2022蓝帽杯初赛wp
文章目录
- Misc
- domainhacker
- domainhacker2
- 电子取证
- 手机取证_1
- 手机取证_2
- 计算机取证_1
- 计算机取证_2
- 计算机取证_3
- 计算机取证_4
- 程序分析_1
- 程序分析_2
- 程序分析_3
- 程序分析_4
- 网站取证_1
- 网站取证_2
- 网站取证_3
- 网站取证_4
Misc
domainhacker
常规简单题,流量打开发现很少,于是一个个看TCP流,发现第15个流传输了一个rar,第13个流的时候打包了rar,因此用原始数据将第15个流导出,发现需要密码,猜想在第13流打包的时候填入了密码
因此将前面的YN删掉再去base64
得到密码SecretsPassw0rds
打开之后发现是mimikatz解析的lsass,提交NTLM值即可
flag{416f89c3a5deb1d398a1a1fce93862a7}
domainhacker2
和上一道题一个套路,找到压缩rar的时候(第30流估计出题人发现流量没抓好然后直接放了rar文件)
FakePassword123$
然后百度搜了一下怎么去解析ntds,找到github上一个脚本
https://github.com/SecureAuthCorp/impacket
然后要历史的
python3 .\secretsdump.py -ntds .\ntds.dit -system .\SYSTEM -security .\SECURITY -history LOCAL
flag{07ab403ab740c1540c378b0f5aaa4087}
电子取证
手机取证_1
直接搜627604C2-C586-48C1-AA16-FF33C3022159,得到图片后导出即可发现分辨率为360*360
手机取证_2
先去搜的快递,但是发现分类有点多,于是后来又去搜了姜总,很快就搜到了
在skype里有聊天记录
SF1142358694796
计算机取证_1
passware直接梭
anxinqi
计算机取证_2
vol直接梭
volatility -f 1.dmp imageinfo
mumuzi@kali:~/桌面$ volatility -f 1.dmp --profile=Win7SP1x64 pslist
2192
计算机取证_3
刚开始以为是docx给我坑没了两次才去看pptx然后发现的flag
flag{b27867b66866866686866883bb43536}
E01用取证大师,发现有bitlocker,但是没有恢复秘钥,因此passware梭
368346-029557-428142-651420-492261-552431-515438-338239
解了之后发现docx和pptx还有密码,而且还在里面发现了pass.txt,继续用passware破
计算机取证_4
新建文本文档.txt是truecrypt加密文件,依旧是passware梭
没梭到密码,但是文件已经被解密,然后用dg恢复,提了个哈哈哈.zip
发现有密码,不是伪加密,于是爆破一下密码
解开得到flag
flag{1349934913913991394cacacacacacc}
程序分析_1
exec.azj.kny.d.c
程序分析_2
minmtta.hemjcbm.ahibyws.MainActivity
程序分析_3
aHR0cHM6Ly9hbnNqay5lY3hlaW8ueHl6
程序分析_4
错了两次,最后直接赌的a
第一次是试的h错了
这题还是看队友
危险千万条,root第一条
既然安全检测,加上题不难
猜测大概率在检测 root
搜字符串
直接出答案
保险起见看下调用
确实在检测环境
是这个类没跑了
答案:a
网站取证_1
D盾直接扫出危险文件,打开即可
lanmaobei666
网站取证_2
sql,直接搜127.0.0.1
找到encrypt.php
<?php
function my_encrypt(){$str = 'P3LMJ4uCbkFJ/RarywrCvA==';$str = str_replace(array("/r/n", "/r", "/n"), "", $str);$key = 'PanGuShi';$iv = substr(sha1($key),0,16);$td = mcrypt_module_open(MCRYPT_RIJNDAEL_128,"",MCRYPT_MODE_CBC,"");mcrypt_generic_init($td, "PanGuShi", $iv);$decode = base64_decode($str);$dencrypted = mdecrypt_generic($td, $decode);mcrypt_generic_deinit($td);mcrypt_module_close($td);$dencrypted = trim($dencrypted);return $dencrypted;
}
装好拓展,直接调用运行即可
KBLT123
网站取证_3
全局搜一下
jyzg123456
网站取证_4
有点意思
首先是汇率
然后是付款记录,我这里单独把2~18号的提取出来了
接下来是看含义
COMMENT ON COLUMN "public"."tab_channel_order_list"."order_num" IS '订单号';
COMMENT ON COLUMN "public"."tab_channel_order_list"."currency" IS '币种';
COMMENT ON COLUMN "public"."tab_channel_order_list"."remark" IS '备注';
COMMENT ON COLUMN "public"."tab_channel_order_list"."is_create_time" IS '创建时间';
COMMENT ON COLUMN "public"."tab_channel_order_list"."payee_id" IS '收款人ID';
COMMENT ON COLUMN "public"."tab_channel_order_list"."payer_id" IS '付款人ID';
订单,币,备注,时间,收款,付款,密文
要张宝给王子豪的
id知道了,现在看密文,根据上一道题去看
小逆一下
然后写个脚本小算一下
f = open('tmp.txt','rb').read().splitlines()
import base64trans = [0.04,0.06,0.05,0.07,0.10,0.15,0.17,0.23,0.22,0.25,0.29,0.20,0.28,0.33,0.35,0.35,0.37]def decrypt(data:str):key = 'cd9d86dd286a0b0079146c1c57e51576'x = 0data = base64.b64decode(data.encode())length = len(data)l = len(key)char = string = ''for i in range(length):if(x == l):x = 0char += key[x]x += 1for i in range(length):string += chr(data[i] - (ord(char[i])) % 256)return int(string)money = 0.0
for i in range(len(f)):tmps = f[i].split(b',')# print(tmps[-4].decode()[11:13]) #日期if(int(tmps[-3].decode()) == 5 and int(tmps[-2].decode()) == 3):mon = decrypt(tmps[-1].decode()[2:10])money += mon*trans[int(tmps[-4].decode()[10:12])-2]print(mon,trans[int(tmps[-4].decode()[10:12])-2])# print(tmps)
print(money)
#15758353.760000002
python精度问题,为了防止出错还拿excel算了一遍
没毛病
15758353.76
2022蓝帽杯初赛wp相关推荐
- 2022蓝帽杯初赛电子取证
手机取证 1. 627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是?[答案格式:19201080] 360360 直接搜索-表格视图 2. 姜总的快递单号 ...
- 2021第五届蓝帽杯初赛部分题目wp
文章目录 前言 WEB Ball_sigin PWN slient MISC 冬奥会_is_coming 前言 本次蓝帽杯初赛做出了三道解出人数最多的题,勉强混个线下.但不得不吐槽一下这届题目.冬奥会 ...
- 第五届蓝帽杯初赛:冬奥会_is_coming
运气好,这次蓝帽杯比赛,做出了这题,就能进半决赛了,这题实在是很套娃,我都怀疑是不是我套宝出的题目了. 题目是究极套娃题打开文件存在冰墩墩图片. 把图片放入010edito里面,发现有编码,一个rar ...
- 2022年度“强国杯”初赛wp(有脚本,过程详细)
首先感谢360强国杯平台和出题的各位大佬 目录 题目名称:Welcome_to_QGB 题目名称:大佬大佬 题目名称:The fn picture 题目名称:找找GIF 题目名称:B@tCh 题目名称 ...
- 2022美亚杯个人wp
检材文件下载链接:https://pan.baidu.com/s/1kg8FMeMaj6BIBmuvUZHA3Q?pwd=ngzs 提取码:ngzs 个人赛与团队赛下载文件解压密码:MeiyaCup2 ...
- 第五届蓝帽杯初赛 misc 赛后复现
挺可惜的,比赛当天正好是我这个月事情最多的一天,一共也就不到30分钟做题时间,那个图片题差一点就出来了- 说到底还是自己太菜了,下次好好努力 题目附件我打包了一份: 链接:https://pan.ba ...
- 2022强国杯初赛部分题目
目录 Misc Welcome_to_QGB Misc 大佬大佬 Misc 找找 GIF Misc The fun picture Web upload_lol Misc Welcome_to_QGB ...
- 第五届蓝帽杯初赛:I_will_but_not_quite
很遗憾这题比赛的时候没做出来因为取证题确实不太会,之前没有接触过. 所以觉得很难得有取证题,就来尝试复现一下. 这题取证题,里面还套了一个密码学的题目,恶心. 由于没做过取证题,先要安装一个volat ...
- 蓝帽杯2022年半决赛 writeup(附取证题目+解压密码+附件)
文章目录 电子取证 手机取证_1 手机取证_2 exe分析_1 exe分析_2 exe分析_3 exe分析_4 exe分析_5 apk分析_01 apk分析_02 apk分析_05 apk分析_06 ...
最新文章
- 资料分享:送你一本《机器学习实战》电子书!
- MongoDB操作命令
- 四位先行进位电路逻辑表达式_四位超前进位加法器
- php网站开发案例教程ppt,php网站开发案例教程》课件.ppt
- rnn词性标注算法_Python预测算法哪家强?权游龙妈是生还是凉凉?
- vue项目搜索历史功能的实现
- Spring Boot + JSP 创建web项目
- 题目:[NOIP2008]火柴棒等式
- netty系列之:channelPipeline详解
- mysql binlog redo_mysql的binlog与redo log
- 5886. 如果相邻两个颜色均相同则删除当前颜色
- mybatis generator使用总结
- 全球最厉害的14位程序员
- 如何解决git冲突,出现更新失败向下的箭头?
- wunderlist_Wunderlist的6种开源替代品
- 如何运用量化策略跑赢大盘?
- How to solve the lossless offline problem of Spring Cloud Alibaba service instance in Kubernetes
- IBMX3650M4服务器重装window系统
- CPU瞬间飙升170%问题复盘
- 使用AFNetWorking请求错误
热门文章
- html5网页制作实训日志,网页制作实训日志X.doc
- 中国菜刀使用教程--ctf 文件上传
- VS2019许可证过期解决办法
- Product Quantization for Nearest Neighbor Search论文实验
- 计算机xp上网运行很慢,如何解决WinXP打开我的电脑很慢的问题?
- 《测量助理》最新版本V3.0.221215发布更新
- w7系统怎么开启打印机服务器,W7系统如何开启打印机服务
- HDLBits练习(三)多路复用器,算术电路,卡诺图电路
- 计算机科学见刊之后多久检索,论文见刊后多久可以检索
- 笔记-中项/高项学习期间的错题笔记1