目录
Misc
Misc1:
利用wireshark进行分析,发现可以导出http文件。
导出一下。
发现存在压缩文件,并且有密码,因为第17个php文件是rar文件响应,所以在第16个中找paylaod。
删去前两个然后base64解码得到flag为SecretsPassw0rds。
然后解压压缩包,得到txt文件,NTLM是所需要的hash值。
Flag为:flag{ 416f89c3a5deb1d398a1a1fce93862a7 }
Misc2:
和第一题一样,同样的http导出。
本来就存在一个压缩文件,尝试找password。
得到密码为:FakePassword123$
下载数据库,利用DSLnternals检索有关账户的信息,数据库是解压后的Active开头的文件。用powershell来执行命令:
$key = Get-BootKey -SystemHiveFilePath 'C:\Users\hp\Desktop\new\registry\SYSTEM'
Get-ADDBAccount -ALL -DBPath "C:\Users\hp\Desktop\new\Active Directory\ntds.dit" -BootKey $key
得到flag:flag{07ab403ab740c1540c378b0f5aaa4087}
手机取证:
手机取证1:
解压文件:运行文件:
通过搜索找到目标图片:
答案为:360x360
手机取证2:
搜索姜总:找到如下信息:
答案为:
SF1142358694796
计算机取证:
计算机取证1:
解压后,用软件volatility_2.6_win64_standalone可以查看文件1.dmp。
命令:
volatility.exe -f 1.dmp --profile=Win7SP1x64 hashdump
将7f21caca5685f10d9e849cc84c340528进行Md5解密得到flag。
Flag为:anxinqi
计算机取证2:
利用命令
volatility.exe -f 1.dmp --profile=Win7SP1x64 pslist
查看所有进程。
MagnetRAMCaptu中的pid是题目需要的,为2192.
Flag为2192。
程序分析:
程序分析1:
首先反编译一下apk文件。
然后打开xml文件即可得到程序包名。
程序分析2:
用apk改之理打开apk文件,找的程序的入口,也可以直接再xml中找的。
程序的人口,即flag为minmtta.hemjcbm.ahibyws.MainActivity
程序分析3:
利用安卓逆向软件打开,搜索main。
找到
Flag为aHR0cHM6Ly9hbnNqay5lY3hlaW8ueHl6
网站取证:
网站取证1:
得到文件,直接放d盾中,发现隐藏木马
Flag为lanmaobei666。
网站取证2:
搜索含有password的文件,最后在database.php中发现password是my_encrypt()函数的返回值。
追踪encrypt,在encrypt.php中发现了一系列加密。
发现password是函数返回值,php跑一下即可
Flag为:KBLT123
网站取证3:
找到如下目录下一个Channelorder.php文件,在此文件中找到一个加密值,尝试提交,正确。
WWW\application\admin\controller
答案为:jyzg123456
网站取证4:
将数据库里面的交易记录拉出来,放到与脚本文件的同一文件下命名为xxx:
import hashlib
import base64
def decrypt(data):
data = base64.b64decode(data)
mystr = ''
for i in range(6):
temp = data[i] - ord(key[i])
mystr += chr(temp)
return mystr
key = hashlib.new('md5', b'jyzg123456').hexdigest()[:6]
bargain = [0.04, 0.06, 0.05, 0.07, 0.10, 0.15, 0.17, 0.23, 0.22, 0.25, 0.29, 0.20, 0.28, 0.33, 0.35, 0.35, 0.37]
fileme = open("./xxx.txt", "r").readlines()
num = 0
for i in fileme:
if "', 5, 3, '" in i:
temp = i.strip().split()
y = int(temp[0][-2:])
data = temp[-1].replace('\'','')
num += (int(decrypt(data)) * bargain[y-2])
else:
pass
print(num)
最终答案即为15758353.76