Значит, прежде чем мы сможем с ними работать, нужно перевести эти два шифртекста из hex-формата в base10. Сделаем это с помощью Питона:

c1_hex = '43e2b4c84aff770b7388499cc2af2535655de75aa333b5e97fbe1f45b626c9d5b09901a5863ff2da652018058a9e87110b721c40593ac4d36ccdf1b3933d5dd2'
c1 = int(c1_hex, 16)
c2_hex = '55e70b7b592aa36ec9a7d61e4bd7930d590447cc1a243f2aeba2ff132e42bd8dcc1a4fdfef8659ed5f9aa96724290f2cdc80a6e353849b3d51c1524b071cea34'
c2 = int(c2_hex, 16)

Теперь воспользуемся скриптом, который любезно расшифрует для нас ключ:

from libnum import *

def common_modulus(e1, e2, c1, c2, N):
    a, b, d = xgcd(e1,e2)
    if b < 0:
        c2 = invmod(c2, N)
        b = -b
    if a < 0:
        c1 = invmod(c1, N)
        a = -a
    m = (pow(c1,a,N) * pow(c2,b,N)) % N
    return [m, a, b, d]

def pad(m, d, i, N):
    if -d*4*i < 0:
        f = pow(invmod(2, N), d*4*i, N)
    else:
        f = pow(2, -d*4*i, N)
    return m * f % N 

N = # сюда пишем нашу N
e_1 = # сюда пишем нашу e_1
c1 = # сюда пишем нашу c1
e_2 = # сюда пишем нашу e_2
c2 = # сюда нашу c2

m, _, _, _ = common_modulus(e_1,e_2,c1,c2,N) plaintext = n2s(m) 
print(plaintext.decode())

Если на вашей машине нет библиотеки libnum, то для начала придется ее установить:

pip install libnum

Выполнив скрипт, мы получим расшифрованный ключ, который, разумеется, я вам не покажу, чтобы вы не жульничали, а сделали хоть что-нибудь самостоятельно и следовательно, научились чему-нибудь новому.

Возвращаемся к серверу и на этот раз выбираем действие [3]. Вводим расшифрованный ключ, после чего сервер отдаст нам флаг.

#codebygames

#crypto
Нулевой шифр
От @Max_RSC (ТОП-10 на платформе Codeby Games)

Ссылка на задание

Для решения таска потребуется уверенный навык программирования на Python. Надеюсь, это понятно.

Сначала заглянем в request.txt. В GET-запросе видим параметр FLAG со значением в виде строки, обернутой в base64:

FLAG=lUmU56gHyTe0DabyGJIZEI9mGyx/4NG1tX8yhml1KmQWEdfQ3TNNkU3z1w==

Скопируем эту строку куда-нибудь — еще пригодится. Про файл request.txt можно забыть, больше он не понадобится.

Идем в sourceCode.txt.

cipher = Cipher(algorithms.ARC4(hashed_key), mode=None, backend=default_backend())

Эта строка сообщает нам о том, что используется алгоритм шифрования RC4, он же ARC4, он же Rivest Cipher 4. По сегодняшним меркам этот алгоритм шифрования считается устаревшим и больше не является криптографически безопасным.

FLAG = '******{***********************************}'.encode()
key = FLAG[:6]

Эти строки сообщают нам о том, что ключ — это первые шесть символов флага. Другими словами, CODEBY.

hashed_key = hashlib.sha256(key).digest()[:16]

Эта строка сообщает нам о том, что ключ хешируется, но для шифрования используются лишь первые 16 байт ключа. Мы получили всю необходимую информацию и теперь можем с легкостью расшифровать флаг. Кстати, не рекомендую делать это посредством онлайн-декодера — скорее всего, у вас ничего не получится, да и необходимости в этом нет. Все что нужно сделать — это лишь немного переписать код. Приступаем:

key = b'CODEBY'
FLAG= base64.b64decode('lUmU56gHyTe0DabyGJIZEI9mGyx/4NG1tX8yhml1KmQWEdfQ3TNNkU3z1w==')

Третью, четвертую и пятую строки можно скопировать из функции без изменений.

Прилагаю скрипт целиком с моими комментариями:

# Подключаем нужные библиотеки (или устанавливаем, если их нет)
from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes
from cryptography.hazmat.backends import default_backend
import base64
import hashlib

# Декодируем флаг из base64
FLAG= base64.b64decode('lUmU56gHyTe0DabyGJIZEI9mGyx/4NG1tX8yhml1KmQWEdfQ3TNNkU3z1w==')
# Обратите внимание, что ключ — это байтовая строка
key = b'CODEBY'
# Хешируем ключ, но используем лишь его первые 16 байт
hashed_key = hashlib.sha256(key).digest()[:16]
# Указываем, что хотим использовать алгоритм шифрования ARC4
cipher = Cipher(algorithms.ARC4(hashed_key), mode=None, backend=default_backend())
encryptor = cipher.encryptor()
# Передаем флаг на вход функции, которая производит расшифровку
ct = encryptor.update(FLAG) + encryptor.finalize()
# Печатаем флаг
print(ct)

Выполняем скрипт и получаем флаг.

Рекомендую не бездумно копировать скрипт, а подумать над прочитанным и написать скрипт самостоятельно. Помните, что цель решения таска — это не получить флаг и чуть-чуть подняться в рейтинге, а научиться чему-нибудь новому.

#codebygames

#crypto
Веселый RSA
От @Max_RSC (ТОП-10 на платформе Codeby Games)

Ссылка на задание

Даны три шифртекста, которые представляют собой одно и то же сообщение. Подсказка намекает, что Боб плохо разбирается в RSA, поэтому при шифровании допустил серьезную ошибку. Действительно, мы видим, что вместо стандартной экспоненты e = 65537 он использовал значения 5, 7 и 13, a модули n1, n2 и n3 настолько малы, что с легкостью раскладываются на множители. Это можно назвать критической уязвимостью.

Если мы возьмем первое по счету сообщение и попробуем вычислить приватную экспоненту d, то поймем, что это невозможно:

>>> d = pow(e, -1, phi)
Traceback (most recent call last): File "<stdin>", line 1, in <module> ValueError: base is not invertible for the given modulus 

На простом языке это означает, что в процессе шифрования пользователь допустил фатальную ошибку.

Возьмем второе по счету сообщение и попробуем найти приватную экспоненту d – то же самое:

>>> d = pow(e, -1, phi)
Traceback (most recent call last): File "<stdin>", line 1, in <module> ValueError: base is not invertible for the given modulus 

Возьмем третье по счету сообщение. Похоже, что это сообщение было зашифровано правильно, а значит, можно вычислить d:

>>> d = pow(e, -1, phi)
>>> d
# 288613

После нахождения d мы с легкостью расшифровываем шифртекст:

>>> message = pow(c, d, n) 

Мы получили трехзначное число, которое, разумеется, я вам не покажу, чтобы вы не жульничали, а решили таск самостоятельно и следовательно, научились чему-нибудь новому.

Считаем от этого числа хеш-сумму по алгоритму SHA256:

>>> from hashlib import sha256
>>> result = sha256(str(message).encode()).hexdigest()

Получившуюся строку обoрачиваем в CODEBY и сдаем флаг.

#codebygames

#crypto

HackOSINT
Бонусный трек

Билибизяка от @Max_RSC
Ссылка на задание

Сомневаюсь, что у кого-нибудь возникли трудности с первым этапом — это простейшее декодирование из binary. Инструмент Кибершеф, который для решения этого таска рекомендовали сами организаторы, автоматически определяет данную кодировку и любезно предлагает декодировать текст. Насколько я знаю, у большинства возникли трудности именно со вторым этапом.

Итак, после преобразования из binary мы получили непонятные 24 числа. Здесь надо применить рецепт From Float. Обратимся к документации Кибершефа и узнаем, какое преобразование производит этот рецепт:

Convert from IEEE754 Floating Point Numbers

IEEE754 — это стандарт, описывающий формат представления чисел с плавающей точкой. Используется, например, в компиляторах различных языков программирования.

Применяем рецепт From Float. Результат, который мы получили, не очень воодушевляет, но мы видим, что Кибершеф сразу подсказывает нам следующее преобразование: надо применить рецепт Gunzip. Делаем это и получаем строку в hex-нотации, которую Кибершеф снова предлагает нам декодировать, поначалу применив рецепт From Hex, а затем Url Decode. Так мы приходим к финальной строке, которая представляет собой стимовский урл:

иди решай задачу, не жульничай!

Идем по ссылке и находим флаг в имени юзера.

Кстати, кому-нибудь интересно, как выполнить преобразование From Float средствами Python? Если интересно, напишите об этом в комментариях — расскажу.

#HackOSINT2024

#crypto
Тык-тык от @Max_RSC

Кратко: решетка Кардано. Зная формат флага (первые шесть символов ключа), можно расшифровать флаг без знания ключа.

Посмотрим на таблицу замен:

6 > $     
7 > {
8 > _
9 > }

Выполняем преобразование в соответствии с таблицей замен:

RB_01BWWD{NH_}U4_T$T14{__04W_0G04}WW

Обратимся к подсказке: "Что-то с дырками и крутится". Сразу приходит на ум решетка Кардано.

Немного истории. Решетка Кардано — исторически первая известная шифровальная решетка. Этот метод шифрования был изобретен в XVI веке итальянским математиком и инженером Джероламо Кардано. Кстати, именно он впервые описал карданный вал, названный в его честь.

Метод шифрования, который предложил Джероламо Кардано, можно отнести к классу перестановочных шифров. Задачки, в которых фигурирует решетка Кардано, мы еще не раз встретим на различных CTF.

Для решения таска воспользуемся сервисом:

https://merri.cx/enigmator/cipher/grille.html

Указываем формат решетки (Grille Size). Поскольку длина шифртекста составляет 36 символов, нетрудно догадаться, что формат решетки — 6x6.

Вводим шифртекст в строку Cipher Text. Вводим ключ в строку Grille. Напомню, мы знаем первые шесть символов ключа — B0NU${. Нажимаем Decrypt.

# здесь должна быть картинка, прикрепленная к посту

Флаг пока нечитаем. Неудивительно, ведь мы указали всего 6 символов ключа. Какова длина ключа? Очевидно, что это число, на которое 36 делится без остатка – 9 и нам осталось подобрать 3 символа.

На четвертой строке сразу после символа '{' идет символ '_', при этом два раза подряд, но флаг не может начинаться с символа '_', поэтому исключаем первые две клетки. На шестой строке расположился символ '}' — исключаем эту клетку, потому что именно фигурной скобкой заканчивается флаг.

Осталось 9 символов, из которых нужно выбрать 3. Попробуем составить осмысленные слова из символов, которые нам доступны. Единственное, что приходит в голову — это W0W. В CTF с этого междометия нередко начинаются флаги. Сделаем предположение, что первое слово флага — это W0W. W0W можно составить всего двумя способами, один из которых сразу отобразит флаг.

#HackOSINT2024

Всем привет! ✨

После очередного спасения от зашифровки всего интернета, легенда нашего с вами канала @Max_RSC вернулся, чтобы нести в мир знания криптографии!

#crypto #kubanctf2024
Четырехслойный шифр

Основная идея в том, что по принципу квадрата Полибия мы можем представить английский алфавит с символoм подчеркивания _ и цифрами от 1 до 9 в виде четырех групп по девять символов в каждой. Это будет иметь следующий вид:

A    B    C
D    E    F
G    H    I

J     K     L
M    N    O
P     Q    R

S    T     U
V    W    X
Y    Z      _

1    2    3
4    5    6
7    8    9

Еще раз посмотрим на наш шифртекст:

123 223 313 233 333 213 421 331 122 233 311 333 223 222 122 333 113 133 231 132 413 233

Предположим, что каждая тройка указывает на местоположение символа флага в виде трех координат: номер группы, номер строки и номер столбца.

Теперь применим эту гипотезу к нашему шифртексту. Получается:

123 – это первая группа (123), вторая строка (123) и третий столбец (123). Следовательно, это символ F.

223 – это вторая (223) группа, вторая строка (223) и третий столбец (223). Следовательно, это символ О.

313 – это третья группа (313), первая строка (313) и третий столбец (313). Следовательно, это символ U.

233 – это вторая (223) группа, третья строка (223) и третий столбец (223). Следовательно, это символ R.

Мы понимаем, что у нас получилось осмысленное слово – FOUR. Значит, мы на верном пути!

#crypto #stegano
White Dot

Всем привет! Сегодня мы предлагаем вам интересный таск от @Rean1mat0r

#crypto #codebygames #writeup

Pайтап по таску Sophie German c Codeby Games от @Max_RSC (ТОП-10 на платформе) 🚩

В описании намекается, что криптограф допустил какую-то серьезную ошибку. Ошибка, о которой идет речь, заключается в том, что он забыл проверить наличие значения n в публичной базе FactorDB. Это означает, что факторы (p и q), произведение которых дало n, уже известны, поэтому решение становится простейшим:

1. Идем на caйт https://dcode.fr/rsa-cipher и вводим значения n, c, e в соответствующие поля.

2. Нажимаем кнопку "CALCULATE/DECRYPT".

После выполнения этих шагов мы получим флаг.

Рубрика #делимсятасками

Одним холодным московским вечером, когда я сидел у камина и размышлял о жизни, @Max_RSC прислал мне таск, с которым у него возникли трудности. Он присылал этот таск многим уровневым ребятам в русскоязычном комьюнити, но никто из них не смог найти решение, ребята только разводили руками и утверждали, что это абсолютная уцуцуга. Это достаточно старый таск, который был размещен на платформе Boxentriq. Когда-то это был интересный ресурс, где предлагались нешаблонные задачки в области криптографии, которых так не хватает современным CTF. Сейчас, насколько можно судить, платформа не развивается, но задачки все еще доступны для решения. Одной из таких задачек мы решили поделиться с вами.

#crypto
Freakquency

Описание: отсутствовало изначально.

Хинт: Хинтов нет, но вы держитесь!

Присылайте решение @Max_RSC

#googlectf #writeup #crypto
Redacted RSA 1 от @Max_RSC

Всем привет! Я планирую написать серию разборов задач по криптографии от Google CTF. Вкратце, суть заключается в том, что в каждой последующей задачке приватный ключ становится все более поврежденным. В Redacted RSA 1 нам предоставляется значение d, тогда как в Redacted RSA 2 извлечь d становится невозможно из-за сильного повреждения ключа. Тем не менее, значение d все еще можно рассчитать. Но давайте вернемся к первой, самой простой задачке этой серии.

В первом случае у нас есть часть приватного ключа, которая содержит не только значения открытого ключа (n и e), но и значение приватной экспоненты (d), то есть все необходимые данные для расшифровки. Основная сложность, с которой сталкиваются новички, заключается в том, что они не знают, как извлечь эти значения. Простым и доступным способом решения этой проблемы является использование онлайн-сервиса, такого как:

https://lapo.it/asn1js

Однако, чтобы ключ был правильно прочитан этим сервисом, необходимо выполнить несколько шагов. Во-первых, откройте приватный ключ в любом текстовом редакторе и замените все звездочки (*) на символы, допустимые в base64 (например, на «A»). После этого файл можно загрузить на сервис, который корректно интерпретирует данные. Если при попытке загрузить ключ на сервис возникла ошибка с сообщением наподобие "Error: Content size is not correct for container at offset 6", это означает, что вы что-то сделали не так.

В результате, загрузив наш поврежденный приватный ключ на сервис, мы увидели, что он все еще достаточно целостен, чтобы расшифровать шифртекст: значения n и d сохранились в полном объеме!

Я сделаю небольшое пояснение для новичков о значениях, которые мы рассматриваем:

• modulus (n) – это модуль. Обычно в задачах на RSA значение n предоставляется. В данном случае n представляет собой длинную строку, начинающуюся с 641646.

• publicExponent (e) – это публичная экспонента. В большинстве случаев она равна 65537, что является стандартом. Пара значений n и e в их совокупности образует открытый ключ.

• privateExponent (d) – это приватная экспонента. Закрытый (приватный) ключ формируется из пары значений d и n. Именно закрытый ключ используется для расшифровки зашифрованного текста. В большинстве задач по RSA необходимо рассчитать или каким-то образом получить значение d. В Redacted RSA 1 d уже известно.

• prime1 (p) – это первый фактор. В этой задачке значение p невозможно извлечь из-за повреждения приватного ключа, но нам это не нужно, так как у нас есть d.

• prime2 (q) – это второй фактор. Произведение первого и второго факторов дает значение n. Аналогично, значение q невозможно извлечь, но это нам не нужно, так как у нас есть d.

Чтобы скопировать конкретное значение с данного сервиса, необходимо щелкнуть по нему левой кнопкой мыши и выбрать опцию "Сopy value".

Еще одной распространенной проблемой, с которой сталкиваются новички, является то, что они не знают, как перевести шифртекст в десятичный формат (base10). В контексте RSA мы обычно работаем с целыми числами. На мой взгляд, наиболее быстрым и доступным способом будет использование языков программирования, например, Python:

# Открываем файл
with open('encrypted.txt', 'rb') as file: 
    byte_data = file.read()  # Читаем содержимое файла как байты 
 
# Преобразуем байты в base10
encoded = int.from_bytes(byte_data, 'big') 
 
# Выводим результат
print(encoded)

Теперь остается только расшифровать флаг. Авторы задачки предлагают использовать команду OpenSSL, однако у новичков это может вызвать трудности. На соревнованиях имеет смысл потратить время более эффективно, вместо того чтобы вспоминать, какая именно команда нужна для расшифровки. Поэтому проще воспользоваться сервисом dCode:

1. Идем на https://dcode.fr/rsa-cipher и вводим значения n, c, e, d в соответствующие поля.

2. Нажимаем кнопку "CALCULATE/DECRYPT" для выполнения расшифровки.

Хотел бы добавить, что задачка по-прежнему доступна для решения, и вы можете повторить описанные шаги.

Продолжаем рубрику #делимсятасками

@Max_RSC в нашем уютном чате поделился интересным таском с замечательной платформы DECIPHER, и двое человек уже успели его решить. К сожалению, многие подписчики нашего канала не увидели этот таск, давайте это исправим!

Мы сделали выводы из предыдущего опыта и на этот раз предусмотрительно изменили название таски, поскольку в тот раз вместо криптоаналитиков пришли осинтеры и наосинтили райтап.

#crypto
1 Key Strategy for 26 Days of Transformation
 
9 111 55555555 33 00 55555555 9 11111 11 77777 333333333 888 1 11 55 4 5555555 9

Хинт: Название таска – это попытка автора намекнуть на что-то.

Присылайте решение @Max_RSC

Не забываем также решать предыдущее задание в этой рубрике!