2023第七届蓝帽杯半决赛 复现（取证及一道Misc）

一、取证部分

1、检材数据开始提取是今年什么时候？（答案格式：04-12 13:26）

 答案：09-11 17：21

 2、嫌疑人手机SD卡存储空间一共多少GB？（答案格式：22.5）

同样在log文件

 答案：24.32

 3、嫌疑人手机设备名称是？（答案格式：adfer）

答案：sailfish

 4、嫌疑人手机IMEI是？（答案格式：3843487568726387）

盘古石手机取证

答案：352531082716257

 5、嫌疑人手机通讯录数据存放在哪个数据库文件中？（答案格式：call.db）

答案：contacts.db

 6、嫌疑人手机一共使用过多少个应用？（答案格式：22）

 应该是206个，题目写的也不清晰

答案：206

 7、测试apk的包名是？（答案格式：con.tencent.com）

一看就是测试包

答案：com.example.myapplication

 8、测试apk的签名算法是？（答案格式:AES250）

雷电app分析

jadx反编译

答案格式也不严谨，反正应该是两者之一

答案：SHA256withRSA

9、测试apk的主入口是？（答案格式：com.tmp.mainactivity）

 答案：com.example.myapplication.MainActivity

 10、测试apk一共申请了几个权限？（答案格式：7）

 答案：3

 11、测试apk对Calllog.txt文件内的数据进行了什么加密？（答案格式：DES）

火眼取证打开zip包

镜像内找到calllog.txt

导出至电脑打开文件

最后两个双等号，很明显是base64。解开试试

确定为base64加密

（结果还要大小写区分）

答案：BASE64

12、10086对嫌疑人拨打过几次电话？（答案格式：5）

刚刚解开的calllog文件

 答案：2

 13、测试apk对短信记录进行了几次加密？（答案格式：5）

jadx打开主函数MainActivity

一个AES加密，一个Base64加密

答案：2

 14、测试apk对短信记录进行加密的秘钥是？（答案格式：slkdjlfslskdnln）

jadx反编译apk后使用idea文件包中的libmyapplication.so

字符串搜索key关键字

跳转到反编译，发现这里对first变量进行了处理

双击查看first，得到原始字符串

这个应该就是我们要找的key，但是在AES加密后还进行了base64编码，因此我们也需要将key进行base编码

得到bGlqdWJkeWhmdXJpbmRoY2J4ZHc=

由于AES密钥最长为16位，因此我们只用前16位就能解开加密。

尝试解密

（这里的aes配置基本都用的默认配置，其实也没搞懂aes加密的机制）

解密成功，密钥正确

答案：bGlqdWJkeWhmdXJp

15、嫌疑人在2021年登录支付宝的验证码是？（答案格式：3464）

查看解密后的短信记录就能得到答案

答案：9250

二、CTF题目

1.misc

排排坐吃果果

（比赛的时候想的是全部重新排序后重新变成应该39x39的方阵，结果是每一列重新排序。。）

打开文件，全部框选后发现有数据，把所有字体修改为黑色

加入一行空白格后将每一列重新按降序排序

将格子长宽比改为方形

查找与替换，将所有粗体字替换为黑色背景

得到二维码，扫描得到flag

此题结束