RsaCtfTool：自动化RSA攻击的瑞士军刀，CTF与安全研究必备

1. 项目概述：为什么你需要RsaCtfTool？

如果你在CTF（Capture The Flag）竞赛、渗透测试或者日常安全研究中，遇到过RSA加密的题目或场景，那你大概率体会过那种“手里有锁，却找不到钥匙”的焦灼感。RSA作为一种非对称加密算法，其安全性建立在“大数分解”这一数学难题之上。但在实际的安全挑战中，出题人往往会故意设置一些“脆弱”的参数，或者利用一些不规范的实现，为攻击者留下可乘之隙。手动去推导这些攻击方式，需要深厚的数论功底和大量的时间。

这时，RsaCtfTool（RSA CTF Tool）就登场了。它不是什么官方工具，而是一个由安全社区爱好者用Python编写的“瑞士军刀”式工具集。它的核心价值在于，将十几种针对RSA的经典攻击方法自动化、集成化。你不需要完全理解每一种攻击背后复杂的数学原理（当然，理解更好），只需要提供你手头已有的线索——可能是一个公钥文件（.pem或.key），一段密文，甚至只是几个泄露的参数（如n, e, c）——它就能尝试多种攻击路径，帮你快速找到私钥或直接解密。

简单来说，它把“密码分析”这个高门槛的技术活，变成了一个“输入线索，尝试攻击”的流程化操作。对于CTF选手，它是刷题利器；对于安全研究员，它是快速验证猜想的好帮手；对于开发者，它也是一面镜子，可以审视自己实现的RSA是否足够健壮。

2. 核心攻击模式与原理浅析

RsaCtfTool的强大，源于它集成了对RSA算法各种已知弱点的利用。要有效使用它，你需要对常见的攻击模式有个基本的概念。这能帮助你在工具输出一堆信息时，知道发生了什么，而不仅仅是复制粘贴命令。

2.1 公钥解析与信息提取

这是所有攻击的起点。给你一个public.pem文件，你能从中得到什么？RSA公钥本质上包含两个核心参数：

• n (modulus)：一个大整数，是两个大素数p和q的乘积，即n = p * q。这是RSA安全的基石。
• e (public exponent)：公钥指数，通常是一个较小的素数，如65537 (0x10001)。

使用RsaCtfTool的第一步，往往就是解析公钥，提取出n和e。工具内部使用pycryptodome或rsa库来完成这个工作。这一步本身不构成攻击，但却是后续所有攻击的“弹药准备”。

2.2 暴力分解攻击

这是最直观的攻击：如果n不够大，或者质量不好（比如p和q非常接近），那么现代计算机完全有可能在可接受的时间内暴力分解n。一旦成功分解出p和q，整个RSA体系就土崩瓦解，私钥d可以立刻计算出来。

RsaCtfTool集成了多种分解方法：

• 本地暴力尝试：对于非常小的n（比如小于256位），工具会尝试一些简单的分解算法。
• 查询在线数据库：最常用的是factordb.com。这是一个收集了海量整数分解结果的社区数据库。工具可以自动将n提交到该网站查询，如果之前有人分解过这个n，或者它恰好是某个已知的素数，就能瞬间得到p和q。这在CTF中极为常见，因为出题人经常使用现成的或故意从数据库里挑选的n。
• 使用yafu等高效分解工具：对于更大的n（如512位、768位），如果factordb没有记录，工具可以调用本地的yafu（另一个强大的因数分解程序）进行更深度的尝试。

注意：对于1024位及以上的现代标准RSA密钥，暴力分解在常规计算资源下是不可行的。CTF题目中的n通常被刻意控制在可分解的范围内。

2.3 基于已知部分私钥的攻击

这类攻击假设攻击者通过某种方式（如侧信道、错误注入、部分内存泄露）获得了私钥d的一部分信息，然后利用这些信息恢复完整的私钥。RsaCtfTool实现了相关的攻击算法，但这在标准CTF中不如前一种常见。

2.4 共模攻击

想象一个场景：同一段明文m，用相同的n但不同的公钥指数e1和e2进行加密，得到了两个密文c1和c2。即：c1 = m^e1 mod nc2 = m^e2 mod n

如果e1和e2互素（通常如此），那么攻击者可以在不知道私钥d的情况下，利用扩展欧几里得算法恢复出明文m。RsaCtfTool可以自动识别这种场景并执行攻击。

2.5 低加密指数攻击

当公钥指数e非常小（比如3），并且明文m也很小，使得m^e < n时，加密操作c = m^e mod n实际上就等于m^e（因为取模n没有起作用）。那么，攻击者直接对密文c开e次方根，就能得到明文m。 例如，e=3,c=27，那么m = 3√27 = 3。 即使m^e比n大一点，导致取模生效，也有相关的攻击方法（如Coppersmith攻击）。RsaCtfTool能处理这类情况。

2.6 维纳攻击

这是一种针对私钥指数d过小的攻击。如果d太小（相对于n的大小），那么私钥d可以通过连分数展开的方法从公钥(n, e)中高效地恢复出来。这提醒我们，在生成RSA密钥时，d不能选得太小。

3. 环境部署与基础使用

工欲善其事，必先利其器。虽然RsaCtfTool是Python脚本，但它的运行依赖一些数学库和外部工具。

3.1 安装与依赖处理

最推荐的方式是通过Git克隆项目仓库，并使用Python的虚拟环境。

# 1. 克隆仓库 git clone https://github.com/Ganapati/RsaCtfTool.git cd RsaCtfTool # 2. 创建并激活虚拟环境（推荐） python3 -m venv venv source venv/bin/activate # Linux/macOS # venv\Scripts\activate # Windows # 3. 安装依赖 pip install -r requirements.txt

安装过程中最常见的坑是pycryptodome或gmpy2安装失败。

• gmpy2安装失败：这是一个高性能数学库，其安装需要系统级的开发工具和GMP库。
  • Ubuntu/Debian:sudo apt-get install libgmp-dev libmpfr-dev libmpc-dev
  • CentOS/RHEL:sudo yum install gmp-devel mpfr-devel libmpc-devel
  • macOS:brew install gmp mpfr libmpc安装好系统依赖后，再重新pip install gmpy2。
• 工具路径问题：RsaCtfTool会尝试调用外部工具如yafu、rsactftool（另一个版本）。你需要确保这些工具在系统的PATH环境变量中，或者修改工具的源代码指定其绝对路径。对于初学者，可以暂时不安装yafu，factordb在线查询通常就够用了。

3.2 核心命令格式解析

安装成功后，核心命令是python3 RsaCtfTool.py，后面跟上各种参数。我们来拆解最常用的几个：

1. 解析公钥，提取信息：

   python3 RsaCtfTool.py --publickey ./public.pem --dumpkey

   --publickey：指定公钥文件。--dumpkey：打印出n, e, 以及n的十进制、十六进制、Base64等多种格式。这是你的“侦查”步骤。

2. 尝试自动攻击（最常用）：

   python3 RsaCtfTool.py --publickey ./public.pem --private

   --private：这个参数告诉工具：“我的目标是恢复私钥”。工具会自动按顺序尝试多种攻击（如检查n是否可在线分解、尝试维纳攻击、检查是否为Fermat素数等），如果成功，会直接输出私钥的PEM格式。

3. 已知n和e，直接攻击： 很多时候你没有公钥文件，只有从代码或网络流量中提取出的n和e。

   python3 RsaCtfTool.py -n 123456789... -e 65537 --private

   -n：指定模数n（十进制或十六进制，十六进制需加0x前缀）。-e：指定公钥指数e。

4. 已知n、e、c，直接解密： 这是CTF中最经典的场景：题目给你n, e, c，让你求明文m。

   python3 RsaCtfTool.py -n 123456789... -e 65537 --uncipher 0xabcdef...

   --uncipher：指定密文c（十进制或十六进制）。工具会先尝试恢复私钥，然后用私钥解密c，最后尝试将解密后的数字转换为可读字符串（如ASCII或UTF-8）。

5. 使用特定攻击方法： 如果你根据题目描述，已经猜到可能是某种特定攻击（比如共模攻击），可以指定方法以提高效率。

   python3 RsaCtfTool.py --publickey1 key1.pem --publickey2 key2.pem --uncipher1 cipher1.txt --uncipher2 cipher2.txt --attack common_modulus

   --attack：指定攻击模式，如common_modulus（共模）、wiener（维纳）、smallq（小素数q）等。

4. 实战案例拆解：从题目到flag

理论说再多，不如实战走一遭。我们通过几个模拟CTF题目场景，来看看RsaCtfTool如何大显身手。

4.1 案例一：公钥分解（最基础）

题目描述：你获得了一个RSA公钥文件pubkey.pem和一段密文cipher.bin。已知加密使用的标准是PKCS#1 v1.5。

解题步骤：

1. 侦查：首先查看公钥信息。

   python3 RsaCtfTool.py --publickey pubkey.pem --dumpkey

   输出可能包含：

   [+] n: 12345678901234567890... [+] e: 65537 [+] Size: 256 bits

   看到n只有256位（约77位十进制），这强烈暗示n是可分解的。

2. 攻击：直接尝试恢复私钥。

   python3 RsaCtfTool.py --publickey pubkey.pem --private

   工具会自动进行以下操作：

   • 提取n和e。
   • 将n提交到factordb查询。
   • 很可能瞬间返回结果，分解出p和q。
   • 计算私钥d，并输出完整的PEM格式私钥到当前目录（通常命名为private.pem或类似）。

3. 解密：使用得到的私钥解密。

   # 方法一：使用openssl（如果密文是二进制文件） openssl rsautl -decrypt -inkey private.pem -in cipher.bin -out flag.txt # 方法二：如果密文是写在文件里的一个数字（十六进制或十进制），可以用RsaCtfTool直接解密 # 假设cipher.txt里写着密文c python3 RsaCtfTool.py --key private.pem --uncipher `cat cipher.txt`

   打开flag.txt，你就能看到明文flag。

实操心得：遇到RSA题，第一步永远是--dumpkey看n的位数。小于512位的，直接--private，90%的简单题到此结束。私钥文件务必保存好，它可能用于解密多个密文。

4.2 案例二：已知n、e、c（无公钥文件）

题目描述：题目源码给出了三个数字：

n = 0x726639... e = 65537 c = 0x3a2e...

求明文。

解题步骤： 这种情况更直接，连公钥文件都没有。

python3 RsaCtfTool.py -n 0x726639... -e 65537 --uncipher 0x3a2e...

工具会：

1. 将十六进制的n和c转换为整数。
2. 尝试攻击（首要步骤是查询factordb分解n）。
3. 如果攻击成功，直接用计算出的私钥解密c。
4. 尝试将解密后的整数转换为字节字符串（ASCII/UTF-8等）。
5. 最终输出很可能就是flag字符串。

常见问题：如果输出的是一串数字而不是可读文本怎么办？

• 这可能因为解密后的数据本身不是字符串，或者编码方式不对。工具会尝试多种转换。你可以手动将解密得到的整数（工具输出中会包含）进行转换：

  # 假设解密后的整数是 m_int import binascii # 尝试转为16进制再转字节 hex_str = hex(m_int)[2:] # 去掉'0x' if len(hex_str) % 2: hex_str = '0' + hex_str # 补零 bytes_data = binascii.unhexlify(hex_str) print(bytes_data) # 或者直接转字节 from Crypto.Util.number import long_to_bytes print(long_to_bytes(m_int))

  有时flag可能藏在转换后的字节里，需要仔细查看。

4.3 案例三：共模攻击

题目描述：同一段明文，用相同的n但不同的e1和e2加密，得到了c1和c2。提供了两个公钥文件pubkey1.pem、pubkey2.pem和两个密文文件cipher1.txt、cipher2.txt。

解题步骤： 共模攻击是RsaCtfTool的拿手好戏。

python3 RsaCtfTool.py --publickey1 pubkey1.pem --publickey2 pubkey2.pem --uncipher1 `cat cipher1.txt` --uncipher2 `cat cipher2.txt` --attack common_modulus

或者，如果你已经提取出n, e1, e2, c1, c2，也可以：

python3 RsaCtfTool.py -n <n_value> -e <e1_value> --uncipher <c1_value> --attack common_modulus -n2 <n_value> -e2 <e2_value> --uncipher2 <c2_value>

工具会执行共模攻击算法，直接输出恢复的明文。

注意事项：共模攻击成立的前提是两个e互素（gcd(e1, e2) = 1）。RsaCtfTool在攻击前会检查这一点。如果题目给的e1和e2不互素（比如都是偶数），那么这个攻击路径就行不通，需要考虑其他漏洞。

4.4 案例四：低加密指数攻击（e=3）

题目描述：公钥指数e=3，n很大，但密文c看起来比较小。

解题步骤：

python3 RsaCtfTool.py --publickey pubkey.pem --uncipher <c_value> --attack small_e

或者指定e=3：

python3 RsaCtfTool.py -n <n_value> -e 3 --uncipher <c_value> --attack small_e

工具会尝试对密文c开三次方根（在整数域），如果m^3 < n，那么c = m^3，开方后直接得到m。如果开方后不是整数，或者结果无意义，它会尝试使用Coppersmith等更高级的方法进行小根求解。

5. 高级技巧与疑难排错

当你熟练了基本操作，下面这些技巧和排错经验能帮你解决更复杂的问题。

5.1 处理多种输入格式

密文和密钥不一定总是规整的文件。你需要灵活处理：

• 密文是十进制/十六进制字符串：直接作为参数传递给--uncipher。十六进制记得加0x。
• 密文是Base64编码：先解码成字节，再转换成整数。

  # 假设cipher.b64是Base64密文 base64 -d cipher.b64 > cipher.bin # 然后将cipher.bin转换为整数，或者如果工具支持，可以直接用--uncipherfile python3 RsaCtfTool.py --publickey pubkey.pem --uncipherfile cipher.bin

• 公钥是SSH格式(ssh-rsa AAAAB3NzaC1yc2E...)：需要先转换为标准的PEM格式。

  ssh-keygen -f id_rsa.pub -e -m pem > public.pem

• 只有n和e，没有公钥文件：直接用-n和-e参数，这是最常用的方式。

5.2 应对复杂的多步加密或编码

CTF题目不会总是让你直接解密就出flag。常见的套路有：

1. 解密后是Base64/Hex：RsaCtfTool解密输出整数后，你需要手动将其转换为字节，然后判断是否是Base64或Hex字符串，再进行二次解码。
2. 解密后是另一个RSA的密钥或参数：这就是所谓的“套娃”题。第一步解密得到的数据，可能包含另一个n、e、c。你需要写脚本自动化这个过程，或者手动重复使用RsaCtfTool。
3. 明文经过填充：如果使用了OAEP等填充方案，直接解密得到的字节串开头会有乱码。你需要知道填充模式，并在解密时指定（openssl命令可以指定填充方式）。RsaCtfTool默认处理的是无填充或简单转换，对于复杂填充，可能需要用其他库（如pycryptodome）配合私钥进行解密。

5.3 常见错误与解决方案

5.4 效率优化与资源管理

• 离线使用Factordb：Factordb的在线查询有时会慢或失败。你可以将n复制到浏览器，手动访问http://factordb.com/index.php?query=<你的n>查询，然后将分解得到的p和q通过-p和-q参数直接提供给工具。

  python3 RsaCtfTool.py -n <n> -e <e> -p <p> -q <q> --private

• 慎用重型分解：--attack siqs（二次筛法）或--attack ecm（椭圆曲线法）会调用yafu，对较大的n（如>100位十进制）可能耗费极长时间甚至不可能完成。在CTF场景下，这通常不是预期解法。
• 编写自动化脚本：如果你需要批量处理多个类似题目，可以基于RsaCtfTool的Python API进行调用，而不是每次都通过命令行。查看其源码，你会发现核心功能都封装在RsaCtfTool.py的类和函数中，可以import后使用。

RsaCtfTool就像一把多功能扳手，它能帮你拧开RSA密码世界里大多数常见的“螺丝”。但它不是万能的，其威力边界在于已知的、已实现的攻击方法。理解每种攻击背后的原理，能让你在工具失效时，自己找到新的突破口。毕竟，CTF和安全研究的乐趣，不仅在于拿到flag的那一刻，更在于拆解和征服复杂系统的过程。下次遇到RSA，别急着硬算，先问问自己：“我的瑞士军刀，今天该用哪一招？”