[SUCTF2019]MT

1.题目

2.分析

3.解题

4.参考

1.题目

题目给了一份代码文件，输出也给了出来：

from Crypto.Random import random
from Crypto.Util import number
from flag import flagdef convert(m):m = m ^ m >> 13m = m ^ m << 9 & 2029229568m = m ^ m << 17 & 2245263360m = m ^ m >> 19return mdef transform(message):assert len(message) % 4 == 0new_message = ''for i in range(len(message) / 4):block = message[i * 4 : i * 4 +4]block = number.bytes_to_long(block)block = convert(block)block = number.long_to_bytes(block, 4)new_message += blockreturn new_messagetransformed_flag = transform(flag[5:-1].decode('hex')).encode('hex')
print 'transformed_flag:', transformed_flag
# transformed_flag: 641460a9e3953b1aaa21f3a2

2.分析

引入的flag是一个16进制的字符串。加密的主要过程是将字符串每四个bytes为一组，分别进行加密再组合在一起，我们只需要破解加密部分，然后经过同样的transform过程就能够得到结果了

3.解题

对convert函数进行破解，有两种方法，一种是逆向extract_number的解法，一种是针对MT19937给出的理解比较深入的解法，这里给出第一种，后面会加上参考文章：

def shift_right(res, shift, bits=32):tmp = resfor i in range(bits // shift):tmp = res ^ tmp >> shiftreturn tmpdef shift_left(res, shift, bits=32):tmp = resfor i in range(bits // shift):tmp = res ^ tmp << shiftreturn tmpdef shift_right_mask(res, shift, mask, bits=32):tmp = resfor i in range(bits // shift):tmp = res ^ tmp >> shift & maskreturn tmpdef shift_left_mask(res, shift, mask, bits=32):tmp = resfor i in range(bits // shift):tmp = res ^ tmp << shift & maskreturn tmpdef convert(s):s = shift_right(s, 19)s = shift_left_mask(s, 17, 2245263360)s = shift_left_mask(s, 9, 2029229568)s = shift_right(s, 13)return s

其中得shift_right等函数，就是在逐次得进行还原原数，这跟shift的量有关系。

然后利用所给的transform代码，就能够得到解题代码了，注意想要在python3的环境下运行的话，还是得将其中的一些内容适当得进行修改：

def transform(message):assert len(message) % 4 == 0new_message = b''for i in range(len(message) // 4):block = message[i * 4 : i * 4 +4]block = number.bytes_to_long(block)block = convert(block)block = number.long_to_bytes(block, 4)new_message += blockreturn new_messagetransformed_flag = '641460a9e3953b1aaa21f3a2'
c = bytes.fromhex(transformed_flag)
flag = transform(c)print(hex(libnum.s2n(flag)))
#0x84b45f89af22ce7e67275bdc