dp、dq 泄露 攻击

打开压缩包后有一个 txt 文件，内容如下：

p = 8637633767257008567099653486541091171320491509433615447539162437911244175885667806398411790524083553445158113502227745206205327690939504032994699902053229
q = 12640674973996472769176047937170883420927050821480010581593137135372473880595613737337630629752577346147039284030082593490776630572584959954205336880228469
dp = 6500795702216834621109042351193261530650043841056252930930949663358625016881832840728066026150264693076109354874099841380454881716097778307268116910582929
dq = 783472263673553449019532580386470672380574033551303889137911760438881683674556098098256795673512201963002175438762767516968043599582527539160811120550041
c = 24722305403887382073567316467649080662631552905960229399079107995602154418176056335800638887527614164073530437657085079676157350205351945222989351316076486573599576041978339872265925062764318536089007310270278526159678937431903862892400747915525118983959970607934142974736675784325993445942031372107342103852

dp、dq 泄露了 ，可以通过 dp 和 dq 以及 p 和 q 可以得到 m，关系和解密公式如下：

dp 和 dq 的关系如下：

dp = d mod ( p - 1 )

dq = d mod ( q - 1 )

m1 和 m2 与 m 的关系如下：

m1 = c ** dp mod p

m2 = c ** dq mod q

q * I mod p = 1 # I 是 p 的逆元，可以通过 gmpy2 . invert ( q , p ) 函数求出

m =( ( ( m1 - m2 ) I ) mod p ) q + m2

关系和解密公式都给了，直接写脚本跑出来

import gmpy2
from Crypto.Util.number import long_to_bytes
def extended_gcd1(a,b):
    old_s=t=1
    old_t=s=0
    old_r=a
    r=b
    while r!=0:
        q=old_r//r
        old_s,s=s,old_s-s*q
        old_t,t=t,old_t-t*q
        old_r,r=r,old_r%r
    return (old_r,old_s,old_t)
p = 8637633767257008567099653486541091171320491509433615447539162437911244175885667806398411790524083553445158113502227745206205327690939504032994699902053229
q = 12640674973996472769176047937170883420927050821480010581593137135372473880595613737337630629752577346147039284030082593490776630572584959954205336880228469
dp = 6500795702216834621109042351193261530650043841056252930930949663358625016881832840728066026150264693076109354874099841380454881716097778307268116910582929
dq = 783472263673553449019532580386470672380574033551303889137911760438881683674556098098256795673512201963002175438762767516968043599582527539160811120550041
c = 24722305403887382073567316467649080662631552905960229399079107995602154418176056335800638887527614164073530437657085079676157350205351945222989351316076486573599576041978339872265925062764318536089007310270278526159678937431903862892400747915525118983959970607934142974736675784325993445942031372107342103852
def dp_dq_m(c, p, q, dp, dq):   # 求解 m
    # 计算 m1 和 m2
    m1 = pow(c, dp, p)
    m2 = pow(c, dq, q)
    # 计算 q 的逆元 mod p ，即 I 
    I = gmpy2.invert(q, p)
    m = (m1 + (m1 - m2) * I % p * q) % (p * q)
    return m
m=crt(c,p,q,dp,dq)
print(long_to_bytes(m))
# 将解出来的数字转换为字节流，得到flag字符
# 运行结果：b'noxCTF{W31c0m3_70_Ch1n470wn}'

将解出的flag包起来

flag{W31c0m3_70_Ch1n470wn}