奇怪的组织
1.拿到文件发现是c盘文件,然后发现用phpstudy建了一个dede的站,发现了3个博客和一段密文,但是没有解密的信息。
先试试了base64,结果不对,然后猜测是AES加密,解密需要key,继续从文件中找。
2.官方提示看浏览行为和聊天信息,于是利用places.sqlite文件还原火狐的历史记录,发现bob先是建了dede的站,然后访问了一个emoji的解密网站。
3.根据文件的名字发送thunderbird邮件发送软件,根据thunderbird数据迁移,还原thunderbird的记录发现了邮件记录。
https://support.mozilla.org/zh-CN/kb/将%20Thunderbird%20的数据迁移到另一台计算机
聊天都是加密的,发现了刚才浏览器里面的解密网站,解密需要选一个表情,根据浏览记录的龙,所以用龙的表情来解密。
邮件记录为:
rjddd:无内鬼来点题目
rjddd321:那试试这个呢(haha, now we can chat!)
rjddd321:哦对了,密码你知道的,还是那个
rjddd:当然
rjddd:but this key is too weak!
rjddd321:yeah, maybe... let me think ...
rjddd321:haha, this way is safe!Remember my real name!
然后就换了加密方式,把密文前几个goole搜一下发现是这个网站的加密https://aghorler.github.io/emoji-aes/,需要ket才能解密,
而且提示记住我的真实姓名,于是再从文件中找相关的信息。
4.再看看文件里面的内容,还发现了装有TeamViewer但是没有任何数据,最后在图片里面发现了sdcard文件,是手机的系统文件,先在里面发现了几张钉钉打开的截图,名字是大黑,拿去解密结果不对,大黑应该rjddd的真实姓名,rjddd321和他是朋友,于是想到去恢复手机通讯录,goole搜索得知手机通讯录的文件后缀为vcf,然后在everything中搜素vcf发现了Contacts.vcf,利用vcf编辑器恢复,发现了rjddd312的姓名为matachuan,拿去解密成功解密。
rjddd321:这个还能加密中文呢,无敌了
rjddd:那你把后台账户发我吧
rjddd321:admin admin
rjddd:好的,我一会上去看一看,对了,组织的暗号已经换了,“GxD1r”
rjddd321:帮你传了点东西,以后你写博客应该用的到
GxD1r为博客中AES密文的密码然后解密