参考博客蓝帽杯2022年半决赛 writeup(附取证题目+解压密码+附件)_是Mumuzi的博客-CSDN博客

AmyZYX - 博客园,官方wp

取证

手机取证_1

iPhone手机的iBoot固件版本号:(答案参考格式:iBoot-1.1.1)

iBoot-7429.62.1

原来这个ipone的zip镜像,是可以直接取证的,我解压了,然后思维固化了,然后就没取出来呜呜呜

手机取证_2

该手机制作完备份UTC+8的时间(非提取时间):(答案参考格式:2000-01-01 00:00:00)

2022-01-11 18:47:38

2022-01-11T10:47:38Z,+8,2022-01-11 18:47:38

exe分析_1

文件services.exe创建可执行文件的路径是:(答案参考格式:C:\Windows.exe)

C:\Program Files\Common Files\Services\WmiApSvr.exe

在聊天记录里找到一个压缩包

services.exe就在里面

奇安信的这个平台sandbox.ti.qianxin.com,好牛逼,C:\Program Files\Common Files\Services\WmiApSvr.exe

exe分析_2

文件HackTool.FlyStudio.acz_unpack.exe是否调用了advapi32.dll动态函式链接库?

exe分析_3

文件aspnet_wp.v.exe执行后的启动的进程是什么:(答案参考格式:qax.exe)

svchost.exe

exe分析_4

文件[4085034a23cccebefd374e4a77aea4f1]是什么类型的木马:(答案参考格式:勒索)

挖矿

exe分析_5

文件[4085034a23cccebefd374e4a77aea4f1]网络连接的IP地址的归属地是哪个国家:(答案参考格式:美国)

韩国

sandbox.ti.qianxin.com太牛逼了,呜呜呜当时比赛的时候怎么就不会用呢

APK分析_01

受害人手机中exec的序列号是:(答案参考格式:0xadc)

0x936eacbe07f201df

APK分析_02

受害人手机中exec关联服务器地址是:(答案参考格式:asd.as.d)

ansjk.ecxeio.xyz

mainactivity是安卓程序入口,来自Android之MainActivity类 - Tsingke - 博客园

APK分析_03

受害人手机中exec加载服务器的函数是:(答案参考格式:asda)

loadUrl

APK分析_04

受害人手机中exec的打包ID是:(答案参考格式:adb.adb.cn)

__W2A__nansjy.com.cn

APK分析_05

受害人手机中exec的是否有安全检测行为?

搜索安全,着实没想到能这么操作

APK分析_06

受害人手机中exec的检测方法的完整路径和方法名是:(答案参考格式:a.a.a())

d.a.a.c.a.a()

APK分析_07

受害人手机中exec有几个界面:(答案参考格式:2)

3

APK分析_08

受害人手机中红星IPA的包名是:(答案参考格式:a.s.d)

com.dd666.hongxin

红星.ipa改后缀为zip,然后解压,里面就有info.pslist,.ipa的后缀涨见识了属于是

CFBundleIdentifier——com.dd666.hongxin

APK分析_09

受害人手机中红星IPA的APIKEY是:(答案参考格式:asd)

d395159c291c627c9d4ff9139bf8f0a700b98732

APK分析_10

受害人手机中红星IPA的权限有哪些?

相册、定位、摄像头、麦克风全选

APK分析_11

嫌疑人手机中红星APK的服务器地址是:(答案参考格式:ass.a.d:11)

www.nansjy.com.cn:8161

APK分析_12

嫌疑人手机中红星APK的程序入口是:(答案参考格式:a.v.b.n)

com.example.weisitas526sad.activity.SplashActivity

APK分析_13

嫌疑人手机中分析聊天工具,服务器的登录端口是:(答案参考格式:12)

6661

打开BigAnt5,随便输入一个账号密码,跳转到这个界面,或者网络设置直接就在右下角

APK分析_14

嫌疑人手机中分析聊天工具,用户归属的机构是:(答案参考格式:太阳)

红星

APK分析_15

结合手机流量分析聊天工具的登录账号和密码是:(答案参考格式:1212311/12312asd)

服务器取证_01

服务器在启动时设置了运行时间同步脚本,请写出脚本内第二行内容。(答案参考格式:/abcd/tmp www.windows.com)

/usr/sbin/ntpdate time.nist/gov

查看开机自启动文件etc/rc.local

查看time.sh,上图的路径打不开,后来直接用find找的

gztmpdir显示此文件是被加密的,gzexe -d time.sh解密

服务器取证_02

服务器在计划任务添加了备份数据库脚本,请写出该脚本的第二行内容。(答案参考格式:2022年第六届蓝帽杯)

#台北下着雪你说那是保丽龙

crontab -l查看计划任务

.sh.x是shc加密

在下载unshc脚本时,很奇怪的下载不了,下载完解密后查看文件即可

服务器取证_03

使用宝塔linux面板的密码加密方式对字符串lanmaobei进行加密,写出加密结果。(答案参考格式:e10adc3949ba59abbe56e057f20f883e)

25b9447a147ad15aafaef5d6d3bc4138

宝塔面板的秘密吗加密方式存放在/www/server/panel/class/users.py里面

第34行显示了加密方式,那个salt是随机产生12位随机字符串,但是官方wp上没有考虑salt,不大清楚

服务器取证_04

写出服务器中第一次登录宝塔面板的时间。(答案参考格式:2022-02-02 02:02:02)

2021-05-17 16:10:40

面板日志是被清除的

cd /www/server/panel/logs/request,该目录里保存了所有访问宝塔面板的get或者post请求,ls查看发现里面是以日期命名的压缩包,gunzip -d命令解压一个最早的压缩包

成功登录宝塔面板的post和get请求是连续的,且后接内容分别为login和?,符合条件的时间如图

服务器取证_05

写出宝塔面板的软件商店中已安装软件的个数(答案参考格式:2)

6

这个很奇怪的是宝塔外网地址和内网地址都登不上去

服务器取证_06

写出涉案网站(维斯塔斯)的运行目录路径。(答案参考格式:/root/etc/sssh/html)

/www/wwwroot/v9.licai.com/public

根据宝塔面板的外网地址对应一下就行,但是宝塔我登不上去

服务器取证_07

写出最早访问涉案网站后台的IP地址。(答案参考格式:111.111.111.111)

183.160.76.194

查找日志文件

第一个日志是空的,  在第二个日志文件的目录中发现了涉案网站的日志

找到了,比较靠后,还有涉案网站的后台地址http://www.nansjy.com.cn:8161/AdminV9YY/Login

服务器取证_08

写出涉案网站(维斯塔斯)的“系统版本”号。(答案参考格式:6.6.6666)

1.0.190311

服务器取证_09

分析涉案网站的会员层级深度,写出最底层会员是多少层。(答案参考格式:66)

10

服务器取证_10

请写出存放网站会员等级变化制度的网站代码文件的SHA256值。(答案参考格式: 8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92)

在/www/wwwroot/v9.licai.com目录下查找会员等级,find -name *.php | xargs grep '会员等级'

来自关于 find grep xargs 命令总结_Bing0lin的博客-CSDN博客_grep xargs

服务器取证_11

计算向网站中累计充值最多的五名会员,获得的下线收益总和(不包含平台赠送)。(答案参考格式:666.66)

25178.59

用弘连自带的数据库分析工具导出membercharge表,用excel做数据透视表,后排序,得到充值最多的五名会员

导出memberlog表,得到的答案和官方wp的不一样,很奇怪

服务器取证_12

统计涉案网站中余额大于0且银行卡开户行归属于四川省的潜在受害人数量。(答案参考格式:6)

2

导出member表,bankaddress筛选四川

服务器取证_13

统计平台从成立之初至“2021-07-01 23:59:59”共收益多少金额(不包含平台赠送)。(答案参考格式:6666.66)

9805957.00

membercharge表1979503

memberwithdrawal表489954

两个值相减1489549,差的有点多

服务器取证_14

统计涉案网站哪一天登录的会员人数最多。(答案参考格式:1999-09-09)

2021-07-14

限制memo为登录成功,然后筛选

服务器取证_15

写出涉案网站中给客服发送“你好,怎么充值”的用户的fusername值。(答案参考格式:lanmaobei666)

hm688

2022蓝帽杯半决赛电子取证相关推荐

  1. 2022蓝帽杯初赛电子取证

    手机取证  1. 627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是?[答案格式:19201080] 360360 直接搜索-表格视图 2. 姜总的快递单号 ...

  2. 2022蓝帽杯初赛wp

    文章目录 Misc domainhacker domainhacker2 电子取证 手机取证_1 手机取证_2 计算机取证_1 计算机取证_2 计算机取证_3 计算机取证_4 程序分析_1 程序分析_ ...

  3. 蓝帽杯2022年半决赛 writeup(附取证题目+解压密码+附件)

    文章目录 电子取证 手机取证_1 手机取证_2 exe分析_1 exe分析_2 exe分析_3 exe分析_4 exe分析_5 apk分析_01 apk分析_02 apk分析_05 apk分析_06 ...

  4. 【阿尼亚不会CTF】第六届”蓝帽杯“全国大学生网络安全技能大赛—线上初赛部分writeup

    啊!!!蓝帽杯第一次加入取证模块呢,取证静态分,CTF动态分,这波是出道即C位,完全挤掉CTF,属于被迫做取证题惹~ 菜鸟阿尼亚会做的题不多,以后也要继续加油哦!!! (点名计算机取证出题人--某某某 ...

  5. 2022美亚杯第八届中国电子数据取证大赛-个人赛write up详解,软件就用弘连和美亚,尽量写的细致一点。建议入门看,仅为了解题,没有专业精神。专业选手去看后面推荐的两篇解析,都是大佬。

    建议新手看我的博客,比较简单粗暴,解题率较低,仅仅是为了比赛,入门的同学可以看看.我的水平还很糟糕,之后会努力学习,所以这篇博客也会不断修改完善.博客还有很多不当之处,如有发现不当之处请私信我,我会做 ...

  6. 2022第四届长安杯电子取证竞赛 服务器赛时思路题解 Zodi4c

    2022 长安杯 服务器赛时做题思路备忘 Zodi4c VC容器密码为:2022.4th.changancup! 我赛时的做题思路和关心老师的讲解基本一致,只是没了上帝视角,本人只开了服务器,所以案件 ...

  7. [ CTF ]【天格】战队WriteUp-第六届”蓝帽杯“全国大学生网络安全技能大赛(半决赛)

    第六届"蓝帽杯"全国大学生网络安全技能大赛(半决赛)电子取证赛题 第六届"蓝帽杯"全国大学生网络安全技能大赛(半决赛)其他赛题 [Misc]加密的通道 1.经过 ...

  8. 第四届长安杯电子取证大赛个人总结

    第四届长安杯电子取证竞赛个人总结 P1ANT731 第四届长安杯竞赛检材VC容器SHA256计算 PS E:\2022Changancup> certutil -hashfile E:\2022 ...

  9. 【“到此一游”系列】(菜鸡参加“美亚杯” 电子取证大赛感受)

    到此一游 -- 美亚杯 感受及经验 背景 比赛现场 1. 上午八点二十 2. 九点 3. 十一点 我的比赛过程 比赛经验 我的思路是 1. 第一步 2. 第二步 3.第三步 注 结尾 感受及经验 背景 ...

  10. 盘古石杯电子取证比赛WP

    "盘古石杯"电子取证比赛WP 写在前面 刚刚比完了比赛,觉得自己还有很多东西没做过,现在趁着写WP的时候顺便复盘一下,望各位大佬指正. 2023年5月4日中午收到短信通知告诉我可以 ...

最新文章

  1. 神经科学中的数学之美
  2. 基于容器原理(docker、lxc、cells)的Android 双系统设计概要
  3. text type dropdown list - INIT_DATA
  4. execve系统调用_张凯捷—系统调用分析(3) (基于最新Linux5.0版本系统调用日志收集系统)...
  5. 视觉测试_视觉设计流行测验
  6. 在 .NET Core 中使用 DiagnosticSource 记录跟踪信息
  7. java 生成二维码
  8. 遗传算法学习笔记(一):常用的选择策略
  9. Python爬取网页
  10. 绿茶软件测试自学,7号心理测试小程序
  11. 潘石屹没跑,他去学 Python 了
  12. 《华为数字化转型之道》-名不副实所以更值得学习
  13. POI导出echarts统计报表到Excel
  14. TextView 在xml 中设置图片大小
  15. 英伟达P8显卡_英特尔独显芯片上市 AMD 英伟达 英特尔显卡芯片三方对战_笔记本新闻...
  16. RFSoC应用笔记 - RF数据转换器 -09- RFSoC关键配置之RF-DAC内部解析(三)
  17. 控制文件的备份与还原
  18. Linux LVM(逻辑卷管理)
  19. Week2 Bing词典Android客户端案例分析
  20. 区块链solidity学习(地址、交易篇:一)

热门文章

  1. 【keytool】keytool查看jks证书详情
  2. AWWWB.COM网站克隆器
  3. 51c语言单片机io口控制实验报告,单片机实验报告二 单片机IO口实验
  4. android ssh软件,优秀的 Android SSH 工具推荐
  5. JDK7~13的新特性
  6. java 定时调用api_java定时任务接口ScheduledExecutorService
  7. Python读写LMDB文件
  8. python汉字拼音首字母,python获取一组汉字拼音首字母的方法
  9. 第073封“情书”:小目标20181022Using UV Layout ForGeometryPacking<Entagma>Houdini 2018
  10. java cjson_使用cJSON