Sa1varsan's Blog

强网杯 s9 Elliptic Curve Cryptography

强网杯 s9 2025 - theorezhnp

把 19 次高位泄露组织成 ECHNP 样本后，直接沿着 BabyDH2 的思路做格攻击恢复共享秘密。

强网杯 s9 Post-Quantum Cryptography

强网杯 s9 2025 - blurred

先在 x=-1 处区分 NTRU 样本和随机样本，再用 gf2bv 预测 MT19937 并解密。

强网杯 s9 RNG Attack

强网杯 s9 2025 - ezran

利用 gift 中泄露的 bit 线性约束恢复 MT 初始状态，再逆出多次 shuffle 后的 flag。

RCTF RNG Attack

RCTF 2025 - yet-another-mt-game

从 Sage randstate 和 GMP/MT19937 的实现细节出发，搭线性方程恢复内部种子。

RCTF RNG Attack

RCTF 2025 - yet another shuffled MT game

先恢复 Python shuffle 的 128-bit seed，再反推出底层 MT 状态并完成后续求解。

0ctf Zero-Knowledge Cryptography

0ctf 2025 - ZKpuzzle3

把四立方和重新参数化成二元对角二次型，用 `BinaryQF` 在整数上直接找 witness。

0ctf Zero-Knowledge Cryptography

0ctf 2025 - ZKpuzzle2

先选满足 2-cycle 的两条曲线，再把四立方和约束拆到 mod p 和 mod q 两边分别求解后拼起来。

0ctf Zero-Knowledge Cryptography

0ctf 2025 - ZKpuzzle1

选 anomalous curve 绕开曲线约束后，把条件化成整数上的四立方和，再用标准恒等式拆出 witness。

0ctf Post-Quantum Cryptography

0ctf 2025 - Nightfall Tempest Trials

利用带噪 NTT 阶段泄露逐层反推 Kyber secret，多项式拼接后恢复 AES 密钥。

xctffinal Side-Channel Attack

xctffinal 2025 - Tch3s

先爆破 srand(time) 的随机种子拿到非预期解，再结合计时侧信道分析预期解。

0ctf Post-Quantum Cryptography

0ctf 2024 - ZKPQC_2

利用最长公共前缀泄露先猜 coins，再做 RIPEMD-160 状态续接，把 hats 变成 Kyber secret 的格提示恢复 seed。

0ctf Post-Quantum Cryptography

0ctf 2024 - ZKPQC_1

先把共享曲线和目标 2-isogeny kernel 算出来，再借 `j = 1728` 附近的特殊 2-isogeny 图构造 3 个等价 kernel 通过 PoK。

羊城杯 RSA & Number Theory

羊城杯 2024 - TheoremPlus

利用 Wilson 定理简化 decode_e，再结合已分解的 RSA 模数还原明文。

羊城杯 Elliptic Curve Cryptography

羊城杯 2024 - TH_Curve

把 Twisted Hessian 曲线转成椭圆曲线模型后，直接求离散对数恢复明文。

羊城杯 Elliptic Curve Cryptography

羊城杯 2024 - BabyCurve

先从公开点反推出曲线参数，再处理曲线离散对数与 AES 密钥恢复。

Sekai CTF Permutation Group Cryptography

Sekai CTF 2024 - Some Trick

把多层置换群加密写成 8209 进制坐标，再分别逆出 Alice 与 Bob 的密钥。

Crypto CTF Secret Sharing

Crypto CTF 2024 - Melek 题解

先用拉格朗日插值恢复 Shamir 多项式常数项，再借助模平方根从 `m^e mod p` 还原明文。

TSG CTF Lattice Cryptanalysis

TSG CTF 2023 - Learning with Exploitation 题解

把弱参数 LWE 重写成带权格基，利用 LLL 直接把包含秘密向量的短向量规约出来。

MiniL CTF Knapsack Cryptography

MiniL CTF 2023 - Sums

从 MHK 背包系统的解密方式反推参数，再用 orthogonal lattice 和 Groebner basis 求等价密钥。

MiniL CTF Lattice Cryptanalysis

MiniL CTF 2023 - Modular

通过 BKZ 规约恢复 shared_secret，再按常规流程解出 AES 密钥。

MiniL CTF Matrix Cryptography

MiniL CTF 2023 - Mintrix

利用矩阵 rref 结构和特征多项式关系，从公开构造里直接拿到 sharekey。

MiniL CTF RSA & Number Theory

MiniL CTF 2023 - EZfactor

从高位泄露与 Coppersmith 调参入手，再转向二次剩余与丢番图方程求解。

MiniL CTF Elliptic Curve Cryptography

MiniL CTF 2023 - Curvesignin_Revenge

把群阶分解后用 Pohlig-Hellman、BSGS 和 CRT 求离散对数，恢复 DH 私钥。

CryptoHack Classical Cryptanalysis

CryptoHack - Beatboxer 题解思路

根据官方题面和题目所在的 Linear Cryptanalysis 分类，把 Beatboxer 识别成一题针对 AES 风格 SPN 的线性分析题。

HTB Uni CTF Quals Secret Sharing

HTB Uni CTF 2021 Quals - Space Pirates 题解

利用 MD5 链式生成系数的错误设计，在只给一个 share 的情况下直接恢复 secret 并解出 AES 密钥。

Hack.lu CTF Lattice Cryptanalysis

Hack.lu CTF 2021 - lwsr 题解

题目核心不是硬解整个 LWE，而是利用实现 bug 造成的 bit leak，先恢复 LFSR 状态再批量判定密文位。

RaRCTF Secret Sharing

RaRCTF 2021 - Shamir's Stingy Sharing 题解

把求值接口当成大整数进位系统来利用，直接从一次查询里得到 `poly[0]`，再复现随机流解密 flag。

DCTF Classical Cryptanalysis

DCTF 2021 - A Simple SP Box! 题解

通过 chosen-plaintext 先恢复 substitution，再逆掉 odd/even 置换轮次，还原整条 flag。

0x41414141 CTF Classical Cryptanalysis

0x41414141 CTF 2021 - Soul's Permutation Network 题解

这是一道标准线性分析题：先做 LAT，再沿置换跟踪 mask，用大量明密文对统计最后一轮子密钥偏差。

zer0pts CTF Oracle Attack

zer0pts CTF 2021 - 3-AES 题解

利用可控解密 oracle 先拆掉最外层 CFB，再对剩余两层做 meet-in-the-middle 恢复三把低熵 AES key。

DiceCTF Garbled Circuits

DiceCTF 2021 - garbled 题解

从 garbled table 里的 validation ciphertext 入手，对 24 bit label key 做 meet-in-the-middle 恢复电路标签。

Aero CTF Lattice Cryptanalysis

Aero CTF 2020 - Magic II 题解

前半段把 `A*s+e=b mod q` 还原成 CVP 来做，后半段再用 Z3 补出 RNG 初始状态并解出 flag。

SCTF-XCTF Lattice Cryptanalysis

SCTF-XCTF 2020 - Lattice 题解

题目本质是标准的 NTRU lattice attack，构造 `2n x 2n` 格基后用 LLL 直接把私钥候选规约出来。

zer0pts CTF Secret Sharing

zer0pts CTF 2020 - dirty laundry 题解

从 `g = 1 + key * n` 的特殊结构入手恢复 PRNG 输出，剥掉 Paillier 随机项和 noise，再还原二次多项式常数项。