2022蓝帽杯初赛取证部分wp(详细)

这篇具有很好参考价值的文章主要介绍了2022蓝帽杯初赛取证部分wp(详细)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。


前言

本文是2022蓝帽杯初赛取证部分复盘,感觉题目难度适中,因此选择性的记录了做出来的部分。这不是本次比赛完整的WP,如果有需要可以翻一翻其他大师傅的文章

手机取证_1&2

题目描述:

现对一个苹果手机进行取证,请您对以下问题进行分析解答。

1.627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是?(答案参考格式:1920x1080)

2.姜总的快递单号是多少?(答案参考格式:abcABC123)

下载附件,解压

解压的文件夹里有一个名为 苹果测试查看.exe 的应用程序

打开苹果测试查看.exe,在搜索栏中搜索 627604C2-C586-48C1-AA16-FF33C3022159.PNG ,将得到的图片导出

2022蓝帽杯初赛取证部分wp(详细)

查看导出图片的属性,得到分辨率为360×360

再次从搜索栏里搜索关键字 ,在Skype下的组群聊天中,找到姜总的快递单号

2022蓝帽杯初赛取证部分wp(详细)

姜总的快递单号为SF1142358694796

程序分析_1&2&3

题目描述:
现已获取某个APP程序,请您对以下问题进行分析解答。

1.本程序包名是?(答案参考格式:abc.xx.de)

2.本程序的入口是?(答案参考格式:abc.xx.de)

3.本程序的服务器地址的密文是?(答案参考格式:abcABC123)

4.本程序实现安全检测的类的名称是?(答案参考格式:abcABC123)

下载附件,解压得到一个apk程序

使用在线网站摸瓜(www.mogua.co),上传apk,得到解析结果

2022蓝帽杯初赛取证部分wp(详细)

得到该程序的包名 exec.azj.kny.d.c和该程序的入口 minmtta.hemjcbm.ahibyws.MainActivity

将apk程序拖入 jadx-gui-1.3.3.exe

2022蓝帽杯初赛取证部分wp(详细)

找到该程序的服务器地址的密文为aHR0cHM6Ly9hbnNqay5lY3hlaW8ueHl6

计算机取证_2&3&4

题目描述:
现对一个windows计算机进行取证,请您对以下问题进行分析解答。

1.从内存镜像中获得taqi7的开机密码是多少?(答案参考格式:abcABC123)

2.制作该内存镜像的进程Pid号是多少?(答案参考格式:1024)

3.bitlokcer分区某office文件中存在的flag值为?(答案参考格式:flag{abcABC123})

4.TrueCrypt加密中存在的flag值为?(答案参考格式:flag{abcABC123})

下载附件,解压得到一个dmp文件,一个E01文件

使用取证大师自带的 内存镜像解析工具 解析 1.dmp ,得到一个TrueCrypt密钥文件和一个BitLocker密钥文件

2022蓝帽杯初赛取证部分wp(详细)

2022蓝帽杯初赛取证部分wp(详细)

分别导出

再使用内存镜像解析工具解析1.dmp,发现制作镜像的进程MagnetRAMCaptu

2022蓝帽杯初赛取证部分wp(详细)

得到PID:2192

使用取证大师打开G.E01,发现分区1是BitLocker加密,正好用到上面得到的密钥

自动取证,得到新建文本文档.txt(这个第四步会用到)、pass.txt我天.docx和从渗透看取证.pptx

2022蓝帽杯初赛取证部分wp(详细)

2022蓝帽杯初赛取证部分wp(详细)

使用aopr爆破得到的word文档和ppt文档(字典爆破,字典是pass.txt

2022蓝帽杯初赛取证部分wp(详细)

得到pptx文档的密码是287fuweiuhfiute,打开得到flag{b27867b66866866686866883bb43536}

2022蓝帽杯初赛取证部分wp(详细)

接着查看新建文本文档.txt的属性,发现这个文件出奇的大,猜测这不是一个txt文件

结合题目说的“TrueCrypt加密”,猜测这个文件正确的后缀应该是hc

将文件后缀改为hc,使用取证大师取证修改完后缀的文件(密钥就是前面得到的TrueCrypt密钥)

自动取证,得到一个被加密的压缩包哈哈哈.zip

使用ARCHPR爆破,得到密码为991314

2022蓝帽杯初赛取证部分wp(详细)

得到flag{1349934913913991394cacacacacacc}文章来源地址https://www.toymoban.com/news/detail-419786.html

到了这里,关于2022蓝帽杯初赛取证部分wp(详细)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 2023蓝帽杯半决赛电子取证+CTF部分题解

    非预期 先将data.xlsx中到的每一列都按照大小排序 之后将加粗的字体的背景颜色改为黑色

    2024年02月07日
    浏览(39)
  • 第七届蓝帽杯取证部分复盘一题多解,apk取证,手机取证,计算机取证

    这次蓝帽杯,我们队友之间合作的比较好了,我主要负责的是misc,apk取证,手机取证。但是比赛的misc居然是取证,没做出来,准备了一个暑假的misc压缩包,图片隐写等,没有用上。取证三个部分复盘了有三四天,比较慢,但能学到东西,和大佬们的交流真的受益匪浅。 取证

    2024年04月15日
    浏览(34)
  • [第七届蓝帽杯全国大学生网络安全技能大赛 蓝帽杯 2023]——Web方向部分题 详细Writeup

    你真的熟悉PHP吗? 源码如下 首先要先解决传参 my_secret.flag 根据php解析特性,如果字符串中存在 [、. 等符号,php会将其转换为 _ 且只转换一次 ,因此我们直接构造 my_secret.flag 的话,最后php执行的是 my_secret_flag ,因此我们将前面的 _ 用 [ 代替,也就是传参的时候传参为 my[s

    2024年02月10日
    浏览(43)
  • 2023第七届蓝帽杯 初赛 web LovePHP

    直接给了源码。 network查看到,PHP版本是 7.4.33 题目要求我们GET一个 my_secret.flag 参数,根据PHP字符串解析特性,PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事: 删除空白符 将某些字符( [ 空格 + . )转换为下划线 实际应用: get传参NSS_JAY

    2024年02月10日
    浏览(35)
  • 2023浙江省大学生信息安全竞赛初赛 部分wp

    Web easy php BBB::__debuginfo() - CCC::__toString() - AAA::__call() RE pyccc uncompyle6.exe 逆不出py 逆出如下文件 分析可知 先初始化一个数组 再对其内的每个元素异或其下标 flag{1t_is_very_hap4y!!} ezapk 反编译apk 解aes Crypto 小小数学家 re 匹配数字和符号进行运算 DASCTF{9d811301-281b-4f4a-8d1a-b38beccf2285} 基

    2024年02月05日
    浏览(54)
  • 2023浙江省大学生信息安全竞赛技能赛初赛 部分wp

    1、题目信息 查看代码 2、解题方法 这种一看就是计算结果然后结果ASCII组成flag,可以试一下第一个,结果68,对应ASCII正好是D,因此想法正确 exp: 1、附件信息 2、解题方法 根据代码部分可知也就是求:p 2 + q 2 =n 利用sage里方法two_squares来求解。 参考:https://wstein.org/edu/2007/s

    2024年02月05日
    浏览(45)
  • 从2023蓝帽杯0解题heapSpary入门堆喷

    堆喷射(Heap Spraying)是一种计算机安全攻击技术,它旨在在进程的堆中创建多个包含恶意负载的内存块。这种技术允许攻击者避免需要知道负载确切的内存地址,因为通过广泛地“喷射”堆,攻击者可以提高恶意负载被成功执行的机会。 这种技术尤其用于绕过地址空间布局

    2024年02月11日
    浏览(33)
  • 2022第十五届全国大学生信息安全竞赛(ciscn)西南赛区部分WP

    EzSignin 访问题目flag是假的,F12源代码,看到base64解码 解码得到flag CODE 访问题目,有个aid.php直接访问不行,使用PHP为协议进行读取,input2需要等于Welcone!,这里要使用data协议编码一下,input3可以随便输入 得到aid.php的代码 很明显的反序列化,直接构造payload: exp: base64解码得

    2024年02月06日
    浏览(50)
  • OtterCTF—内存取证wp

    目录 前言 一、工具说明 二、题目解析 1.What the password? 2.General Info 3.Play Time 4.Name Game 5.Name Game 2 6.Silly Rick 7.Hide And Seek 8.Path To Glory 9.Path To Glory 2 10.Bit 4 Bit 11.Graphic\\\'s For The Weak 12.Recovery 13.Closure 总结 前几天有幸参加了本市的选拔赛,其中有内存取证的题,当时就愣住了,考完后

    2024年02月08日
    浏览(38)
  • 盘古石杯电子取证比赛WP

    刚刚比完了比赛,觉得自己还有很多东西没做过,现在趁着写WP的时候顺便复盘一下,望各位大佬指正。 2023年5月4日中午收到短信通知告诉我可以下检材了,但是一看到300G的大小,得益于百度网盘那稳定于2G时代的网速,告诉我什么叫做绝望,直到比赛的前一个小时才下完的

    2024年02月07日
    浏览(37)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包