蓝帽杯2022初赛 部分wp

最新推荐文章于 2023-09-18 11:17:20 发布
最新推荐文章于 2023-09-18 11:17:20 发布
阅读量835 收藏 1
点赞数 1
分类专栏: 比赛 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/akxnxbshai/article/details/125710788
版权

目录

Misc

Misc1:

Misc2:

手机取证:

手机取证1:

手机取证2:

计算机取证:

计算机取证1:

计算机取证2:

程序分析:

程序分析1:

程序分析2:

程序分析3:

网站取证:

网站取证1:

网站取证2:

网站取证3:

网站取证4:

Misc

Misc1:

利用wireshark进行分析,发现可以导出http文件。

 

导出一下。

发现存在压缩文件,并且有密码,因为第17个php文件是rar文件响应,所以在第16个中找paylaod。

 

删去前两个然后base64解码得到flag为SecretsPassw0rds。

然后解压压缩包,得到txt文件,NTLM是所需要的hash值。

 

Flag为:flag{ 416f89c3a5deb1d398a1a1fce93862a7 }

Misc2:

和第一题一样,同样的http导出。

 

本来就存在一个压缩文件,尝试找password。

得到密码为:FakePassword123$

 

下载数据库,利用DSLnternals检索有关账户的信息,数据库是解压后的Active开头的文件。用powershell来执行命令:

$key = Get-BootKey -SystemHiveFilePath 'C:\Users\hp\Desktop\new\registry\SYSTEM'


Get-ADDBAccount -ALL -DBPath "C:\Users\hp\Desktop\new\Active Directory\ntds.dit" -BootKey $key

 

得到flag:flag{07ab403ab740c1540c378b0f5aaa4087}

手机取证:

手机取证1:

解压文件:运行文件:

 

通过搜索找到目标图片:

 

答案为:360x360

手机取证2:

搜索姜总:找到如下信息:

 

答案为:

SF1142358694796

计算机取证:

计算机取证1:

解压后,用软件volatility_2.6_win64_standalone可以查看文件1.dmp。

命令:

volatility.exe -f 1.dmp --profile=Win7SP1x64 hashdump

 

将7f21caca5685f10d9e849cc84c340528进行Md5解密得到flag。

Flag为:anxinqi

计算机取证2:

利用命令

volatility.exe -f 1.dmp --profile=Win7SP1x64 pslist

查看所有进程。

MagnetRAMCaptu中的pid是题目需要的,为2192.

Flag为2192。

程序分析:

程序分析1:

首先反编译一下apk文件。

 

 

然后打开xml文件即可得到程序包名。

 

程序分析2:

用apk改之理打开apk文件,找的程序的入口,也可以直接再xml中找的。

 

程序的人口,即flag为minmtta.hemjcbm.ahibyws.MainActivity

程序分析3:

利用安卓逆向软件打开,搜索main。

找到

 

Flag为aHR0cHM6Ly9hbnNqay5lY3hlaW8ueHl6

网站取证:

网站取证1:

得到文件,直接放d盾中,发现隐藏木马

 

Flag为lanmaobei666。

网站取证2:

搜索含有password的文件,最后在database.php中发现password是my_encrypt()函数的返回值。

 

追踪encrypt,在encrypt.php中发现了一系列加密。

 

发现password是函数返回值,php跑一下即可

Flag为:KBLT123

网站取证3:

找到如下目录下一个Channelorder.php文件,在此文件中找到一个加密值,尝试提交,正确。

WWW\application\admin\controller

答案为:jyzg123456

网站取证4:

将数据库里面的交易记录拉出来,放到与脚本文件的同一文件下命名为xxx:


 

import hashlib

import base64

def decrypt(data):

    data = base64.b64decode(data)

    mystr = ''

    for i in range(6):

        temp = data[i] - ord(key[i])

        mystr += chr(temp)

    return mystr

key = hashlib.new('md5', b'jyzg123456').hexdigest()[:6]

bargain = [0.04, 0.06, 0.05, 0.07, 0.10, 0.15, 0.17, 0.23, 0.22, 0.25, 0.29, 0.20, 0.28, 0.33, 0.35, 0.35, 0.37]

fileme = open("./xxx.txt", "r").readlines()

num = 0

for i in fileme:

    if "', 5, 3, '" in i:

        temp = i.strip().split()

        y = int(temp[0][-2:])      

        data = temp[-1].replace('\'','')

        num += (int(decrypt(data)) * bargain[y-2])

    else:

        pass

print(num)

 

最终答案即为15758353.76

f0njl
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【电子取证】网站取证(第六届”杯“全国大学生网络安全技能大赛)
07-12
第六届”杯“全国大学生网络安全技能大赛
2022初赛部分wp
qq_55882340的博客
07-11 1123
2022年初赛部分wp
2022pwn初赛wp
N1rvana的博客
07-10 456
2022pwn wp
2022初赛wp
mumuzi的博客
07-10 5038
2022初赛
2022初赛取证部分wp(详细)
qq_63522833的博客
07-10 2540
目录前言手机取证_1&2程序分析_1&2&3计算机取证_2&3&4 前言 本文是2022初赛取证部分复盘,感觉题目难度适中,因此选择性的记录了做出来的部分。这不是本次比赛完整的WP,如果有需要可以翻一翻其他大师傅的文章 手机取证_1&2 题目描述: 现对一个苹果手机进行取证,请您对以下问题进行分析解答。 1.627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是?(答案参考格式:1920x1080) 2.姜总的
2023年第七届杯半决赛WP(CTF&取证)
weixin_63576152的博客
09-18 1403
打开xlsx文件,打开以后,发现没有字,ctrl+a全选,修改你字体颜色,发现有些加粗,有些没加粗,结合题目,应当排序,将每一列从小到大排序,将加粗的单元格改成黑色,将列宽改为2,得到二维码,扫描后得到flag。对SMS.txt的加密逻辑是先AES加密,再base64加密,AES的秘钥在Getkey函数中。base64解码calllog.txt,得到通话记录,搜索10086结果是2条,且都为呼进。Base64、BASE64都是错的,答案格式模糊,而且base64是编码,不是很懂。
wpwp
05-06
wpwpwpwpwpwpwpwpwp
【MISC】domainhacker(第六届”杯“全国大学生网络安全技能大赛)
07-11
【MISC】domainhacker(第六届”杯“全国大学生网络安全技能大赛)
【电子取证】程序分析(第六届”杯“全国大学生网络安全技能大赛)
07-12
第六届”杯“全国大学生网络安全技能大赛
【电子取证】手机取证(第六届”杯“全国大学生网络安全技能大赛).7z.002
07-13
第六届”杯“全国大学生网络安全技能大赛
2022第六届杯半决赛服务器取证部分wp
dazaogege的博客
10-11 1540
2022第六届杯半决赛服务器取证部分wp
2022初赛电子取证
wuwuliuliu0524的博客
09-02 1282
加密的文档中还有我天.docx和新建文本文档.txt,新建文本文档.txt20MB大的很奇怪,猜测是被truecrypt加密的对象,改后缀为.hc,用取证大师加载后解密,密钥来自工具集-内存镜像取证工具,在1.dmp中能搜到truecrypt密钥。据了解,某网上商城系一团伙日常资金往来用,从2022年4月1日起使用虚拟币GG币进行交易,现已获得该网站的源代码以及部分数据库备份文件,请您对以下问题进行分析解答。[答案格式:flag{abCd1234}][答案格式:asd.xda.asd.ca]
CTF-MISC取证专项练习(更新ing)
qq_52820087的博客
10-13 2422
CTF-MISC取证专项练习
2023杯CTF misc部分wp
mo2901600657的博客
08-28 843
再尝试用vol恢复,把输出仿真出来搜索table.zip得到该文件的内存地址,再通过内存地址将文件导出到本地。取证大师快捷方式解析里面有个key.rsmr的快捷方式(导出源文件提示大小为0无法导出)提示是明文攻击,想到zip明文攻击,发现有一个zip文件(table.zip)取证大师打开后发现没有任何文件怀疑文件被格式化,对镜像进行文件恢复。翻阅了vol的所用参数,发现还有一个可以查看命令行记录的参数。查看ie记录也发现了该文件,那说明这个文件可能是有用的。再次使用vol导出,找到该文件内存地址,导出。
2022初赛
cppuHsir的博客
07-22 434
2022初赛题目
杯2022年半决赛 writeup(附取证题目+解压密码+附件)
mumuzi的博客
08-05 8426
杯2022初赛电子取证
wha1e的博客
07-10 1536
杯2022初赛电子取证
杯 2022 部分wp
blowed的博客
07-14 462
[杯 2022 初赛]之Misc篇(NSSCTF)刷题记录(复现)
Aluxian_的博客
05-08 2237
[杯 2022 初赛]全国大学生网络安全竞赛 电子取证复现
2023初赛misc下载
最新发布
12-04
2023初赛misc下载是指在2023年举办的杯网络安全竞赛中的一项miscellaneous(杂项)类题目的下载。在初赛中,参赛选手需要下载与miscellaneous相关的题目文件或资源,并进行分析和解决。 首先,参赛选手需要前往杯竞赛官方网站或相关论坛查找与初赛misc下载相关的公告或指引。这些网站通常会提供下载链接或资源分享的方式,以方便选手获取题目所需的文件或资源。 其次,根据所提供的下载链接,选手可以点击链接进行下载,也可以使用迅雷、qq旋风等下载工具进行高速下载,以确保下载的文件完整和无误。 在完成下载后,选手需要对下载的文件进行验证。可使用md5校验工具对下载后的文件进行校验,以确保文件的完整性和正确性,防止下载过程中出现错误导致文件损坏。 之后,选手可以开始进行miscellaneous题目的解析和答题。首先,解压下载的文件,查看所提供的题目资源、源代码或二进制文件等。根据题目要求和提示,选手可以使用各种工具和技术,如逆向工程、数据分析、密码学等,进行问题的分析和解决,并找出相应的答案或flag。 最后,选手需要将自己的解题过程、思路和答案记录下来,并按照比赛规则的要求提交答案。可以是一个文本文件或截图,或是将解决问题的代码或脚本提交到竞赛平台或指定的邮箱中。 总之,2023初赛misc下载是参赛选手在参加杯网络安全竞赛中所需进行的一项任务。选手需要在杯官方网站或相关论坛上获取下载链接并下载题目相关的文件或资源,然后对其进行验证、解析和解决,最后提交答案以完成竞赛的要求。这项任务对选手的网络安全技术、解题思维和团队合作能力都提出了较高的要求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

f0njl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值