2022蓝帽杯半决赛

2022蓝帽杯取证题目+解压密码+附件
链接：https://pan.baidu.com/s/1AS0wVdjZxt46zaDcDzxdaQ
提取码：scpc
–来自百度网盘超级会员V4的分享
解压密码7(G?fu9A8sdgfMsfsdrfE4q6#cf7af0fc1c

参考奇安信攻防社区-第六届“蓝帽杯”半决赛取证题目官方解析

2022蓝帽杯半决赛 取证题目Writeup - DIDCTF-Blog

2022第六届蓝帽杯半决赛服务器取证部分wp_2023蓝帽杯wp-CSDN博客

手机取证

手机取证_1

iPhone手机的iBoot固件版本号:（答案参考格式：iBoot-1.1.1）
用盘古手机取证打开zip文件

手机取证_2

该手机制作完备份UTC+8的时间（非提取时间）:（答案参考格式：2000-01-01 00:00:00）

打开压缩包，根目录文件创建时间就是备份完成时间

exe分析

exe分析_1

文件services.exe创建可执行文件的路径是:（答案参考格式：C:\Windows.exe）

使用盘古石计算机取证分析系统挂载受害者安卓手机磁盘，可以发现一个压缩包

解压需要密码，我用passware爆破后得到密码virus

提取出services.exe后，放入沙箱，得到创建的可执行文件路径

exe分析_2

文件HackTool.FlyStudio.acz_unpack.exe是否调用了advapi32.dll动态函式链接库？

（是/否）

沙箱静态分析里面有

exe分析_3

文件aspnet_wp.v.exe执行后的启动的进程是什么

拖入沙箱,进程详情里面有

exe分析_4

文件[4085034a23cccebefd374e4a77aea4f1]是什么类型的木马

同理，拖入沙箱

exe分析_5

文件[4085034a23cccebefd374e4a77aea4f1]网络连接的IP地址的归属地是哪个国家:（答案参考格式：美国）

沙箱动态分析win10

APK分析

APK分析_01

受害人手机中exec的序列号是:（答案参考格式：0xadc）

在计算机取证data.vmdk里面搜exec。找到base.apk

导出后，使用jadx打开，找到序列号

0x936eacbe07f201df

APK分析_02

受害人手机中exec关联服务器地址是

放到jadx分析，找到mainactivity

放到瑞士军刀base64解码

ansjk.ecxeio.xyz

APK分析_03

受害人手机中exec加载服务器的函数是:（答案参考格式：asda）

还是先看main函数，里面有个t函数

右键查找用例。

点击，看到loadurl

APK分析_04

受害人手机中exec的打包ID是:（答案参考格式：adb.adb.cn）

因为题目提示里面有.cn，就直接搜索.cn

APK分析_05

受害人手机中exec的是否有安全检测行为？

是/否

有的，从sdcard磁盘提取出文件exec.apk

放到jadx分析，我直接搜索安全的，然后就可以看到很多安全检测

APK分析_06

受害人手机中exec的检测方法的完整路径和方法名是:（答案参考格式：a.a.a()）

可以看到是d.a.a.c.a.b()

APK分析_07

受害人手机中exec有几个界面:（答案参考格式：2）

把base.apk放到雷电分析，主Activity有三个

APK分析_08

受害人手机中红星IPA的包名是:（答案参考格式：a.s.d）

在计算机取证里面把红星ipa导出

解压

打开info.plist，找到包名

APK分析_09

受害人手机中红星IPA的APIKEY是:（答案参考格式：asd）

还是在这个文件搜索APIKEY,里面就有了

d395159c291c627c9d4ff9139bf8f0a700b98732

APK分析_10

受害人手机中红星IPA的权限有哪些？
[ 多选 ] 相册|定位|摄像头|麦克风

在info.plist文件中搜索红星，有相册，定位，摄像头，麦克风

 APK分析_11

嫌疑人手机中红星APK的服务器地址是:（答案参考格式：ass.a.d:11）

在红星.apk里面搜索url

www.nansjy.com.cn:8161

APK分析_12

嫌疑人手机中红星APK的程序入口是:（答案参考格式：a.v.b.n）

用gda4打开，找到mainactivity，就是程序入口

 APK分析_13

嫌疑人手机中分析聊天工具，服务器的登录端口是:（答案参考格式：12）

先在应用列表里面找这个聊天工具

搜索bigant5的操作手册，里面有端口号

6661

 APK分析_14

嫌疑人手机中分析聊天工具，用户归属的机构是:（答案参考格式：太阳）

 红星的文件在bigant5下面

 APK分析_15

结合手机流量分析聊天工具的登录账号和密码是:（答案参考格式：1212311/12312asd）

嫌疑人里面有个流量包，放到fiddler里面进行流量分析

因为题目问登录账号密码，所以搜索login

 找到password，需要进行md5碰撞

然后得到password了，这里有username

服务器取证

服务器取证_01

服务器在启动时设置了运行时间同步脚本，请写出脚本内第二行内容。（答案参考格式：/abcd/tmp www.windows.com）

Linux系统设置开机自动运行脚本的方法实例-腾讯云开发者社区-腾讯云

仿真

先搜下有啥脚本，找到个time.sh

vi /etc/rc.local

 发现了一个time.sh文件，打开

vi /root/time.sh

 查看该脚本，发现有一关键词“$gztmpdir”出现多次,确认该脚本是经过压缩的，执行命令 gzexe -d time.sh对脚本进行解密

gzexe -d time.sh

服务器取证_02

服务器在计划任务添加了备份数据库脚本，请写出该脚本的第二行内容。（答案参考格式：2022年第六届蓝帽杯）

#台北下着雪你说那是保丽龙

执行命令 crontab -l查看计划任务

发现脚本后缀为sh.x，这个一般为shc加密，先在火眼里面找到这个文件并导出

参考Shell加密/解密工具_unshc_温其丨如玉的博客-CSDN博客

使用unshc.sh脚本进行解密

./unshc-v0.8.sh backup.sh.x

vi backup.sh查看脚本内容 

服务器取证_03

使用宝塔linux面板的密码加密方式对字符串lanmaobei进行加密，写出加密结果。（答案参考格式：
e10adc3949ba59abbe56e057f20f883e）

25b9447a147ad15aafaef5d6d3bc4138

看别人wp的

宝塔面板的密码加密方式存放在文件“/www/server/panel/class/users.py”下

从users.py 中得知对字符串lanmaobei加密的加密方式

直接在线进行md5加密 ，转换三次

加上_bt.cn

再进行一次md5加密

服务器取证_04

写出服务器中第一次登录宝塔面板的时间。（答案参考格式：2022-02-02 02:02:02） 

2021-05-17 16:10:40

在相对路径www\server\panel\logs\request中可以找到宝塔面板的访问日志，在以下文件中选择时间最早的解压查看

打开，搜索login，找到时间

服务器取证_05

写出宝塔面板的软件商店中已安装软件的个数（答案参考格式：2） 

6

CentOS7关于网络的设置_centos7网络配置_akipa11的博客-CSDN博客

一开始centos一直ping不通，参考这篇网络设置

然后ip addr

使用mobax连接

root 123456

先登录到宝塔面板中，bt 5修改密码

执行命令 bt 11 && bt 12 && bt 13 && bt 23 关闭一些登录限制 

bt 23会报错

这个文件没有权限删除，执行命令 lsattr /www/server/panel/config/basic_auth.json 

这个i是代表不可修改权限，执行命令 chattr -i /www/server/panel/config/basic_auth.json && rm -rf /www/server/panel/config/basic_auth.json 和bt 23就可以关闭限制了 

进入宝塔

查看已安装

服务器取证_06

写出涉案网站（维斯塔斯）的运行目录路径。（答案参考格式：/root/etc/sssh/html） 

/www/wwwroot/v9.licai.com/public

查看网站目录

服务器取证_07

写出最早访问涉案网站后台的IP地址。（答案参考格式：111.111.111.111） 

183.160.76.194

进入数据库，在loginlogs里面有信息

服务器取证_08

写出涉案网站（维斯塔斯）的“系统版本”号。（答案参考格式：6.6.6666）

在admins表中看到管理员的账号和密码

http://192.168.75.128:8161/AdminV9YY/Login

登录后台

但是发现管理员账号被加密了，所以要么修改加密文件或者i需改数据库

所以先通过访问

http://192.168.75.128:8161/login.html

注册一个id

需要邀请码，从member表中随便找一个

注册成功后到member表中查询wwyy我注册的用户名

找到了我的password，把这个password给管理员

然后再登录

admin 123456

看到版本号

服务器取证_09

分析涉案网站的会员层级深度，写出最底层会员是多少层。（答案参考格式：66）

10

这题确实看别人wp也没看懂

在数据库中member表中，先找出上下级关联字段inviter,invicode,然后通过脚本实现递归，算出层级表

服务器取证_10

请写出存放网站会员等级变化制度的网站代码文件的SHA256值。（答案参考格式：
8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92） 

18a011ab67c8c39a286607669211ab3961ddb4a63d29487b7b367b3174af5a78

mobax中执行命令 find /www/wwwroot/v9.licai.com/ -name *.php* |xargs grep '会员等级'

找到这个文件，在火眼中打开，计算sha256

得到

 服务器取证_11

计算向网站中累计充值最多的五名会员，获得的下线收益总和(不包含平台赠送)。（答案参考格式：
666.66）

回到数据库，我们发现流水都在membercharge这个表中，当status=1时，为已处理。

我们需筛选type为用户充值，status为1，并且要求amount金额在前五名

所以

执行sq语句 SELECT userid,sum(amount) FROM memberrecharge where type = '用户充值' and status = 1 group by userid order by sum(amount) desc limit 5 

得到充值最多的前五名

下面需要求和，刚才已经得到这五个人的userid，还要要求moneylog_type为下线

执行sql语句 select sum(moneylog_money) from moneylog where moneylog_type like '%下线%' and moneylog_userid in (7,2,12,11,168) 

服务器取证_12

统计涉案网站中余额大于0且银行卡开户行归属于四川省的潜在受害人数量。（答案参考格式：6） 

2

SELECT * FROM `member` WHERE `bankaddress` like "%四川%"

就找到两个符合条件的

服务器取证_13

统计平台从成立之初至“2021-07-01 23:59:59”共收益多少金额(不包含平台赠送)。（答案参考格式：
6666.66）

9805957.00

这个sql语句有点过于复杂了。。

select b.a-d.c from (SELECT sum(amount) a FROM memberrecharge where type = '用户充值' and status = 1 and updated_at < '2021-07-01 23:59:59' ) b,(SELECT sum(amount) c FROM memberwithdrawal where status = 1 and updated_at < '2021-07-01 23:59:59') d

但是看还是能看懂。组合了两个查询

收益，所以说type得是用户充值，然后status是1，时间也进行了限制

服务器取证_14

统计涉案网站哪一天登录的会员人数最多。（答案参考格式：1999-09-09）

需要从memberlog表中进行查询

只需要尝试登入，通过时间来获取 count(userid)即可

查询时间 那么我们就需要使用函数 date_format(列，格式)

执行sql语句 SELECT COUNT(DISTINCT(userid)),date_format(updated_at,'%Y-%m-%d') FROM memberlogs GROUP BY date_format(updated_at,'%Y-%m-%d') ORDER BY COUNT(DISTINCT(userid)) DESC 

服务器取证_15

写出涉案网站中给客服发送“你好，怎么充值”的用户的fusername值。（答案参考格式：lanmaobei666） 

hm688

在/root目录下发现一个mysqldump.sql文件导出，打开直接搜索你好

得到答案