LilCTF2025

发表于 2025-08-18 更新于 2025-08-20 阅读次数：本文字数： 14k 阅读时长 ≈ 26 分钟

owo

打这个比赛也学到了蛮多东西，这里仅记录Linear,Space Travel，baaaaaag三道题

Linear

import os
import random
import signal

signal.alarm(10)

flag = os.getenv("LILCTF_FLAG", "LILCTF{default}")

nrows = 16
ncols = 32

A = [[random.randint(1, 1919810) for _ in range(ncols)] for _ in range(nrows)]
x = [random.randint(1, 114514) for _ in range(ncols)]

b = [sum(A[i][j] * x[j] for j in range(ncols)) for i in range(nrows)]
print(A)
print(b)

xx = list(map(int, input("Enter your solution: ").strip().split()))
if xx != x:
    print("Oh, your linear algebra needs to be practiced.")
else:
    print("Bravo! Here is your flag:")
    print(flag)

审一下代码，本题的大概意思就是求解Ax = b这个线性方程组。已知的是一个(16$$32)的矩阵A和(16$$1)的向量b，我们需要求解这个（32$*$1)的向量x。

而且这个特定的解 x 是由较小的整数（1 到 114514）组成的(恶臭的x)

显然这道题要用格去做。首先，将方程变形为 Ax - b = 0，显然我们就得到了这个格的等式，我们首先构造一个矩阵，M = [A | -b]即把-b作为新的一列拼接到A的最右边得到这个增广矩阵。然后我们求这个矩阵的右核。即找到一个向量v满足 M * v = 0这个v向量的格式为v = [x_1, x_2, …, x_32, 1]^T，这是一个33$*$1的列向量。这个核空间的一组基就是我们格的初始基。这个基由 17 个 33 维的向量组成。我们对这个基进行规约然后找到最后一个元素为1的那一个向量。这就是我们要求的x啦。

from pwn import remote
import json, re
from sage.all import Matrix, vector, ZZ

def solve(data_str):
    matrix_str = re.search(r'(\[\[.*\]\])', data_str, re.DOTALL).group(1)
    vector_str = re.findall(r'(\[[\d, -]+\])', data_str)[-1]
    A_list, b_list = json.loads(matrix_str), json.loads(vector_str)
    
    A = Matrix(ZZ, A_list)
    b = vector(ZZ, b_list)
    M = A.augment(-b)
    kernel_basis = M.right_kernel().basis()
    lll_basis = Matrix(ZZ, kernel_basis).LLL()

    for v in lll_basis:
        if abs(v[-1]) == 1:
            solution_v = v if v[-1] == 1 else -v
            return solution_v[:-1]
    return None

if __name__ == "__main__":
    conn = remote("challenge.xinshi.fun", 36735)
    
    data = conn.recvuntil(b"Enter your solution: ").decode()
    
    solution = solve(data)
    print(solution)
    
    if solution:
        solution_str = ' '.join(map(str, solution))
        conn.sendline(solution_str.encode())
        print(conn.recvall(timeout=5).decode())

    conn.close()

Space Travel

from Crypto.Cipher import AES
from hashlib import md5
from params import vecs
from os import urandom

key = int("".join([vecs[int.from_bytes(urandom(2)) & 0xfff] for _ in range(50)]), 2)

print("🎁 :", [[nonce := int(urandom(50*2).hex(), 16), (bin(nonce & key).count("1")) % 2] for _ in range(600)])
print("🚩 :", AES.new(key=md5(str(key).encode()).digest(), nonce=b"Tiffany", mode=AES.MODE_CTR).encrypt(open("flag.txt", "rb").read()))

鸡块的题，经典代码越短题目越难

还是来看看题目大意，首先是做 50 次int.from_bytes(urandom(2)) & 0xfff 产生一个 0到4095 的随机索引。然后取对应的vecs[idx]，顺序拼接50个得到一个800bit的。最后转成十进制数得到key。

然后是🎁和🚩的生成，首先我们来看🎁，生成了600组样本，对于每一组样本，先是urandom(50$*$2)得到100字节，也就是800bit，然后bin(nonce & key).count(“1”)) % 2这一段是计算(nonce & key)中1的个数mod 2.

然后用key的十进制转MD5做密钥加密明文得到🚩

虽然直觉是直接造格打，但是600 800的格好像不太行，遂放弃。不过后来发现了一个奇妙东西-仿射子空间，因为我们知道vecs的是4096个16bits的向量。刚好是2的12次方个，这里我们首先大概了解一下什么是仿射子空间

“仿射子空间”（Affine Subspace）= “线性子空间的一个平移”。形式： A = b ⊕ L （或写 A = b + L）

L 是一个线性子空间
b 是某个固定向量（称为平移向量、偏移、锚点）
A 中所有元素都可以表示成 b + ℓ，其中 ℓ ∈ L
如果 b = 0，那么 A = L，本质上就是线性子空间本身

仿射子空间不要求包含零向量（除非恰好 b ∈ L，使 A = L）。

那么对于本题来说我们可以认为vecs的结构就是一个仿射子空间 b ⊕ L。

我们任取 vecs[0] = b。构造集合 { vecs[i] ⊕ b } 得到纯线性空间 L 的元素。那么这个L的维度应该就是12.

得到 L 的一组基行向量后形成矩阵 G：

把 12 个基行向量转置为列向量 ⇒ G 是 16×12 矩阵。这里的16是因为vecs 里，每个元素是16位二进制字符串。也就是说，每个向量是 16维的 0/1 向量。

然后遍历600条样本，把800bit的nonce分为50个16bit的块 a_{t,j}与key对应

累加 <a_{t,j}, b> 得 K_t；计算 G^T a_{t,j} 填充矩阵行；得到 s’_t = s_t ⊕ K_t。

得到 M(600×600)、S’(600)。到这里，所有 600 条样本都被转化成了一个标准的 GF(2) 线性方程组：M⋅W=S′

其中：

M 是 600×600 的 GF(2) 矩阵，完全由 nonce、仿射空间结构 G 和偏移 b 决定；
W 是 600 维的变量向量（50个w_j拼起来，每个12位）；

S’ 是右侧的常数向量。

这样我们就可以将问题降维为 600 未知 + 600 方程的线性系统，然后我们计算M的秩，当然理想状态下我们希望他是满秩的，其对应的零空间的维度就为0，这样就能得到一个唯一解。

M 是 600×600 的 GF(2) 系数矩阵
nullity=600−rank(M)
如果 nullity=0：唯一解
如果 nullity=1：所有解是“某个特解 + 1 个方向的线性组合”，即 2 个可能解

如果 nullity=d：共有 2$^{d} $个可能解

这道题我们算出来发现秩是599，也就是说有两个可能解，我们都打印出来看一下就能判断了。为了便于理解让ai生成了一个很详细的脚本

from Crypto.Cipher import AES
from hashlib import md5
import itertools
import ast  # 用于安全地将字符串解析为 Python 对象

# --- 数据加载模块 ---
print("[*] 正在从文件加载数据...")

# 1. 从 params.py 导入 vecs
try:
    from params import vecs
    print("  - `vecs` 从 params.py 加载成功。")
except ImportError:
    print("  - 错误: 无法找到或导入 'params.py'。请确保该文件在同一目录下。")
    vecs = []  # 定义一个空列表以避免后续代码崩溃

# 2. 从 output.txt 解析 oracle_data 和 ciphertext
oracle_data = []
ciphertext = b""
try:
    with open("output.txt", 'r', encoding='utf-8') as f:
        for line in f:
            line = line.strip()
            if line.startswith("🎁 :"):
                # 提取 "🎁 : " 后面的列表字符串
                list_str = line[len("🎁 :"):].strip()
                oracle_data = ast.literal_eval(list_str)
                print("  - `oracle_data` 从 output.txt 解析成功。")
            elif line.startswith("🚩 :"):
                # 提取 "🚩 : " 后面的字节串字符串
                bytes_str = line[len("🚩 :"):].strip()
                ciphertext = ast.literal_eval(bytes_str)
                print("  - `ciphertext` 从 output.txt 解析成功。")
except FileNotFoundError:
    print("  - 错误: 'output.txt' 文件未找到。")
except Exception as e:
    print(f"  - 错误: 解析 'output.txt' 时发生错误: {e}")

# --- 核心求解逻辑 (与原版基本一致) ---

# 定义 SageMath 域
F = GF(2)

def bits_to_vec(bitstr):
    """将二进制字符串转换为 GF(2) 向量"""
    return vector(F, [int(c) for c in bitstr])

def printable_score(bs):
    """计算字节串中可打印 ASCII 字符的比例，用于评估解密结果"""
    return sum(32 <= b <= 126 for b in bs) / max(1, len(bs))

def rebuild_key_from_W(W, b, G, BLOCKS=50, AFFINE_DIM=12, VEC_LEN=16):
    """根据 600-bit 的系数向量 W 重建 800-bit 的密钥"""
    key_bits_parts = []
    for j in range(BLOCKS):
        w_j = W[j*AFFINE_DIM:(j+1)*AFFINE_DIM]
        v_j = b + G * vector(F, w_j)   # 在 GF(2) 中，v_j = b ⊕ (G * w_j)
        key_bits_parts.append("".join(map(str, list(v_j))))
    key_bitstring = "".join(key_bits_parts)
    return key_bitstring

def decrypt_with_key_int(key_int, ciphertext):
    """使用给定的密钥整数解密密文"""
    aes_key = md5(str(key_int).encode()).digest()
    cipher = AES.new(aes_key, AES.MODE_CTR, nonce=b"Tiffany")
    return cipher.decrypt(ciphertext)

def solve():
    """主求解函数"""
    # 检查数据是否加载成功
    if not vecs or not oracle_data or not ciphertext:
        print("\n[!] 错误: 数据加载不完整，无法继续求解。请检查文件是否存在或内容是否正确。")
        return

    VEC_LEN = 16
    BLOCKS = 50
    AFFINE_DIM = 12
    KEY_LEN = VEC_LEN * BLOCKS      # 800
    UNKNOWN_BITS = BLOCKS * AFFINE_DIM  # 600

    print("\n[1] 分析 `vecs` 结构，构造仿射子空间 b ⊕ L...")
    vec_vectors = [bits_to_vec(v) for v in vecs]
    b = vec_vectors[0]
    L_vectors = [v + b for v in vec_vectors]   # v - b 在 GF(2) 中就是 v + b
    L_space = matrix(F, L_vectors).row_space()
    dimL = L_space.dimension()
    print(f"  - 线性部分 L 的维度: {dimL}")
    if dimL != AFFINE_DIM:
        print("  - !!! 警告: 维度不等于预期的 12，结果可能不正确。")
        return
    # 将基行向量转换为列向量，构成矩阵 G
    basis_rows = L_space.basis()
    G = matrix(F, list(zip(*basis_rows)))
    G_T = G.transpose()
    print("  - 仿射空间的偏移 b 和基矩阵 G 构建完成。")

    print("\n[2] 构建 600x600 的线性方程组 M * W = S'...")
    eqn_count = min(600, len(oracle_data))
    M_rows = []
    S_prime = []
    for t in range(eqn_count):
        nonce_int, s_t = oracle_data[t]
        bits = bin(nonce_int)[2:].zfill(KEY_LEN)
        K_t = F(0)
        row = vector(F, UNKNOWN_BITS)
        for j in range(BLOCKS):
            seg = bits[j*VEC_LEN:(j+1)*VEC_LEN]
            a = bits_to_vec(seg)
            K_t += a.dot_product(b)
            coeff_block = G_T * a
            row[j*AFFINE_DIM:(j+1)*AFFINE_DIM] = coeff_block
        S_prime.append(F(s_t) + K_t)
        M_rows.append(row)
    M = matrix(F, M_rows)
    S_vec = vector(F, S_prime)
    rk = M.rank()
    nullity = UNKNOWN_BITS - rk
    print(f"  - 矩阵 M: {M.nrows()}x{M.ncols()}, 秩(rank)={rk}, 零度(nullity)={nullity}")

    print("\n[3] 求解特解 W0 和零空间...")
    try:
        W0 = M.solve_right(S_vec)
    except Exception as e:
        print(f"  - solve_right 失败，尝试 solution_space: {e}")
        sol_space = M.solution_space(S_vec)
        W0 = sol_space.representative()
    print("  - 已获得一个特解 W0。")
    kernel = M.right_kernel()
    basis = kernel.basis()
    print(f"  - 零空间维度为 {len(basis)}。")

    if nullity > 15:
        print("  - 零空间维度过大 (2^{}), 无法暴力枚举。".format(nullity))
        return

    print(f"\n[4] 枚举 {2**nullity} 个候选解...")
    candidates = []
    if nullity == 0:
        candidates.append(W0)
    else:
        for mask in range(1 << nullity):
            W = W0
            for i, vec in enumerate(basis):
                if (mask >> i) & 1:
                    W = W + vec
            candidates.append(W)

    print("\n[5] 尝试解密并为候选解评分...")
    scored = []
    for idx, W in enumerate(candidates):
        key_bits = rebuild_key_from_W(W, b, G, BLOCKS, AFFINE_DIM, VEC_LEN)
        key_int = int(key_bits, 2)
        pt = decrypt_with_key_int(key_int, ciphertext)
        score = printable_score(pt)
        heuristic = 0
        low = pt.lower()
        if b'flag{' in low or b'ctf{' in low or b'flag[' in low: heuristic += 5
        if score > 0.85: heuristic += 1
        scored.append((heuristic, score, idx, key_int, pt))
    scored.sort(reverse=True)

    print("\n[6] 评分最高的候选结果:")
    show_k = min(5, len(scored))
    for h, sc, idx, key_int, pt in scored[:show_k]:
        snippet = ''.join(chr(b) if 32 <= b <= 126 else '.' for b in pt[:60])
        print(f"  - 候选#{idx}: 启发分={h}, 可打印分={sc:.3f}, 片段='{snippet}'")

    best = scored[0]
    h, sc, idx, key_int, pt = best
    print(f"\n[+] 选定最优候选: cand#{idx} (启发分={h}, 可打印分={sc:.3f})")
    print("[+] 解密得到的 Flag:")
    try:
        print(pt.decode())
    except Exception as e:
        print(f"(解码失败: {e}) -> 原始字节: {pt}")

    print("\n[7] 校验前 5 条 oracle:")
    for i in range(min(5, len(oracle_data))):
        nonce_int, sbit = oracle_data[i]
        calc = bin(nonce_int & key_int).count("1") & 1
        print(f"  - 样本#{i}: 题目给出={sbit}, 计算得到={calc} -> {'OK' if calc==sbit else '不匹配'}")

# 运行主函数
solve()

baaaaaag

一个背包密码，用bkz调一下blocksize就能出不过好像是非预期哈哈哈

为了方便理解博客上的脚本还是用ai注释详细的

from sageall import *
import math, hashlib
from Crypto.Cipher import AES
from Crypto.Util.Padding import unpad

# ---------- 题目数据 ----------
a = [965032030645819473226880279, 699680391768891665598556373, 1022177754214744901247677527, 680767714574395595448529297, 1051144590442830830160656147, 1168660688736302219798380151, 796387349856554292443995049, 740579849809188939723024937, 940772121362440582976978071, 787438752754751885229607747, 1057710371763143522769262019, 792170184324681833710987771, 912844392679297386754386581, 906787506373115208506221831, 1073356067972226734803331711, 1230248891920689478236428803, 713426848479513005774497331, 979527247256538239116435051, 979496765566798546828265437, 836939515442243300252499479, 1185281999050646451167583269, 673490198827213717568519179, 776378201435505605316348517, 809920773352200236442451667, 1032450692535471534282750757, 1116346000400545215913754039, 1147788846283552769049123803, 994439464049503065517009393, 825645323767262265006257537, 1076742721724413264636318241, 731782018659142904179016783, 656162889354758353371699131, 1045520414263498704019552571, 1213714972395170583781976983, 949950729999198576080781001, 1150032993579134750099465519, 975992662970919388672800773, 1129148699796142943831843099, 898871798141537568624106939, 997718314505250470787513281, 631543452089232890507925619, 831335899173370929279633943, 1186748765521175593031174791, 884252194903912680865071301, 1016020417916761281986717467, 896205582917201847609656147, 959440423632738884107086307, 993368100536690520995612807, 702602277993849887546504851, 1102807438605649402749034481, 629539427333081638691538089, 887663258680338594196147387, 1001965883259152684661493409, 1043811683483962480162133633, 938713759383186904819771339, 1023699641268310599371568653, 784025822858960757703945309, 986182634512707587971047731, 1064739425741411525721437119, 1209428051066908071290286953, 667510673843333963641751177, 642828919542760339851273551, 1086628537309368288204342599, 1084848944960506663668298859, 667827295200373631038775959, 752634137348312783761723507, 707994297795744761368888949, 747998982630688589828284363, 710184791175333909291593189, 651183930154725716807946709, 724836607223400074343868079, 1118993538091590299721647899]
b = 34962396275078207988771864327
ciphertext = b'Lo~G\xf46>\xd609\x8e\x8e\xf5\xf83\xb5\xf0\x8f\x9f6&\xea\x02\xfa\xb1_L\x85\x93\x93\xf7,`|\xc6\xbe\x05&\x85\x8bC\xcd\xe6?TV4q'

n = len(a)
sum_a = sum(a)
max_a = max(a)

# ---------- 选择 k ----------
# 建议初始 k 为 2^{round(bitlen/2)}，再试一些倍数
base_exp = max_a.bit_length()//2
k_base = 1 << base_exp
k_candidates = [k_base, k_base//2, k_base*2, k_base*4]

print(f"[INFO] n={n}, max_a_bitlen={max_a.bit_length()}, base k={k_base}")

def build_matrix(k):
    # 构造 (n+1)x(n+1) 矩阵
    rows = []
    for i in range(n):
        row = [0]*(n+1)
        row[i] = 2
        row[-1] = k * a[i]
        rows.append(row)
    # 最后一行: 全 1, 末列 k(Σ a_i - b)
    last_row = [1]*n + [k*(sum_a - b)]
    rows.append(last_row)
    return Matrix(ZZ, rows)

def try_decode(vec):
    # vec 长度 n+1
    last = vec[-1]
    # 理想: last == 0
    if abs(last) != 0:
        return None
    coords = list(vec[:-1])
    # 需要全部是 ±1
    if any(c not in (-1,1) for c in coords):
        return None
    bits = [(c+1)//2 for c in coords]   # -1->0, +1->1
    # 校验
    if sum(ai*bi for ai,bi in zip(a,bits)) == b:
        return bits
    # 也可能整向量取反
    bits2 = [1 - x for x in bits]
    if sum(ai*bi for ai,bi in zip(a,bits2)) == b:
        return bits2
    return None

found = False

for k in k_candidates:
    if k <= 0:
        continue
    print(f"\n[TRY] k={k}")
    B = build_matrix(k)
    # 先 LLL
    Bred = B.LLL()
    # 直接扫描
    for r in Bred.rows():
        bits = try_decode(r)
        if bits:
            print("[SUCCESS] Found after LLL.")
            found = True
            break
    if found:
        solution_bits = bits
        break

    # 若未找到，尝试 BKZ 提升 block size
    for bs in [20, 28, 32, 36, 40]:
        if found:
            break
        if not hasattr(Bred, "BKZ"):
            break
        print(f"  [*] BKZ block_size={bs}")
        Bred = Bred.BKZ(block_size=bs)
        for r in Bred.rows():
            bits = try_decode(r)
            if bits:
                print(f"[SUCCESS] Found at block_size={bs}")
                found = True
                solution_bits = bits
                break
    if found:
        break

if not found:
    print("\n[FAIL] 没找到。建议：")
    print("  1) 扩展 k 候选 (k_base*8 等)，或更细粒度如 k_base//4。")
    print("  2) 增大 BKZ block_size (>=44)。")
    print("  3) 换 half-shift 嵌入 (更常用)。")
    raise SystemExit

# ---------- 还原 p ----------
p = 0
for i,bit in enumerate(solution_bits):
    if bit:
        p |= (1<<i)

print(f"[RESULT] p bitlen={p.bit_length()}")
print(f"[RESULT] p={p}")

# ---------- 解密 ----------
key = hashlib.sha256(str(p).encode()).digest()
cipher = AES.new(key, AES.MODE_ECB)
pt_padded = cipher.decrypt(ciphertext)
try:
    flag = unpad(pt_padded,16)
except:
    flag = pt_padded
print("[FLAG] =", flag)