从实战出发:手把手教你用Python脚本爆破CTF逆向中的TEA、RC4和SM4加密
CTF逆向实战:Python脚本爆破TEA/RC4/SM4加密的深度解析
1. 加密算法逆向的核心挑战
在CTF逆向工程中,遇到加密算法往往是解题的关键突破口。TEA、RC4和SM4作为常见的加密算法,其标准实现和魔改变种频繁出现在各类赛事中。逆向工程师需要掌握以下核心技能:
- 算法特征识别:通过反汇编代码识别加密算法类型
- 关键参数定位:确定delta值、密钥调度、S盒初始化等核心参数
- 脚本调试能力:快速修改和调试解密脚本适应题目特例
实战经验:比赛中80%的加密题目都会对标准算法进行修改,可能是轮次变化、运算替换或参数调整
2. TEA系列算法实战破解
2.1 TEA算法特征识别
TEA(Tiny Encryption Algorithm)的典型特征包括:
// 标准TEA加密核心代码 void tea_encrypt(uint32_t v[2], uint32_t const k[4]) { uint32_t v0=v[0], v1=v[1], sum=0, delta=0x9E3779B9; for(int i=0; i<32; i++) { sum += delta; v0 += ((v1<<4) + k[0]) ^ (v1 + sum) ^ ((v1>>5) + k[1]); v1 += ((v0<<4) + k[2]) ^ (v0 + sum) ^ ((v0>>5) + k[3]); } v[0]=v0; v[1]=v1; }2.2 魔改TEA的应对策略
比赛中常见的TEA变种包括:
| 修改类型 | 典型变化 | 破解方法 |
|---|---|---|
| 轮次调整 | 16/64轮替代标准32轮 | 修改解密脚本的循环次数 |
| Delta值变化 | 使用非标准0x9E3779B9 | 逆向计算题目中的实际delta值 |
| 运算替换 | 加减法替换异或操作 | 保持加密/解密运算对称性 |
2.3 Python解密脚本模板
def tea_decrypt(v, k, delta=0x9E3779B9, rounds=32): v0, v1 = v[0], v[1] sum = (delta * rounds) & 0xFFFFFFFF for _ in range(rounds): v1 -= ((v0<<4)+k[2])^(v0+sum)^((v0>>5)+k[3]) v1 &= 0xFFFFFFFF v0 -= ((v1<<4)+k[0])^(v1+sum)^((v1>>5)+k[1]) v0 &= 0xFFFFFFFF sum -= delta sum &= 0xFFFFFFFF return [v0, v1]3. RC4算法深度剖析
3.1 RC4算法特征识别
RC4的核心是密钥调度算法(KSA)和伪随机生成算法(PRGA):
# 标准RC4初始化 def rc4_init(S, K): j = 0 for i in range(256): j = (j + S[i] + K[i % len(K)]) % 256 S[i], S[j] = S[j], S[i]3.2 常见魔改方式及对策
- S盒初始化修改:前16字节固定值替换
- 密钥调度调整:改变密钥混合方式
- 输出过滤:丢弃前N字节输出
3.3 动态调试技巧
# RC4动态调试模板 def debug_rc4(cipher, key): S = list(range(256)) # KSA阶段 j = 0 for i in range(256): j = (j + S[i] + key[i % len(key)]) % 256 S[i], S[j] = S[j], S[i] print(f"KSA i={i}: S[{i}]<->S[{j}]") # PRGA阶段 i = j = 0 plain = [] for k in range(len(cipher)): i = (i + 1) % 256 j = (j + S[i]) % 256 S[i], S[j] = S[j], S[i] t = (S[i] + S[j]) % 256 plain.append(cipher[k] ^ S[t]) print(f"PRGA byte {k}: out={plain[-1]:02x}") return bytes(plain)4. SM4国密算法实战
4.1 SM4算法特征
SM4作为国密标准算法,其特点包括:
- 32轮非线性迭代结构
- 128位分组长度
- 固定FK和CK值
4.2 识别关键点
# SM4关键参数 FK = [0xa3b1bac6, 0x56aa3350, 0x677d9197, 0xb27022dc] CK = [ 0x00070e15, 0x1c232a31, 0x383f464d, 0x545b6269, 0x70777e85, 0x8c939aa1, 0xa8afb6bd, 0xc4cbd2d9, # ...完整CK表共32个 ]4.3 Python解密实现
from gmssl.sm4 import CryptSM4 def sm4_decrypt(cipher, key, iv=None): crypt_sm4 = CryptSM4() if iv: # CBC模式 crypt_sm4.set_key(key, CryptSM4.DECRYPT) return crypt_sm4.crypt_cbc(iv, cipher) else: # ECB模式 crypt_sm4.set_key(key, CryptSM4.DECRYPT) return crypt_sm4.crypt_ecb(cipher)5. 综合调试技巧
5.1 动态Hook技术
使用Frida进行运行时Hook:
// Frida脚本示例:Hook加密函数 Interceptor.attach(Module.findExportByName(null, "tea_encrypt"), { onEnter: function(args) { console.log("TEA加密输入:"); console.log(hexdump(args[0], { length: 8 })); console.log("密钥:"); console.log(hexdump(args[1], { length: 16 })); }, onLeave: function(retval) { console.log("加密结果:"); console.log(hexdump(retval, { length: 8 })); } });5.2 自动化爆破框架
import itertools def brute_force_tea(cipher, known_plain, delta_range=(0,0xFFFFFFFF)): for delta in range(*delta_range): for key in itertools.product(range(256), repeat=16): key_bytes = bytes(key) decrypted = tea_decrypt(cipher, key_bytes, delta) if decrypted[:len(known_plain)] == known_plain: return delta, key_bytes return None6. 实战案例分析
6.1 TEA魔改案例
某CTF题目对TEA做了如下修改:
- 使用0xD33B470替代标准delta
- 加密轮次减少到16轮
- 添加了额外的异或操作
破解脚本调整:
def modified_tea_decrypt(v, k): v0, v1 = v[0], v[1] delta = 0xD33B470 sum = (delta * 16) & 0xFFFFFFFF for _ in range(16): v1 -= ((v0<<4)+k[2])^(v0+sum)^((v0>>5)+k[3]) v1 &= 0xFFFFFFFF v0 -= ((v1<<4)+k[0])^(v1+sum)^((v1>>5)+k[1]) v0 &= 0xFFFFFFFF sum -= delta sum &= 0xFFFFFFFF return [v0^0xDEADBEEF, v1^0xCAFEBABE] # 额外异或7. 进阶技巧与资源
7.1 性能优化技巧
- 使用C扩展加速Python解密
- 多进程并行爆破
- 预计算S盒加速RC4
7.2 推荐学习资源
- 《加密与解密》实战指南
- IDA Pro反汇编深度分析
- 各大CTF赛事历史题目Writeup
在实际比赛中,遇到加密算法不要慌张,先确定算法类型,再分析魔改点,最后调整标准解密脚本。记住,逆向工程的核心是理解而非记忆,掌握算法原理比收集脚本更重要。