[noxCTF] PlotTwist (Mersenne Twister)
내가 이 Plot Twist 문제의 롸업을 안올렸다니...
오랜만에 MT19937 Mersenne Twister RNG 에 관해서 다시 접하게되어서 저번에 noxCTF에 나왔던 관련 문제 롸업이나 보자! 하고 왔는데
내가 안올려놨었다 ㅡㅡ;;
나름 문제풀려고 고민고민하다가 검색을 통해서 관련 개념을 알게되서 푼 문제라서 롸업 올려놧을줄 알았는데;;
어찌됫든 기억난 김에 이렇게 써본다.
메르센 트위스터란 유사 난수 생성기이다. 메르센 트위스터의 이름은 난수의 반복 주기가 메르센 소수인 데에서 유래했다. 메르센 트위스터는 그 속도와 난수의 품질 때문에 점점 많은 곳에서 채택되고 있으며, 흔히 주기가 2^{19937}-1인 MT19937을 사용한다. MT19937과 같으나 생성해 내는 난수가 32비트가 아닌 64비트인 MT19937-64도 쓰이며, 2006년에 동일한 저자들이 발표한 SIMD 기반 메르센 트위스터는 MT19937에 비해 대략 두 배 정도 빠른 것으로 알려져 있다. 난수의 품질에도 불구하고, 메르센 트위스터는 암호학적으로 안전한 유사난수 생성기가 아니다. 즉 난수의 특성(주기, 난수 범위)을 알고 있을 때 유한한 수의 난수(이 경우 624개)만으로 현재 생성기의 상태를 알아 낼 수 있으며, 그 뒤에 나올 난수를 예측해 낼 수 있다. 암호학적으로 안전한 유사난수 생성기를 얻기 위해서는 해시 함수를 사용해야 하지만 난수의 생성 속도가 낮아진다. 또는 블룸 블룸 슙(BBS)과 같이 암호학적으로 안전하게 설계된 생성기를 쓸 수도 있다. 출처 :: 위키피디아(메르센 트위스터) |
문제는 아래와 같은 파일이 하나 주어진다.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 | import socket import threading import random from Crypto.Cipher import AES class ThreadedServer(object): def __init__(self, host, port): self.host = host self.port = port self.sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM) self.sock.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1) self.sock.bind((self.host, self.port)) self.flag = open('flag.txt', 'r').read() def listen(self): self.sock.listen(20) while True: client, address = self.sock.accept() client.settimeout(60) threading.Thread(target = self.listenToClient,args = (client,address)).start() def getKey(self, r): return str(r.getrandbits(32)).rjust(16, '0') def pad(self, s): return s + chr(0)*((-len(s)) % 16) def encrypt(self, key, plaintext): aes = AES.new(key, AES.MODE_CBC, self.pad('SuperSecretIV')) return aes.encrypt(self.pad(plaintext)) def decrypt(self, key, ciphertext): aes = AES.new(key, AES.MODE_CBC, self.pad('SuperSecretIV')) return aes.decrypt(ciphertext) def listenToClient(self, client, address): client_flag = self.flag r = random.Random() key = self.getKey(r) client_flag = self.encrypt(key, client_flag) while True: try: client.send('Please insert the decryption key:\n') key_guess = client.recv(16) if key_guess == key: client.send('Correct! Your flag is: ' + self.decrypt(key, client_flag) + '\n') client.close() break else: client.send('Wrong! The key was: ' + key + '\n') client_flag = self.decrypt(key, client_flag) key = self.getKey(r) client_flag = self.encrypt(key, client_flag) except Exception as e: print e client.close() return False if __name__ == "__main__": ThreadedServer('', 5115).listen() | cs |
서버에 접속하면 키를 입력해달라고 하고, 올바른 키를 입력하면 플래그를 뿌려준다.
잘못된 키를 입력하면 틀렸다면서 방금 쓰인 암호화 key를 출력해주고, key는 새로 설정된다.
여기서 r = random.Random()가 쓰이고 아래 함수를 통해 key를 획득하게 된다.
Python의 random은 메르센 트위스터로 되어있어, 624개의 난수만 뽑아낸다면 다음 난수를 예측할 수 있다.
그러므로 624번 틀려서 key값을 알아내어 다음 값을 알아내는 것이 가능하다.
여기서 Mersenne Twister Crack 소스를 짜면 아주 멋지겠지만... 이미 구현되어있는것들이 많으니.. 그것들을 가져와 사용하겠다.
설명도 아주 잘되어있다.
그냥 적혀있는대로 쓰면된다.
아래는 필자가 작성한 공격코드이다.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 | #!/usr/bin/env python from pwn import * import string from randcrack import RandCrack #https://github.com/tna0y/Python-random-module-cracker conn = remote("chal.noxale.com", 5115) def get_key(rc): conn.recvuntil("Please insert the decryption key:\n") conn.send("0"*16*624) for i in range(624): conn.recvuntil("Wrong! The key was: ") key = conn.recv(16) rc.submit(int(key)) conn.recvuntil("Please insert the decryption key:\n") key = str(rc.predict_getrandbits(32)).rjust(16, '0') return key rc = RandCrack() key = get_key(rc) conn.send(key) conn.interactive() | cs |