【阿尼亚不会CTF】第六届”蓝帽杯“全国大学生网络安全技能大赛

啊！！！蓝帽杯第一次加入取证模块呢，取证静态分，CTF动态分，这波是出道即C位，完全挤掉CTF，属于被迫做取证题惹~

菜鸟阿尼亚会做的题不多，以后也要继续加油哦！！！

（点名计算机取证出题人——某某某，居然在干扰项里署名嘲讽55555）

手机取证_1

手机取证_2

计算机取证_1

计算机取证_2

计算机取证_4

网站取证_1

网站取证_3

手机取证_1

题目描述：

现对一个苹果手机进行取证，请您对以下问题进行分析解答。

627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是？（答案参考格式：1920x1080）

附件下载地址见平台公告，解压密码为0ba6b2c094cbb3a04681a135487a19cb

解题思路：

打开盘古石阅读器，直接左上角搜索”.png“，然后按照题目对文件名就好了；

选中右键导出，然后看属性。

手机取证_2

题目描述：

姜总的快递单号是多少？（答案参考格式：abcABC123）

解题思路：

还是打开盘古石阅读器，直接左上角搜索”姜总“，然后就得到快递号了。

计算机取证_1

题目描述：

现对一个windows计算机进行取证，请您对以下问题进行分析解答。

从内存镜像中获得taqi7的开机密码是多少？（答案参考格式：abcABC123）

附件下载地址见平台公告，解压密码为93ce7ea39bdd7baa137f1e9b963b7ee5

解题思路：

给了.tmp文件，对着内存镜像直接上volatility，然后hashdump获得密码的md5；

然后找个在线解密md5的网站解密，就行了。

计算机取证_2

题目描述：

制作该内存镜像的进程Pid号是多少？（答案参考格式：1024）

解题思路：

要查进程的PID，那就继续volatility，psscan列出进程，发现有MagnetRAMCapture.exe进程，别的好像没了，就得到PID了。

计算机取证_4

题目描述：

TrueCrypt加密中存在的flag值为？（答案参考格式：flag{abcABC123}）

解题思路：

第3题做完之后，还剩下个新建文本文档.txt文件，感觉应该是这个题吧，然后给的提示是TrueCrypt，就把后缀直接改成.tc了，然后用EFDD直接用内存镜像挂载上；

挂载以后得到一个压缩包哈哈哈.zip,直接暴力破解一下；

解压，得到一个txt文件。

网站取证_1

题目描述：

据了解，某网上商城系一团伙日常资金往来用，从2022年4月1日起使用虚拟币GG币进行交易，现已获得该网站的源代码以及部分数据库备份文件，请您对以下问题进行分析解答。

请从网站源码中找出木马文件，并提交木马连接的密码。（答案参考格式：abcABC123）

解题思路：

本来想着查查网站漏洞的，就先丢进源代码审计，结果发现好多好多漏洞；

算了算了，于是还是丢进D盾查后门吧;

然后看了看两个文件，发现一句话木马，得到了密码。

网站取证_3

题目描述：

请提交数据库金额加密混淆使用的盐值。（答案参考格式：abcABC123）

解题思路：

看了老半天给的bak.sql，然后发现这个地方有交易列表，里面有金额来着；

然后对着找对应的.php文件，发现这里有key，感觉可能是salt，然后我又看了别的文件都没有这个了，觉得应该是这个了。