xctf-streamgame1

680 0 0

作者:jane_3

下载附件后，得到两个文件，一个key文件，一个streamgame1.py文件

key文件如下：（十六进制形式）

55 38 F7 42 C1 0D B2 C7 ED E0 24 3A

streamgame1.py如下：

 1 from flag import flag
 2 assert flag.startswith("flag{")
 3 # 作用：判断字符串是否以指定字符或子字符串开头flag{
 4 assert flag.endswith("}")
 5 # 作用：判断字符串是否以指定字符或子字符串结尾}，flag{}，6个字节
 6 assert len(flag)==25
 7 # flag的长度为25字节，25-6=19个字节
 8 #3<<2可以这么算，bin(3)=0b11向左移动2位变成1100，0b1100=12(十进制)
 9 def lfsr(R,mask):
10     output = (R << 1) & 0xffffff    #将R向左移动1位，bin(0xffffff)='0b111111111111111111111111'=0xffffff的二进制补码
11     i=(R&mask)&0xffffff             #按位与运算符&：参与运算的两个值,如果两个相应位都为1,则该位的结果为1,否则为0
12     lastbit=013     while i!=0:
14         lastbit^=(i&1)    #按位异或运算符：当两对应的  二进位相异时，结果为1
15         i=i>>1
16     output^=lastbit
17     return (output,lastbit)
18 
19 
20 
21 R=int(flag[5:-1],2)
22 mask    = 0b1010011000100011100
23 
24 f=open("key","ab")   #以二进制追加模式打开
25 for i in range(12):
26     tmp=0
27     for j in range(8):
28         (R,out)=lfsr(R,mask)
29         tmp=(tmp << 1)^out   #按位异或运算符：当两对应的二进位相异时，结果为1
30     f.write(chr(tmp))  #chr() 用一个范围在 range（256）内的（就是0～255）整数作参数，返回一个对应的字符。
31 f.close()

这里给出两种做法，第一种直接爆破得出，第二种破解程序的算法得出。

方法①：通过py文件，可以知道flag{}内的字符个数为19个，且为2进制，因此将其转换为十进制，一定不超过2**19，脚本如下：

 1 from Crypto.Util.number import *
 2 a="55 38 F7 42 C1 0D B2 C7 ED E0 24 3A"
 3 a=a.split()
 4 print(a)
 5 def lfsr(R,mask):
 6     output = (R << 1) & 0xffffff    #将R向左移动1位，bin(0xffffff)='0b111111111111111111111111'=0xffffff的二进制补码
 7     i=(R&mask)&0xffffff             #按位与运算符&：参与运算的两个值,如果两个相应位都为1,则该位的结果为1,否则为0
 8     lastbit=0#奇偶数
 9     while i!=0:
10         lastbit^=(i&1)    #按位异或运算符：当两对应的  二进位相异时，结果为1
11         i=i>>1
12     output^=lastbit#最低为就是R中最后一位之前的1的奇偶数
13     return (output,lastbit)
14 
15 mask    = 0b1010011000100011100
16 for R in range(2**19):
17     index=1
18     #print("R:",R)
19     temp=R
20     for i in range(12):
21         tmp=0
22         for j in range(8):
23             (R,out)=lfsr(R,mask)
24             tmp=(tmp << 1)^out   #按位异或运算符：当两对应的二进位相异时，结果为1
25         if tmp!=int(a[i],16):
26             index=0
27             break
28     if (index==1):
29         print("yes!!!")
30         print(temp)
31         break

运行结果：

所以flag即为flag{1110101100001101011}

方法②:

代码的大致逻辑入下：

①函数lfsr中，输出的output是R左移一位后，并且第一位（从右往左数）^lastbit的结果，而lastbite代表的是R与mask相异或后，用二进制表示的结果中1的奇偶数，1代表有奇数个1,0代表有偶数个

②函数的两个for循环中，这两个循环大致为将R不断的经过lsfr操作，每经过一次，R更新一次值，tmp的每一位代表输入的R中与mask异或的奇偶数（8个一组，写入key中）

这里的特殊性就在于，假设正在进行第19次lsfr操作，那么此时二进制R的0~18（从右往左数）为即为key[0:18],且R的最后一位为flag[0]，而此次lsfr操作的输出我们已知，即output=key,lastbit=key[18],那么就可以求出R的最后一位，即flag[0]的值，往后以次类推

这里推荐两个博客，写的超详细！容易理解！

https://www.cnblogs.com/coming1890/p/13592014.html

https://www.anquanke.com/post/id/181811#h2-0

最后写出脚本如下：

 1 mask = '1010011000100011100'
 2 key='010101010011100011110111'[0:19]#十六进制表示为0x5538f7
 3 print("key:",key)
 4 
 5 R = ''
 6 for i in range(19):
 7     output = '?' + key[:18]
 8     ans = int(key[-1])^int(output[-3])^int(output[-4])^int(output[-5])^int(output[-9])^int(output[-13])^int(output[-14])^int(output[-17])
 9     R += str(ans)
10     print("R:",R)
11     key = str(ans) + key[:18]
12 
13 print((R[::-1]))
14 R = (R[::-1])
15 flag = "flag{" + R + "}"
16 print(flag)