Choose Your RSA - author: anaken21sec1 - crypto

from Crypto.Util.number import long_to_bytes from Crypto.Cipher import AES from Crypto.Util.Padding import unpad import gmpy2

1) paramètres récupérés du challenge

aes_hex = “682ea5c280898c60df57655309fc2221f9d2edd2bb3253c9387ce958d4518d12da0ba5415a439c738e192eb47a506c076a809351f5d908f6f4d2f2007a77e1bc” n0=14492614851693395581003552028685824887489091877629909291384165138933517085933797011760292213342677553780633008356406519102592579186576389437763355865474709512004059603596981545889483282430091419942140116358220861789708243706225507677940157063466622153139786114538976366542560474972221129183513817759604271379628874196767705910827928909090127127092569578338935081201717558963847261297723078698703297023677660383565353074591457350651831757363492801707386493986190192285849598675253649355216705710055168837081985745256393329777607976834846386099419204918035639887683063939934406520823787727485808116373892489839440422497 c0=1461792881577500861721300946277793652320852436241464787198462493212477909900697264465358819563659856055504299241730447460812647535345770403720919538937567801214174884826537053942165044673207725514113056039248660526778877870677554196115546486889274836909250261346402052764608778006922136534223810996957923457223696565319804057634367294203978458384829830712772070788516598618281277804252723398464460200852010392763779543524060790800925682935983651102553555526675307511491842885850339220714725347497902711675871837051120767520819073955489943002677903835217507496069092587564206338447098238106058803455821339390048120597 n1=2324679680827079631881632415779512022402192361287796886195630477538772614085274410672337638384275733016641860175770020058362196708257152207736077880599755457504191792118342749033909579353306930405581696433562741487319479147183780787293673694988292807064598162583839695304508919938567734634639747852211690398997233062118142763172172188288995701472995511079384473664070749184571424904065680511948958660391589785778203939899978536329283573477377036266491156137962367154857589447743786601590946034612549670487602415980782653336583793098769253277188462292797085086738613597184820563692307071667803541300181876082591581686656859784284550749282521875003150035380711351061400752076227930477313348993303946031077200194761460547856309462514903402487620405917168467972989055910642131518618318761317779805707767476065856019282215500835438012413447015707040820262273133453401815828731579501163117284709004648763240124088739843022223758503 c1=1938038099187113106577053369897629485360592777178553458659394969265631646521758573317733459362443127891005941729764044618016874904091132013442162515989622777213462129531891850815377394032736166184896915072468808754483998750731852698003379506420048196727741342734177690637827696548740866001765671660276159090417424521561818278612735807160258143508670670381136546447770397744725824030165046767562520510607767906301874174877394161219048467821375499451909475213809910713006129811483146031256203883437285830877252362939957290771715806878062639209449555956251210492658410904989095282175459043760779234908672971721784039899345872952130440236425508951154460669549325415483476040671613451380985115146972954342875407073364486477881209717866320620204964416761600883190803872435247793896271511497916155927203497010923271797895101300753716385288421764589957479379420338287410410566229438649307798902438263786718282004510286693828246465520 nc

2) exposants choisis

e0, e1, e2 = 2, 3, 6 L = 6 # lcm(2,3,6)

3) calcul des c’_i

cp0 = pow(c0, L//e0, n0) cp1 = pow(c1, L//e1, n1) cp2 = pow(c2, L//e2, n2)

4) CRT pour reconstituer k^L

from math import prod def crt(residues, moduli): N = prod(moduli) X = 0 for r, n in zip(residues, moduli): m = N // n inv = pow(m, -1, n) X += r * m * inv return X % N, N

X, N = crt([cp0, cp1, cp2], [n0, n1, n2])

5) extraction de la L-ième racine

k, ok = gmpy2.iroot(X, L) assert ok

6) déchiffrement AES

key_bytes = long_to_bytes(int(k)) cipher = AES.new(key_bytes[:16], AES.MODE_ECB) flag = unpad(cipher.decrypt(bytes.fromhex(aes_hex)), AES.block_size) print(flag.decode())