一周参加培训，看见群里这个附件，后来问了大姥，此题确实有问题。在整理后终于明白怎么加事。

原题通过一个3参2变量的LCG对flag进行加密（每次两字符），但给出的是完整32位，并给出其中一个seed值，经运算这个给出的值不正确。不过由于给出的是完整的32位结果，所以可以直接算出参数。

加密是通过flag每4字节再来seed右移16位得到（密文前两字节可直接得到）

from Crypto.Util.number import*
from secret import flag

assert(flag[0:5]==b"flag{" )
assert(flag[-1:]==b"}" )
flag = flag[7:-1]
print(len(flag))


class LCG:
    def __init__(self):
        self.a = getRandomNBitInteger(32)
        self.b = getRandomNBitInteger(32)
        self.c = getRandomNBitInteger(32)
        self.m = getPrime(32)
        self.seed1 = getRandomNBitInteger(32)
        self.seed2 = getRandomNBitInteger(32)

    def next(self):
        tmp = self.seed2
        self.seed2 = (self.a*self.seed1+self.b*self.seed2 +self.c) % self.m
        self.seed1 = tmp
        #return self.seed2 >> 16
        return self.seed2   #从给出的T来看，是32位的

    def output(self):
        print("m = {}".format(self.m))
        print("self.seed1= {}".format(self.seed1))
        print("self.seed2= {}".format(self.seed2))

L = LCG()
T = [0]

#这里需要经过k次叠代，原题未给出叠代过程
for k in range(random(10)):
    T.append(L.next())

#L.output()   在经过k次叠代后输出，并不重要，没有意思，但显然并不是第1次的结果

for i in range(9):
    tmp = bytes_to_long(flag[i*4:i*4+4])
    tt = L.next()
    T.append(tt)
    print(tmp^(tt>>16))  #由于给出的tt并不是16位而是完整的32位，加密时使用的应该是16位
print(T[:6])
print("Have a good time!")

'''
m = 3533156827
seed1 = 2970464585
seed2 = 3350124366
enc = [909619317, 912378641, 761422938, 841844503, 1701111746, 1701194992, 959752815, 892545567, 1667598316]
T = [0,3180180532,86337434,1850726346,2970464585,3350124366]
'''

这题由于给出了seed1,seed2所以显得很难理解，如果加上前部叠代次数就很正常了

由于给出6个完整的结果，可以直接算出参数a,b,c再通过叠代k次得到加密序列

m = 3533156827
seed1 = 2970464585
seed2 = 3350124366
enc = [909619317, 912378641, 761422938, 841844503, 1701111746, 1701194992, 959752815, 892545567, 1667598316]
T = [0,3180180532,86337434,1850726346,2970464585,3350124366]
T = T[1:]

#先用groebner_basis求参
#这里还用不到seed1,seed2 
P.<a,b,c,s1,s2>=GF(m)[]
F = []
#F.append(s1 - seed1)  #从原题看这里不是seed1,seed2
#F.append(s2 - seed2)
for i in range(len(T)):
    s1,s2 = s2, a*s1 + b*s2 + c 
    F.append(s2 - T[i])

I = Ideal(F).groebner_basis()
print(I)
# 求解参数a b c
res=[x.constant_coefficient() for x in I]
a = -res[0]%m
b = -res[1]%m 
c = -res[2]%m 
#a,b,c = 3222280379, 2578155191, 3272724155

然后可以用这个seed1,seed2算后边的加密序列，从而解密

from Crypto.Util.number import long_to_bytes as l2b

#使enc^^T[n]为UUID
s1,s2 = seed1,seed2 
flag = b''
for i in range(9):
    s1,s2 = s2,a*s1 + b*s2 + c  
    print(s2)
    flag += l2b(enc[i]^^(int(s2)>>16))

print(flag)
#flag{67456ac9-b362-11ed-aef7-94085339ce84}