2022蓝帽杯初赛

网站取证_1

gg币哈哈哈哈哈哈哈哈哈哈

第一次做取证。。

这题用到d盾。好吧d盾也是第一次用hhh

把下载的www文件拖进去，然后他就开始扫描了

打开第一个文件看看

lanmaobei666外包NSSCTF{}

网站取证_2  

要给密码先查看数据库配置文件/application/database.php

 发现password是my_encrypt()函数的返回值。

追踪这个函数

 然后在线运行，就有flag啦

 网站取证_3

 打开bak.sql文件

 查看bak.sql发现tab_channel_order_list和money有关，应该是用来存储金额的

 打开www文件夹，直接搜索tab_channel_order_list

里面有个加密值 就是flag

 网站取证_4

 这题没看懂。。看别人的wp也没看懂。。以后记得还要看！！！

在bak.sql里面找到汇率

交易记录：

人员名单： 

计算机取证_1

使用passware直接拿到用户密码

计算机取证_2

volatility的使用参考：

内存取证-volatility工具的使用 （史上更全教程，更全命令）_路baby的博客-CSDN博客

查看所有进程。

命令： volatility.exe -f "E:\nss\1.dmp" --profile=Win7SP1x64 pslist

MagnetRAMCaptu中的pid是题目需要的，为2192.

计算机取证_3

  

 

使用取证大师导出内存中的bitlocker密钥 

取证大师解密BitLocker加密的e01磁盘文件

 发现一个pass.txt，一个加密的ppt，一个加密docx和一个可疑的新建文本文档.txt 

使用pass.txt为密码，然后爆破这个ppt

得到密码，去打开ppt

 

计算机取证_4 

取证大师工具集内存镜像解析工具，加载1.dmp，勾选TrueCrypt 

 把密钥导出，新建案例，加密容器

 自动取证，发现里面有哈哈哈.zip文件被加密

 导出

使用archpr解密，长度要调整一下，得到密码991314

 

 打开文件

 手机取证_1

解压

 

 用盘古阅读器打开，直接搜627604C2-C586-48C1-AA16-FF33C3022159

把图片导出来，然后查看属性，分辨率为360×360

 

 

手机取证_2

 找群聊的聊天记录，里面有快递单号

 程序分析_1

 使用jadx打开文件。

jdax逆向后，manifest文件里找到包名

 

程序分析_2

 在classes.dex文件里面

 或者用GDA打开，在Baseinfo

 

程序分析_3

在decode这里

 程序分析_4

 

搜索root环境

可以直接通过这里看到是a类