蓝帽杯 取证2022

网站取证

网站取证_1

蓝帽杯 取证2022_第1张图片

 下载附件 并解压 得到了一个文件以及一个压缩包

蓝帽杯 取证2022_第2张图片

解压压缩包 用火绒查病毒 发现后门

蓝帽杯 取证2022_第3张图片

 打开文件路径之后 发现了一句话木马

蓝帽杯 取证2022_第4张图片

解出flag

网站取证_2

 让找数据库链接的明文密码

 打开www文件找找

查看数据库配置文件/application/database.php(CodeIgniter的数据库配置文件位于application/config/database.php)

 CodeIgniter是一个php的轻量级开发框架

蓝帽杯 取证2022_第5张图片

在这个文件里找到了密码是这个   密码是my_encrypt()这个函数加密的,然后去找这个函数

 蓝帽杯 取证2022_第6张图片

 找到一串代码

蓝帽杯 取证2022_第7张图片

 没有看懂这串代码 问一下gpt

蓝帽杯 取证2022_第8张图片

这段代码是一个名为`my_encrypt()`的PHP函数,用于使用Rijndael-128算法的CBC模式进行解密。

然后密钥是PanGuShi,使用base64加密,然后偏移量是PanGuShi的SHA1的前16位

蓝帽杯 取证2022_第9张图片

偏移量:130f028b5c4b9e1b

得到flag

蓝帽杯 取证2022_第10张图片

网站取证_3 

 让我们找数据库金额加密混淆使用的盐值。

盐值就是在密码hash过程中添加的额外的随机值,如,用户的ID就可以作为盐值,来进行hash,生产密文,进而,可以做到密码保护的目的

先去看了看盐值的概念

查看bak.sql发现tab_channel_order_list和money有关,应该是用来存储金额的

蓝帽杯 取证2022_第11张图片

 最后在www/application/admin/model/Channelorderlist中找到

蓝帽杯 取证2022_第12张图片 第三问没有看懂是什么意思 看了大佬的wp才做出来

计算机取证

计算机取证_1

蓝帽杯 取证2022_第13张图片

计算机取证_1

解压后是这些

蓝帽杯 取证2022_第14张图片

 

问内存,那就先用内存取证volatility

蓝帽杯 取证2022_第15张图片

拿到版本,然后指令跑密码

MD5破解一下

蓝帽杯 取证2022_第16张图片

拿到密码

计算机取证_2

蓝帽杯 取证2022_第17张图片

直接跑进程

蓝帽杯 取证2022_第18张图片

从下往上看,发现MagnetRAMCaptu这个进程不知道是什么,直接去搜一下

蓝帽杯 取证2022_第19张图片

那就是这个喽,2192

计算机取证_3

蓝帽杯 取证2022_第20张图片

直接用passware结合内存找BitLocker密码

蓝帽杯 取证2022_第21张图片

然后拿到密钥以后去火眼挂镜像,解密  拿到四个文件

蓝帽杯 取证2022_第22张图片

解压出来以后,发现有一个密码本,然后3和4都加密,我们猜测密码是用来爆破的,然后直接爆

蓝帽杯 取证2022_第23张图片

用passware字典爆破要先导入密码本,在这里导入

蓝帽杯 取证2022_第24张图片

解密ppt

蓝帽杯 取证2022_第25张图片

计算机取证_4

蓝帽杯 取证2022_第26张图片

我们上一题拿到了四个文档,第四个文档那个新建txt文档,我们猜测他为加密容器,然后我们用EFDD解密TC容器

蓝帽杯 取证2022_第27张图片

拿到一个压缩包

发现还有密码,然后我们爆破

蓝帽杯 取证2022_第28张图片

 蓝帽杯 取证2022_第29张图片

 手机取证

手机取证_1

直接搜这个东西

蓝帽杯 取证2022_第30张图片

手机取证_2

直接搜姜总

取证最大的感觉就是不知道从哪里下手 找不到方向 软件也是不太会用 都需要摸索

做了一些题之后感觉软件的用处非常大,雷电以及火眼的各种工具

还会继续学一段时间取证,熟各种软件的功能用途 拓展知识面 为接下来的蓝帽杯做准备

 

 

 

 

你可能感兴趣的:(python)