网站取证_1
gg币哈哈哈哈哈哈哈哈哈哈
第一次做取证。。
这题用到d盾。好吧d盾也是第一次用hhh
把下载的www文件拖进去,然后他就开始扫描了
打开第一个文件看看
lanmaobei666外包NSSCTF{}
网站取证_2
要给密码先查看数据库配置文件/application/database.php
发现password是my_encrypt()函数的返回值。
追踪这个函数
然后在线运行,就有flag啦
网站取证_3
打开bak.sql文件
查看bak.sql发现tab_channel_order_list和money有关,应该是用来存储金额的
打开www文件夹,直接搜索tab_channel_order_list
里面有个加密值 就是flag
网站取证_4
这题没看懂。。看别人的wp也没看懂。。以后记得还要看!!!
在bak.sql里面找到汇率
交易记录:
人员名单:
计算机取证_1
使用passware直接拿到用户密码
计算机取证_2
volatility的使用参考:
内存取证-volatility工具的使用 (史上更全教程,更全命令)_路baby的博客-CSDN博客
查看所有进程。
命令: volatility.exe -f "E:\nss\1.dmp" --profile=Win7SP1x64 pslist
MagnetRAMCaptu中的pid是题目需要的,为2192.
计算机取证_3
使用取证大师导出内存中的bitlocker密钥
取证大师解密BitLocker加密的e01磁盘文件
发现一个pass.txt,一个加密的ppt,一个加密docx和一个可疑的新建文本文档.txt
使用pass.txt为密码,然后爆破这个ppt
得到密码,去打开ppt
计算机取证_4
取证大师工具集内存镜像解析工具,加载1.dmp,勾选TrueCrypt
把密钥导出,新建案例,加密容器
自动取证,发现里面有哈哈哈.zip文件被加密
导出
使用archpr解密,长度要调整一下,得到密码991314
打开文件
手机取证_1
解压
用盘古阅读器打开,直接搜627604C2-C586-48C1-AA16-FF33C3022159
把图片导出来,然后查看属性,分辨率为360×360
手机取证_2
找群聊的聊天记录,里面有快递单号
程序分析_1
使用jadx打开文件。
jdax逆向后,manifest文件里找到包名
程序分析_2
在classes.dex文件里面
或者用GDA打开,在Baseinfo
程序分析_3
在decode这里
程序分析_4
搜索root环境
可以直接通过这里看到是a类
文章来源地址https://www.toymoban.com/news/detail-651430.html文章来源:https://www.toymoban.com/news/detail-651430.html
到了这里,关于2022蓝帽杯初赛的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!