2022蓝帽杯半决赛电子取证
参考博客蓝帽杯2022年半决赛 writeup(附取证题目+解压密码+附件)_是Mumuzi的博客-CSDN博客
AmyZYX - 博客园,官方wp
取证
手机取证_1
iPhone手机的iBoot固件版本号:(答案参考格式:iBoot-1.1.1)
iBoot-7429.62.1
原来这个ipone的zip镜像,是可以直接取证的,我解压了,然后思维固化了,然后就没取出来呜呜呜
手机取证_2
该手机制作完备份UTC+8的时间(非提取时间):(答案参考格式:2000-01-01 00:00:00)
2022-01-11 18:47:38
2022-01-11T10:47:38Z,+8,2022-01-11 18:47:38
exe分析_1
文件services.exe创建可执行文件的路径是:(答案参考格式:C:\Windows.exe)
C:\Program Files\Common Files\Services\WmiApSvr.exe
在聊天记录里找到一个压缩包
services.exe就在里面
奇安信的这个平台sandbox.ti.qianxin.com,好牛逼,C:\Program Files\Common Files\Services\WmiApSvr.exe
exe分析_2
文件HackTool.FlyStudio.acz_unpack.exe是否调用了advapi32.dll动态函式链接库?
是
exe分析_3
文件aspnet_wp.v.exe执行后的启动的进程是什么:(答案参考格式:qax.exe)
svchost.exe
exe分析_4
文件[4085034a23cccebefd374e4a77aea4f1]是什么类型的木马:(答案参考格式:勒索)
挖矿
exe分析_5
文件[4085034a23cccebefd374e4a77aea4f1]网络连接的IP地址的归属地是哪个国家:(答案参考格式:美国)
韩国
sandbox.ti.qianxin.com太牛逼了,呜呜呜当时比赛的时候怎么就不会用呢
APK分析_01
受害人手机中exec的序列号是:(答案参考格式:0xadc)
0x936eacbe07f201df
APK分析_02
受害人手机中exec关联服务器地址是:(答案参考格式:asd.as.d)
ansjk.ecxeio.xyz
mainactivity是安卓程序入口,来自Android之MainActivity类 - Tsingke - 博客园
APK分析_03
受害人手机中exec加载服务器的函数是:(答案参考格式:asda)
loadUrl
APK分析_04
受害人手机中exec的打包ID是:(答案参考格式:adb.adb.cn)
__W2A__nansjy.com.cn
APK分析_05
受害人手机中exec的是否有安全检测行为?
是
搜索安全,着实没想到能这么操作
APK分析_06
受害人手机中exec的检测方法的完整路径和方法名是:(答案参考格式:a.a.a())
d.a.a.c.a.a()
APK分析_07
受害人手机中exec有几个界面:(答案参考格式:2)
3
APK分析_08
受害人手机中红星IPA的包名是:(答案参考格式:a.s.d)
com.dd666.hongxin
红星.ipa改后缀为zip,然后解压,里面就有info.pslist,.ipa的后缀涨见识了属于是
CFBundleIdentifier——com.dd666.hongxin
APK分析_09
受害人手机中红星IPA的APIKEY是:(答案参考格式:asd)
d395159c291c627c9d4ff9139bf8f0a700b98732
APK分析_10
受害人手机中红星IPA的权限有哪些?
相册、定位、摄像头、麦克风全选
APK分析_11
嫌疑人手机中红星APK的服务器地址是:(答案参考格式:ass.a.d:11)
www.nansjy.com.cn:8161
APK分析_12
嫌疑人手机中红星APK的程序入口是:(答案参考格式:a.v.b.n)
com.example.weisitas526sad.activity.SplashActivity
APK分析_13
嫌疑人手机中分析聊天工具,服务器的登录端口是:(答案参考格式:12)
6661
打开BigAnt5,随便输入一个账号密码,跳转到这个界面,或者网络设置直接就在右下角
APK分析_14
嫌疑人手机中分析聊天工具,用户归属的机构是:(答案参考格式:太阳)
红星
APK分析_15
结合手机流量分析聊天工具的登录账号和密码是:(答案参考格式:1212311/12312asd)
服务器取证_01
服务器在启动时设置了运行时间同步脚本,请写出脚本内第二行内容。(答案参考格式:/abcd/tmp www.windows.com)
/usr/sbin/ntpdate time.nist/gov
查看开机自启动文件etc/rc.local
查看time.sh,上图的路径打不开,后来直接用find找的
gztmpdir显示此文件是被加密的,gzexe -d time.sh解密
服务器取证_02
服务器在计划任务添加了备份数据库脚本,请写出该脚本的第二行内容。(答案参考格式:2022年第六届蓝帽杯)
#台北下着雪你说那是保丽龙
crontab -l查看计划任务
.sh.x是shc加密
在下载unshc脚本时,很奇怪的下载不了,下载完解密后查看文件即可
服务器取证_03
使用宝塔linux面板的密码加密方式对字符串lanmaobei进行加密,写出加密结果。(答案参考格式:e10adc3949ba59abbe56e057f20f883e)
25b9447a147ad15aafaef5d6d3bc4138
宝塔面板的秘密吗加密方式存放在/www/server/panel/class/users.py里面
第34行显示了加密方式,那个salt是随机产生12位随机字符串,但是官方wp上没有考虑salt,不大清楚
服务器取证_04
写出服务器中第一次登录宝塔面板的时间。(答案参考格式:2022-02-02 02:02:02)
2021-05-17 16:10:40
面板日志是被清除的
cd /www/server/panel/logs/request,该目录里保存了所有访问宝塔面板的get或者post请求,ls查看发现里面是以日期命名的压缩包,gunzip -d命令解压一个最早的压缩包
成功登录宝塔面板的post和get请求是连续的,且后接内容分别为login和?,符合条件的时间如图
服务器取证_05
写出宝塔面板的软件商店中已安装软件的个数(答案参考格式:2)
6
这个很奇怪的是宝塔外网地址和内网地址都登不上去
服务器取证_06
写出涉案网站(维斯塔斯)的运行目录路径。(答案参考格式:/root/etc/sssh/html)
/www/wwwroot/v9.licai.com/public
根据宝塔面板的外网地址对应一下就行,但是宝塔我登不上去
服务器取证_07
写出最早访问涉案网站后台的IP地址。(答案参考格式:111.111.111.111)
183.160.76.194
查找日志文件
第一个日志是空的, 在第二个日志文件的目录中发现了涉案网站的日志
找到了,比较靠后,还有涉案网站的后台地址http://www.nansjy.com.cn:8161/AdminV9YY/Login
服务器取证_08
写出涉案网站(维斯塔斯)的“系统版本”号。(答案参考格式:6.6.6666)
1.0.190311
服务器取证_09
分析涉案网站的会员层级深度,写出最底层会员是多少层。(答案参考格式:66)
10
服务器取证_10
请写出存放网站会员等级变化制度的网站代码文件的SHA256值。(答案参考格式: 8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92)
在/www/wwwroot/v9.licai.com目录下查找会员等级,find -name *.php | xargs grep '会员等级'
来自关于 find grep xargs 命令总结_Bing0lin的博客-CSDN博客_grep xargs
服务器取证_11
计算向网站中累计充值最多的五名会员,获得的下线收益总和(不包含平台赠送)。(答案参考格式:666.66)
25178.59
用弘连自带的数据库分析工具导出membercharge表,用excel做数据透视表,后排序,得到充值最多的五名会员
导出memberlog表,得到的答案和官方wp的不一样,很奇怪
服务器取证_12
统计涉案网站中余额大于0且银行卡开户行归属于四川省的潜在受害人数量。(答案参考格式:6)
2
导出member表,bankaddress筛选四川
服务器取证_13
统计平台从成立之初至“2021-07-01 23:59:59”共收益多少金额(不包含平台赠送)。(答案参考格式:6666.66)
9805957.00
membercharge表1979503
memberwithdrawal表489954
两个值相减1489549,差的有点多
服务器取证_14
统计涉案网站哪一天登录的会员人数最多。(答案参考格式:1999-09-09)
2021-07-14
限制memo为登录成功,然后筛选
服务器取证_15
写出涉案网站中给客服发送“你好,怎么充值”的用户的fusername值。(答案参考格式:lanmaobei666)
hm688
2022蓝帽杯半决赛电子取证相关推荐
- 2022蓝帽杯初赛电子取证
手机取证 1. 627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是?[答案格式:19201080] 360360 直接搜索-表格视图 2. 姜总的快递单号 ...
- 2022蓝帽杯初赛wp
文章目录 Misc domainhacker domainhacker2 电子取证 手机取证_1 手机取证_2 计算机取证_1 计算机取证_2 计算机取证_3 计算机取证_4 程序分析_1 程序分析_ ...
- 蓝帽杯2022年半决赛 writeup(附取证题目+解压密码+附件)
文章目录 电子取证 手机取证_1 手机取证_2 exe分析_1 exe分析_2 exe分析_3 exe分析_4 exe分析_5 apk分析_01 apk分析_02 apk分析_05 apk分析_06 ...
- 【阿尼亚不会CTF】第六届”蓝帽杯“全国大学生网络安全技能大赛—线上初赛部分writeup
啊!!!蓝帽杯第一次加入取证模块呢,取证静态分,CTF动态分,这波是出道即C位,完全挤掉CTF,属于被迫做取证题惹~ 菜鸟阿尼亚会做的题不多,以后也要继续加油哦!!! (点名计算机取证出题人--某某某 ...
- 2022美亚杯第八届中国电子数据取证大赛-个人赛write up详解,软件就用弘连和美亚,尽量写的细致一点。建议入门看,仅为了解题,没有专业精神。专业选手去看后面推荐的两篇解析,都是大佬。
建议新手看我的博客,比较简单粗暴,解题率较低,仅仅是为了比赛,入门的同学可以看看.我的水平还很糟糕,之后会努力学习,所以这篇博客也会不断修改完善.博客还有很多不当之处,如有发现不当之处请私信我,我会做 ...
- 2022第四届长安杯电子取证竞赛 服务器赛时思路题解 Zodi4c
2022 长安杯 服务器赛时做题思路备忘 Zodi4c VC容器密码为:2022.4th.changancup! 我赛时的做题思路和关心老师的讲解基本一致,只是没了上帝视角,本人只开了服务器,所以案件 ...
- [ CTF ]【天格】战队WriteUp-第六届”蓝帽杯“全国大学生网络安全技能大赛(半决赛)
第六届"蓝帽杯"全国大学生网络安全技能大赛(半决赛)电子取证赛题 第六届"蓝帽杯"全国大学生网络安全技能大赛(半决赛)其他赛题 [Misc]加密的通道 1.经过 ...
- 第四届长安杯电子取证大赛个人总结
第四届长安杯电子取证竞赛个人总结 P1ANT731 第四届长安杯竞赛检材VC容器SHA256计算 PS E:\2022Changancup> certutil -hashfile E:\2022 ...
- 【“到此一游”系列】(菜鸡参加“美亚杯” 电子取证大赛感受)
到此一游 -- 美亚杯 感受及经验 背景 比赛现场 1. 上午八点二十 2. 九点 3. 十一点 我的比赛过程 比赛经验 我的思路是 1. 第一步 2. 第二步 3.第三步 注 结尾 感受及经验 背景 ...
- 盘古石杯电子取证比赛WP
"盘古石杯"电子取证比赛WP 写在前面 刚刚比完了比赛,觉得自己还有很多东西没做过,现在趁着写WP的时候顺便复盘一下,望各位大佬指正. 2023年5月4日中午收到短信通知告诉我可以 ...
最新文章
- 神经科学中的数学之美
- 基于容器原理(docker、lxc、cells)的Android 双系统设计概要
- text type dropdown list - INIT_DATA
- execve系统调用_张凯捷—系统调用分析(3) (基于最新Linux5.0版本系统调用日志收集系统)...
- 视觉测试_视觉设计流行测验
- 在 .NET Core 中使用 DiagnosticSource 记录跟踪信息
- java 生成二维码
- 遗传算法学习笔记(一):常用的选择策略
- Python爬取网页
- 绿茶软件测试自学,7号心理测试小程序
- 潘石屹没跑,他去学 Python 了
- 《华为数字化转型之道》-名不副实所以更值得学习
- POI导出echarts统计报表到Excel
- TextView 在xml 中设置图片大小
- 英伟达P8显卡_英特尔独显芯片上市 AMD 英伟达 英特尔显卡芯片三方对战_笔记本新闻...
- RFSoC应用笔记 - RF数据转换器 -09- RFSoC关键配置之RF-DAC内部解析(三)
- 控制文件的备份与还原
- Linux LVM(逻辑卷管理)
- Week2 Bing词典Android客户端案例分析
- 区块链solidity学习(地址、交易篇:一)
热门文章
- 【keytool】keytool查看jks证书详情
- AWWWB.COM网站克隆器
- 51c语言单片机io口控制实验报告,单片机实验报告二 单片机IO口实验
- android ssh软件,优秀的 Android SSH 工具推荐
- JDK7~13的新特性
- java 定时调用api_java定时任务接口ScheduledExecutorService
- Python读写LMDB文件
- python汉字拼音首字母,python获取一组汉字拼音首字母的方法
- 第073封“情书”:小目标20181022Using UV Layout ForGeometryPacking<Entagma>Houdini 2018
- java cjson_使用cJSON