赛后小结
这次蓝帽杯,我们队友之间合作的比较好了,我主要负责的是misc,apk取证,手机取证。但是比赛的misc居然是取证,没做出来,准备了一个暑假的misc压缩包,图片隐写等,没有用上。取证三个部分复盘了有三四天,比较慢,但能学到东西,和大佬们的交流真的受益匪浅。
参考文章
https://www.cnblogs.com/WXjzc/p/17659719.html
2023第七届蓝帽杯初赛取证部分个人复盘(非官方wp,望各位大佬指正)_mo2901600657的博客-CSDN博客
案情介绍
2021年5月,公安机关侦破了一起投资理财诈骗类案件,受害人陈昊民向公安机关报案 称其在微信上认识一名昵称为yang88的网友,在其诱导下通过一款名为维斯塔斯的 APP,进行投资理财,被诈骗6万余万元。接警后,经过公安机关的分析,锁定了涉案 APP后台服务器。后经过公安机关侦查和研判发现杨某有重大犯罪嫌疑,经过多次摸排 后,公安机关在杨某住所将其抓获,并扣押了杨某手机1部、电脑1台,据杨某交代,其 网站服务器为租用的云服务器。上述检材已分别制作了镜像和调证,假设本案电子数据 由你负责勘验,请结合案情,完成取证题目。
apk部分
1、涉案apk的包名是?[答题格式:com.baid.ccs]
com.vestas.app
直接用安卓APK权限检测就可以查出来包名,摸瓜也是可以的
Apk messenger也是可以使用的,顺便提一下,3.0比4.0好用
2、涉案apk的签名序列号是?[答题格式:0x93829bd]
0x563b45ca
直接拿jadx-gui扫描apk文件,看附件就有序列号
3、涉案apk中DCLOUD_AD_ID的值是?[答题格式:2354642]
2147483647
在jadx里面直接搜索DCLOUD_AD_ID
4、涉案apk的服务器域名是?[答题格式:http://sles.vips.com]
https://vip.licai.com
第一种方法:这个界面要多等一会才会出现,比赛的时候比较着急,出不来,白屏阶段就关掉了。
第二种方法:大佬介绍,先用jadx反编译,apk的重要文件assets找到,app-service.js里面就有服务器网址
5、涉案apk的主入口是?[答题格式:com.bai.cc.initactivity]
io.dcloud.PandoraEntry
主入口在摸瓜里面没有显示
然后决定用aapt处理apk文件,打开生成的文件,搜索activity
(ps:搜索package,后面就是包名)
手机取证
6、该镜像是用的什么模拟器?[答题格式:天天模拟器]
雷电模拟器
看文件名,leidian.xbox,所以是雷电模拟器
7、该镜像中用的聊天软件名称是什么?[答题格式:微信]
与你介绍一下手机vmdk仿真的方法
这种是在软件里面打开的方法
第二种:可以先创建一个新的模拟器,然后关机,把手机文件夹下所有文件夹拖进去覆盖,再打开
两种方法都能进
用雷电模拟器打开vmdk之后,检查发现聊天软件 与你
8、聊天软件的包名是?[答题格式:com.baidu.ces]
com.uneed.yuni
第一种方法:在雷电模拟器手机中下载 “apk安装包导出软件”通过这个软件去查看包名
第二种方法:直接去Android/data里面看包名,com.uneed.yuni本人觉得不是很直白,但是下次的类似题目可能可以用。比如说,这里的com.vestas.app就是诈骗软件维斯塔斯.apk
9、投资理财产品中,受害人最后投资的产品最低要求投资多少钱?[答题格式:1万]
5万
检查 与你 聊天记录,发现最低投资
10、受害人是经过谁介绍认识王哥?[答题格式:董慧]
检查 与你 聊天记录,发现介绍人
计算机取证
11、请给出计算机镜像pc.e01的SHA-1值?[答案格式:字母小写]
23f861b2e9c5ce9135afc520cbd849677522f54c
盘古石计算机取证可以直接出
12、给出pc.e01在提取时候的检查员?[答案格式:admin]
pgs
用x-ways打开镜像就能看到
13 、 请 给 出 嫌 疑 人 计 算 机 内 IE 浏 览 器 首 页 地 址 ? [ 答 案 格 式 : http://www.baidu.com]
答案不确定,http://global.bing.com或http://go.microsoft.com
仿真进来的
在注册表里面找启动页不是很容易,多去搜搜看,后面熟了就快了Computer\HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MAIN
14、请给出嫌疑人杨某登录理财网站前台所用账号密码?[答案格式:root/admin]
yang88/3w.qax.com
盘古石直接跑步不出来,没有密码,不确定
取证大师可以看到密码对应的NTHASH,但是cmd5网站上是付费记录
计算可知,取证大师是对的,只不过cmd5要收费
第二种方法:检视计算机文件,发现密码.txt
第三种方法:用passware去跑内存,分析出账号密码,仿真用密码登录,浏览器里面的自动填充会保留,对应的就是网站前台的账号密码
15、请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号?[答案格式:xxxx(xx)]
2023春季更新(14309)
先看创建一个pdf文件,关闭后再打开,发现默认程序是WPS,然后查看WPS版本号
16、请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1?[答案格式:字母小写]
24cfcfdf1fa894244f904067838e7e01e28ff450
检视D盘,发现img镜像
用盘古石导出,分析后,发现C盘清理.bat
用盘古石计算SHA1
17、请给出嫌疑人Vera Crypt加密容器的解密密码?[答案格式:admin!@#]
3w.qax.com!!@@
检视计算机文件,发现密码.txt
第二种方法:检视系统后发现有问题的文档,导出再放入盘古石。一个txt有2G,很不正常,猜测是加密容器。然后利用盘古石内存分析跑出来,导出这个密钥文件,然后把,就可以去打开容器了。最后在重要资料.xlsx看到VC密码。
18、请给出嫌疑人电脑内iSCSI服务器对外端口号?[答案格式:8080]
3261
仿真进入系统,打开StarWind就可以看到
我觉得这里有个比较难的点就是,要知道去找starwind,检视软件之后,应该会想去打开看看
而且starwind有安装包,没见过没事,要好奇他是干什么的
19 、 请 给 出 嫌 疑 人 电 脑 内 iSCSI 服 务 器 CHAP 认 证 的 账 号 密 码 ? [ 答 案 格 式 : root/admin]
user/panguite.com
把starwind文件夹全部导出,用vscode全局搜索内容,搜索user检查。
如果知道再starwind.cfg文件里面就会找的快,或者知道密码对应的是chapLocalSecret
20、分析嫌疑人电脑内提现记录表,用户“mi51888”提现总额为多少?[答案格式: 10000]
1019
在加密容器内找到表格
内存取证
21、请给出计算机内存创建北京时间?[答案格式:2000-01-11 00:00:00]
2023-06-21 01:02:27
Votatility的默认时间是utc0,北京时间是utc+8
22、请给出计算机内用户yang88的开机密码?[答案格式:abc.123]
3w.qax.com见14
第四种方法:hashdump,不过还是同样的cmd5,查不出来
23、提取内存镜像中的USB设备信息,给出该USB设备的最后连接北京时间?[答案格式:2000-01-11 00:00:00]
2023-06-21 01:01:25
Vol2用usbstor命令查出来
24、请给出用户yang88的LMHASH值?[答案格式:字母小写]
aad3b435b51404eeaad3b435b51404ee
使用Hashdump命令即可
25、请给出用户yang88访问过文件“提现记录.xlsx”的北京时间?[答案格式:2000-01-11 00:00:00]
2023-06-21 00:29:16
直接去搜
26、请给出“VeraCrypt”最后一次执行的北京时间?[答案格式:2000-01-11 00:00:00]
2023-06-21 00:47:41
pslist,直接可以看到,要进行转换
27、分析内存镜像,请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次?[答案格式:10]
2
直接可以看到
28、请给出用户最后一次访问chrome浏览器的进程PID?[答案格式:1234]
2456
文章来源:https://www.toymoban.com/news/detail-852572.html
直接搜,可得文章来源地址https://www.toymoban.com/news/detail-852572.html
到了这里,关于第七届蓝帽杯取证部分复盘一题多解,apk取证,手机取证,计算机取证的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
![[蓝帽杯 2022 初赛]domainhacker](https://imgs.yssmx.com/Uploads/2024/02/672274-1.png)
![[ CTF ]【天格】战队WriteUp-第七届“强网杯”全国安全挑战赛](https://imgs.yssmx.com/Uploads/2024/02/764494-1.png)
