ACSC CTF 2024 - HackMD

# ACSC CTF 2024 ## RSA STREAM 2 Source code của chall như sau ```python from Crypto.Util.number import getPrime import random import re p = getPrime(512) q = getPrime(512) e = 65537 n = p * q d = pow(e, -1, (p - 1) * (q - 1)) m = random.randrange(2, n) c = pow(m, e, n) text = open(__file__, "rb").read() ciphertext = [] for b in text: o = 0 for i in range(8): bit = ((b >> i) & 1) ^ (pow(c, d, n) % 2) c = pow(2, e, n) * c % n o |= bit << i ciphertext.append(o) open("chal.py.enc", "wb").write(bytes(ciphertext)) redacted = re.sub("flag = \"ACSC{(.*)}\"", "flag = \"ACSC{*REDACTED*}\"", text.decode()) open("chal_redacted.py", "w").write(redacted) print("n =", n) # flag = "ACSC{*REDACTED*}" ``` Output.txt ```shell n = 106362501554841064194577568116396970220283331737204934476094342453631371019436358690202478515939055516494154100515877207971106228571414627683384402398675083671402934728618597363851077199115947762311354572964575991772382483212319128505930401921511379458337207325937798266018097816644148971496405740419848020747 ``` [**chal.py.enc**](https://github.com/trananhnhatviet/trananhnhatviet.github.io/blob/main/_data/chal.py.enc) Bây giờ, ta sẽ phân tích code ```python from Crypto.Util.number import* import random import re p = getPrime(512) q = getPrime(512) e = 65537 n = p * q d = pow(e, -1, (p - 1) * (q - 1)) m = random.randrange(2, n) c = pow(m, e, n) text = open(__file__, "rb").read() print(text) ``` Sau khi chạy code này, ta thu được đoạn dữ liệu chính là cái code đó lun. Tức là, Flag sẽ trong file source, và các ký tự trong text chính là ký tự trong source code gốc. ```python for b in text: o = 0 for i in range(8): bit = ((b >> i) & 1) ^ (pow(c, d, n) % 2) c = pow(2, e, n) * c % n o |= bit << i ciphertext.append(o) ``` **((b >> i) & 1)** sẽ lấy bit thứ i từ phải qua trái của b **(pow(c, d, n) % 2)** sẽ là giá trị của m%2. **c = pow(2, e, n) * c % n**. Ta nên chú ý vào điều này, vì c sau khi chạy dòng lệnh này, thì khi giải mã với khóa d, thì sẽ là thành 2m. Bạn có thể đọc thêm tại đây [**Decipher oracle**](https://bitsdeep.com/posts/attacking-rsa-for-fun-and-ctf-points-part-1/) **o |= bit << i** sẽ là thêm bit vào giá trị 0 từ phải qua trái. Nếu bạn khó hiểu có thể dựa vào minh họa này ![image](https://hackmd.io/_uploads/ByLbM0Yy0.png) Lần lượt từ 7 về 1 và dồn vào giá trị o. Bây giờ, ta phải recover lại giá trị của m bằng cách sử dụng cách tấn công [**LSB**](https://hackmd.io/GfqWlcYsTlS9zsT2asU-tA#Parity-Oracle) Thế nhưng, ở ký tự ``f``, thì giá trị m chưa có được nhân 2, thế nên, ta sẽ bỏ ký tự đầu tiên của file enc và file source, lấy bắt đầu từ ký tự ``r`` trong chữ ``from``. Sau đó sẽ lấy từng bit của 2 file kia, xor lại rồi lấy giá trị cuối của m y như tấn công LSB. ```python from Crypto.Util.number import* with open('chal.py.enc', "rb") as file: o = file.read() with open('chal_redacted.py', "rb") as file: text = file.read() n = 106362501554841064194577568116396970220283331737204934476094342453631371019436358690202478515939055516494154100515877207971106228571414627683384402398675083671402934728618597363851077199115947762311354572964575991772382483212319128505930401921511379458337207325937798266018097816644148971496405740419848020747 lb = 0 ub = n count = 1 while True: for i in range(8): a = (text[count] >> i) & 1 b = (o[count >> i]) & 1 last_bit = a^b if last_bit == 0: ub = ((ub + lb )//2) else: lb = ((ub+lb)//2) if (ub - lb) < 1: print(lb,ub) break count += 1 ``` Ta được giá trị gần đúng của m. Bây giờ, ta sẽ brute m trong phạm vị nhỏ. Rồi làm tương tự như source challenge thôi. Tuy nhiên, mình vẫn phải bỏ ký tự đầu đi, thế nên ta sẽ nhân 2 với m trước rồi mới mod cho 2. ```python from Crypto.Util.number import* with open('chal.py.enc', "rb") as file: o = file.read() with open('chal_redacted.py', "rb") as file: text = file.read() n = 106362501554841064194577568116396970220283331737204934476094342453631371019436358690202478515939055516494154100515877207971106228571414627683384402398675083671402934728618597363851077199115947762311354572964575991772382483212319128505930401921511379458337207325937798266018097816644148971496405740419848020747 lb = 0 ub = n count = 1 while True: for i in range(8): a = (text[count] >> i) & 1 b = (o[count] >> i) & 1 last_bit = a^b if last_bit == 0: ub = ((ub + lb )//2) else: lb = ((ub + lb)//2) if (ub - lb) < 1: print(lb,ub) break count += 1 for real_m in range(lb, ub + 200): ciphertext = [] for i in range(1, len(o)): x = 0 for j in range(8): real_m = (real_m*2)%n bit = ((o[i] >> j) & 1) ^ (real_m%2) x |= bit << j ciphertext.append(x) if b'ACSC' in bytes(ciphertext): print(real_m) print(bytes(ciphertext).decode()) break ``` **Flag: ACSC{RSA_is_not_for_the_stream_cipher_bau_bau}** ## Strongest OAEP ```python from Crypto.Cipher import PKCS1_OAEP from Crypto.PublicKey import RSA from Crypto.Util.number import * import os flag = b"ACSC{___REDACTED___}" def strongest_mask(seed, l): return b"\x01"*l def strongest_random(l): x = bytes_to_long(os.urandom(1)) & 0b1111 return long_to_bytes(x) + b"\x00"*(l-1) f = open("strongest_OAEP.txt","w") key = RSA.generate(2048,e=13337) c_buf = -1 for a in range(2): OAEP_cipher = PKCS1_OAEP.new(key=key,randfunc=strongest_random,mgfunc=strongest_mask) while True: c = OAEP_cipher.encrypt(flag) num_c = bytes_to_long(c) if c_buf == -1: c_buf = num_c else: if c_buf == num_c:continue break f.write("c: %d\n" % num_c) f.write("e: %d\n" % key.e) f.write("n: %d\n" % key.n) OAEP_cipher = PKCS1_OAEP.new(key=key,randfunc=strongest_random,mgfunc=strongest_mask) dec = OAEP_cipher.decrypt(c) assert dec == flag # wow, e is growing! d = pow(31337,-1,(key.p-1)*(key.q-1)) key = RSA.construct( ((key.p * key.q), 31337, d) ) ``` ``` c: 13412188923056789723463018818435903148553225092126449284011226597847469180689010500205036581482811978555296731975701940914514386095136431336581120957243367238078451768890612869946983768089205994163832242140627878771251215486881255966451017190516603328744559067714544394955162613568906904076402157687419266774554282111060479176890574892499842662967399433436106374957988188845814236079719315268996258346836257944935631207495875339356537546431504038398424282614669259802592883778894712706369303231223163178823585230343236152333248627819353546094937143314045129686931001155956432949990279641294310277040402543835114017195 e: 13337 n: 22233043203851051987774676272268763746571769790283990272898544200595210865805062042533964757556886045816797963053708033002519963858645742763011213707135129478462451536734634098226091953644783443749078817891950148961738265304229458722767352999635541835260284887780524275481187124725906010339700293644191694221299975450383751561212041078475354616962383810736434747953002102950194180005232986331597234502395410788503785620984541020025985797561868793917979191728616579236100110736490554046863673615387080279780052885489782233323860240506950917409357985432580921304065490578044496241735581685702356948848524116794108391919 c: 2230529887743546073042569155549981915988020442555697399569938119040296168644852392004943388395772846624890089373407560524611849742337613382094015150780403945116697313543212865635864647572114946163682794770407465011059399243683214699692137941823141772979188374817277682932504734340149359148062764412778463661066901102526545656745710424144593949190820465603686746875056179210541296436271441467169157333013539090012425649531186441705611053197011849258679004951603667840619123734153048241290299145756604698071913596927333822973487779715530623752416348064576460436025539155956034625483855558580478908137727517016804515266 e: 31337 n: 22233043203851051987774676272268763746571769790283990272898544200595210865805062042533964757556886045816797963053708033002519963858645742763011213707135129478462451536734634098226091953644783443749078817891950148961738265304229458722767352999635541835260284887780524275481187124725906010339700293644191694221299975450383751561212041078475354616962383810736434747953002102950194180005232986331597234502395410788503785620984541020025985797561868793917979191728616579236100110736490554046863673615387080279780052885489782233323860240506950917409357985432580921304065490578044496241735581685702356948848524116794108391919 ``` Ta click chuột vào thư viện PKCS1_OAEP được source code như sau, hoặc bạn cũng có thể tìm hiểu tại đường [**LINK**](https://www.rfc-editor.org/rfc/rfc3447#section-7.1) ```python # -*- coding: utf-8 -*- # # Cipher/PKCS1_OAEP.py : PKCS#1 OAEP # # =================================================================== # The contents of this file are dedicated to the public domain. To # the extent that dedication to the public domain is not available, # everyone is granted a worldwide, perpetual, royalty-free, # non-exclusive license to exercise all rights associated with the # contents of this file for any purpose whatsoever. # No rights are reserved. # # THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, # EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF # MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND # NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS # BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN # ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN # CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE # SOFTWARE. # =================================================================== from Crypto.Signature.pss import MGF1 import Crypto.Hash.SHA1 from Crypto.Util.py3compat import bord, _copy_bytes import Crypto.Util.number from Crypto.Util.number import ceil_div, bytes_to_long, long_to_bytes from Crypto.Util.strxor import strxor from Crypto import Random class PKCS1OAEP_Cipher: """Cipher object for PKCS#1 v1.5 OAEP. Do not create directly: use :func:`new` instead.""" def __init__(self, key, hashAlgo, mgfunc, label, randfunc): """Initialize this PKCS#1 OAEP cipher object. :Parameters: key : an RSA key object If a private half is given, both encryption and decryption are possible. If a public half is given, only encryption is possible. hashAlgo : hash object The hash function to use. This can be a module under `Crypto.Hash` or an existing hash object created from any of such modules. If not specified, `Crypto.Hash.SHA1` is used. mgfunc : callable A mask generation function that accepts two parameters: a string to use as seed, and the lenth of the mask to generate, in bytes. If not specified, the standard MGF1 consistent with ``hashAlgo`` is used (a safe choice). label : bytes/bytearray/memoryview A label to apply to this particular encryption. If not specified, an empty string is used. Specifying a label does not improve security. randfunc : callable A function that returns random bytes. :attention: Modify the mask generation function only if you know what you are doing. Sender and receiver must use the same one. """ self._key = key if hashAlgo: self._hashObj = hashAlgo else: self._hashObj = Crypto.Hash.SHA1 if mgfunc: self._mgf = mgfunc else: self._mgf = lambda x,y: MGF1(x,y,self._hashObj) self._label = _copy_bytes(None, None, label) self._randfunc = randfunc def can_encrypt(self): """Legacy function to check if you can call :meth:`encrypt`. .. deprecated:: 3.0""" return self._key.can_encrypt() def can_decrypt(self): """Legacy function to check if you can call :meth:`decrypt`. .. deprecated:: 3.0""" return self._key.can_decrypt() def encrypt(self, message): """Encrypt a message with PKCS#1 OAEP. :param message: The message to encrypt, also known as plaintext. It can be of variable length, but not longer than the RSA modulus (in bytes) minus 2, minus twice the hash output size. For instance, if you use RSA 2048 and SHA-256, the longest message you can encrypt is 190 byte long. :type message: bytes/bytearray/memoryview :returns: The ciphertext, as large as the RSA modulus. :rtype: bytes :raises ValueError: if the message is too long. """ # See 7.1.1 in RFC3447 modBits = Crypto.Util.number.size(self._key.n) k = ceil_div(modBits, 8) # Convert from bits to bytes hLen = self._hashObj.digest_size mLen = len(message) # Step 1b ps_len = k - mLen - 2 * hLen - 2 if ps_len < 0: raise ValueError("Plaintext is too long.") # Step 2a lHash = self._hashObj.new(self._label).digest() # Step 2b ps = b'\x00' * ps_len # Step 2c db = lHash + ps + b'\x01' + _copy_bytes(None, None, message) # Step 2d ros = self._randfunc(hLen) # Step 2e dbMask = self._mgf(ros, k-hLen-1) # Step 2f maskedDB = strxor(db, dbMask) # Step 2g seedMask = self._mgf(maskedDB, hLen) # Step 2h maskedSeed = strxor(ros, seedMask) # Step 2i em = b'\x00' + maskedSeed + maskedDB # Step 3a (OS2IP) em_int = bytes_to_long(em) # Step 3b (RSAEP) m_int = self._key._encrypt(em_int) # Step 3c (I2OSP) c = long_to_bytes(m_int, k) return c def decrypt(self, ciphertext): """Decrypt a message with PKCS#1 OAEP. :param ciphertext: The encrypted message. :type ciphertext: bytes/bytearray/memoryview :returns: The original message (plaintext). :rtype: bytes :raises ValueError: if the ciphertext has the wrong length, or if decryption fails the integrity check (in which case, the decryption key is probably wrong). :raises TypeError: if the RSA key has no private half (i.e. you are trying to decrypt using a public key). """ # See 7.1.2 in RFC3447 modBits = Crypto.Util.number.size(self._key.n) k = ceil_div(modBits,8) # Convert from bits to bytes hLen = self._hashObj.digest_size # Step 1b and 1c if len(ciphertext) != k or k<hLen+2: raise ValueError("Ciphertext with incorrect length.") # Step 2a (O2SIP) ct_int = bytes_to_long(ciphertext) # Step 2b (RSADP) m_int = self._key._decrypt(ct_int) # Complete step 2c (I2OSP) em = long_to_bytes(m_int, k) # Step 3a lHash = self._hashObj.new(self._label).digest() # Step 3b y = em[0] # y must be 0, but we MUST NOT check it here in order not to # allow attacks like Manger's (http://dl.acm.org/citation.cfm?id=704143) maskedSeed = em[1:hLen+1] maskedDB = em[hLen+1:] # Step 3c seedMask = self._mgf(maskedDB, hLen) # Step 3d seed = strxor(maskedSeed, seedMask) # Step 3e dbMask = self._mgf(seed, k-hLen-1) # Step 3f db = strxor(maskedDB, dbMask) # Step 3g one_pos = hLen + db[hLen:].find(b'\x01') lHash1 = db[:hLen] invalid = bord(y) | int(one_pos < hLen) hash_compare = strxor(lHash1, lHash) for x in hash_compare: invalid |= bord(x) for x in db[hLen:one_pos]: invalid |= bord(x) if invalid != 0: raise ValueError("Incorrect decryption.") # Step 4 return db[one_pos + 1:] def new(key, hashAlgo=None, mgfunc=None, label=b'', randfunc=None): """Return a cipher object :class:`PKCS1OAEP_Cipher` that can be used to perform PKCS#1 OAEP encryption or decryption. :param key: The key object to use to encrypt or decrypt the message. Decryption is only possible with a private RSA key. :type key: RSA key object :param hashAlgo: The hash function to use. This can be a module under `Crypto.Hash` or an existing hash object created from any of such modules. If not specified, `Crypto.Hash.SHA1` is used. :type hashAlgo: hash object :param mgfunc: A mask generation function that accepts two parameters: a string to use as seed, and the lenth of the mask to generate, in bytes. If not specified, the standard MGF1 consistent with ``hashAlgo`` is used (a safe choice). :type mgfunc: callable :param label: A label to apply to this particular encryption. If not specified, an empty string is used. Specifying a label does not improve security. :type label: bytes/bytearray/memoryview :param randfunc: A function that returns random bytes. The default is `Random.get_random_bytes`. :type randfunc: callable """ if randfunc is None: randfunc = Random.get_random_bytes return PKCS1OAEP_Cipher(key, hashAlgo, mgfunc, label, randfunc) ``` Giờ mình copy ra một file python khác rồi import vào nha, chứ sửa thư viện là niệm á ní oii Giờ mình sẽ giải thích từng function nha. Ta thấy rằng, ``OAEP_cipher`` có thay đổi hai hàm đó là hàm ``strongest_mask`` và ``strongest_random``. Thì hai hàm này sẽ lần lượt là hàm ``mgfunc`` và ``randfunc``, thay thế các hàm mặc định trong thư viện. ![image](https://hackmd.io/_uploads/SyK9Sxi1A.png) Sau khi in ra thì ta biết được giá trị của ``dbMask`` và ``ros`` này không hề có liên quan tới nhau. ``ros`` sẽ 20 bytes, trong đó thì 19 bytes là ``\x00`` và 4 bit đầu là 0, chỉ có 4 bit tiếp theo trong byte đầu tiên là thay đổi random. Còn ``dbMask`` sẽ là 235 bytes ``\x01``. Quay lại trước đó, ta thấy có 1 giá trị là ``db = lHash + ps + b'\x01' + _copy_bytes(None, None, message)``. Thế nhưng, message là Flag của bài, còn giá trị ``lHash`` chính là Sha1 của byte rỗng vì không nhập giá trị label, thế nên, giá trị ``db`` này sẽ không thay đổi gì. Vì ``db`` không thay đổi, ``dbMask`` toàn là byte ``\x01``, thế nên giá trị ``maskedDB`` cũng sẽ không thay đổi giá trị lun. ![image](https://hackmd.io/_uploads/r1AnOgsJA.png) Và giá trị ``seedMask`` cũng thế lun, cũng là 1 cái mask toàn giá trị ``\x01`` vì sử dụng hàm ``strongest_mask``. ![image](https://hackmd.io/_uploads/HJ_VYxsk0.png) Thế nhưng, giá trị ``maskedSeed`` này sẽ bị thay đổi 4 bits vì xor với giá trị ``ros`` ở trên. ![image](https://hackmd.io/_uploads/BkYlcljyA.png) Và cuối cùng, sẽ mã hóa RSA với giá trị ``em = b'\x00' + maskedSeed + maskedDB``. Thế nhưng, nếu chạy code 2 lần thì 2 giá trị ``em`` chỉ khác nhau 4 bit thôi. ![image](https://hackmd.io/_uploads/rJxs5eiyC.png) Vậy là, hai lần mã hóa RSA, thì ta chỉ tăng giá trị e trong public key, ngoài ra chỉ thay đổi 4 bits. Giờ ta lại có ví dụ như sau ```python a = b'\x00\x06\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00' b = b'\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00' ``` Ta có hai giá trị 21 bytes chỉ khác nhau 4 bits ở byte thứ 2, thế thì 2 giá trị này hơn kém nhau bao nhiêu ??? Sẽ là $$(6-1)*2^{len(a)*8 - 16} = 5*2^{21*8-16}$$. Vì 16 bits đầu tiên không ảnh hưởng nên là phải bớt đi 16, còn lại sẽ lấy hiệu số của 2 byte khác nhau rồi nhân với 2 mũ số bits. Khó hiểu thì thêm ví dụ này nữa nhá ```python a = b'\x00\xff\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00' b = b'\x00\xa6\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00' ``` Cái này sẽ bằng $$(0xff-0xaa)*(2^{21*8-16})$$. Thế là trong bài sẽ là $$(i)*2^{2048-16}, i \in[-16,-15,...,15,16]$$ vì không biết cái nào hơn cái nào nên sẽ âm. Quay lại bài nào, ta sẽ lập 2 phương trình tương ứng và vì chỉ khác nhau 4 bit, thì ta sẽ bruteforce từ giá trị $$[0..f]$$, sau đó sẽ cộng vào phương trình thứ 2. Rồi sẽ lấy gcd của 2 phương trình thì sẽ ra được flag. ```python from sage.all import* from Crypto.Util.number import * from pwn import* n = 22233043203851051987774676272268763746571769790283990272898544200595210865805062042533964757556886045816797963053708033002519963858645742763011213707135129478462451536734634098226091953644783443749078817891950148961738265304229458722767352999635541835260284887780524275481187124725906010339700293644191694221299975450383751561212041078475354616962383810736434747953002102950194180005232986331597234502395410788503785620984541020025985797561868793917979191728616579236100110736490554046863673615387080279780052885489782233323860240506950917409357985432580921304065490578044496241735581685702356948848524116794108391919 e1 = 13337 e2 = 31337 c1 = 13412188923056789723463018818435903148553225092126449284011226597847469180689010500205036581482811978555296731975701940914514386095136431336581120957243367238078451768890612869946983768089205994163832242140627878771251215486881255966451017190516603328744559067714544394955162613568906904076402157687419266774554282111060479176890574892499842662967399433436106374957988188845814236079719315268996258346836257944935631207495875339356537546431504038398424282614669259802592883778894712706369303231223163178823585230343236152333248627819353546094937143314045129686931001155956432949990279641294310277040402543835114017195 c2 = 2230529887743546073042569155549981915988020442555697399569938119040296168644852392004943388395772846624890089373407560524611849742337613382094015150780403945116697313543212865635864647572114946163682794770407465011059399243683214699692137941823141772979188374817277682932504734340149359148062764412778463661066901102526545656745710424144593949190820465603686746875056179210541296436271441467169157333013539090012425649531186441705611053197011849258679004951603667840619123734153048241290299145756604698071913596927333822973487779715530623752416348064576460436025539155956034625483855558580478908137727517016804515266 def pgcd(g1, g2): while g2: g1, g2 = g2, g1 % g2 return g1.monic() # Mình biết là -5 ra nên mình cheat tí =))) for i in range(-5,17): print(i) PR = PolynomialRing(Zmod(n), names='x') f1 = PR.gen()**e1 - c1 f2 = (PR.gen()+ i*(2**(2048-16)))**e2 - c2 f0 = pgcd(f1,f2) m = -f0.monic()[0] m = (long_to_bytes(int(m))) flag = xor(m,b'\x01'*len(m)) if b"ACSC" in flag: print(flag) break ``` ```shell b'\x07\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xda9\xa3\xee^kK\r2U\xbf\xef\x95`\x18\x90\xaf\xd8\x07\t\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01ACSC{O4EP_+_broken_M6F_+_broken_PRN6_=_Textbook_RSA_30f068a6b0db16ab7aa42c85be174e6854630d254f54dbc398e725a10ce09ac7}' ``` > Flag: ``ACSC{O4EP_+_broken_M6F_+_broken_PRN6_=_Textbook_RSA_30f068a6b0db16ab7aa42c85be174e6854630d254f54dbc398e725a10ce09ac7}``