2022蓝帽杯初赛

网站取证_12022蓝帽杯初赛_第1张图片

gg币哈哈哈哈哈哈哈哈哈哈

第一次做取证。。

这题用到d盾。好吧d盾也是第一次用hhh

把下载的www文件拖进去,然后他就开始扫描了2022蓝帽杯初赛_第2张图片

打开第一个文件看看2022蓝帽杯初赛_第3张图片

lanmaobei666外包NSSCTF{}

网站取证_2  

2022蓝帽杯初赛_第4张图片

 
  

要给密码先查看数据库配置文件/application/database.php

2022蓝帽杯初赛_第5张图片

 发现password是my_encrypt()函数的返回值。

追踪这个函数

2022蓝帽杯初赛_第6张图片

 然后在线运行,就有flag啦2022蓝帽杯初赛_第7张图片

 网站取证_3

2022蓝帽杯初赛_第8张图片

 打开bak.sql文件2022蓝帽杯初赛_第9张图片

 查看bak.sql发现tab_channel_order_list和money有关,应该是用来存储金额的

 打开www文件夹,直接搜索tab_channel_order_list

里面有个加密值 就是flag

2022蓝帽杯初赛_第10张图片

 网站取证_4

2022蓝帽杯初赛_第11张图片

 这题没看懂。。看别人的wp也没看懂。。以后记得还要看!!!

在bak.sql里面找到汇率2022蓝帽杯初赛_第12张图片

交易记录:

2022蓝帽杯初赛_第13张图片

人员名单: 

计算机取证_1

2022蓝帽杯初赛_第14张图片

使用passware直接拿到用户密码2022蓝帽杯初赛_第15张图片

2022蓝帽杯初赛_第16张图片

计算机取证_22022蓝帽杯初赛_第17张图片

volatility的使用参考:

内存取证-volatility工具的使用 (史上更全教程,更全命令)_路baby的博客-CSDN博客

查看所有进程。

命令: volatility.exe -f "E:\nss\1.dmp" --profile=Win7SP1x64 pslist

2022蓝帽杯初赛_第18张图片

MagnetRAMCaptu中的pid是题目需要的,为2192.

计算机取证_3

2022蓝帽杯初赛_第19张图片

  

 2022蓝帽杯初赛_第20张图片

使用取证大师导出内存中的bitlocker密钥 

2022蓝帽杯初赛_第21张图片

取证大师解密BitLocker加密的e01磁盘文件

2022蓝帽杯初赛_第22张图片

 发现一个pass.txt,一个加密的ppt,一个加密docx和一个可疑的新建文本文档.txt 2022蓝帽杯初赛_第23张图片

使用pass.txt为密码,然后爆破这个ppt

2022蓝帽杯初赛_第24张图片

得到密码,去打开ppt

 2022蓝帽杯初赛_第25张图片

计算机取证_4 2022蓝帽杯初赛_第26张图片

取证大师工具集内存镜像解析工具,加载1.dmp,勾选TrueCrypt 

2022蓝帽杯初赛_第27张图片

 把密钥导出,新建案例,加密容器2022蓝帽杯初赛_第28张图片

 自动取证,发现里面有哈哈哈.zip文件被加密2022蓝帽杯初赛_第29张图片

 导出2022蓝帽杯初赛_第30张图片

使用archpr解密,长度要调整一下,得到密码991314

2022蓝帽杯初赛_第31张图片 

 打开文件2022蓝帽杯初赛_第32张图片

 手机取证_12022蓝帽杯初赛_第33张图片

解压

 

 用盘古阅读器打开,直接搜627604C2-C586-48C1-AA16-FF33C3022159

2022蓝帽杯初赛_第34张图片 把图片导出来,然后查看属性,分辨率为360×360

 2022蓝帽杯初赛_第35张图片

 

手机取证_22022蓝帽杯初赛_第36张图片

 找群聊的聊天记录,里面有快递单号2022蓝帽杯初赛_第37张图片

 程序分析_12022蓝帽杯初赛_第38张图片

 使用jadx打开文件。

jdax逆向后,manifest文件里找到包名2022蓝帽杯初赛_第39张图片

 

程序分析_22022蓝帽杯初赛_第40张图片

 在classes.dex文件里面2022蓝帽杯初赛_第41张图片

 或者用GDA打开,在Baseinfo2022蓝帽杯初赛_第42张图片

 

程序分析_32022蓝帽杯初赛_第43张图片

在decode这里2022蓝帽杯初赛_第44张图片

 程序分析_4

 2022蓝帽杯初赛_第45张图片

搜索root环境 2022蓝帽杯初赛_第46张图片

可以直接通过这里看到是a类

2022蓝帽杯初赛_第47张图片 

 

 

你可能感兴趣的:(学习)