2023蓝帽杯半决赛WP

前言：

很遗憾这次因为某些原因没有参加蓝帽杯半决赛，但还是在比赛结束后第一时间复盘了这次比赛，下面是本人做出的题目WP

蓝帽杯半决赛misc(一)

打开是什么都看不到的excel表格，先给他字体换个颜色然后看到里面有加粗的有不加粗的

想法是让加粗的填充为黑色，初步猜测是二维码，因为有数字，所以考虑排序，试了好多次发现让每一列升序排列（注意：排列时要把规则选明白，有的数字会被认为文本而导致数字并不是升序排列），然后将加粗字体填充为黑色，会发现出现二维码了，用手机扫一下发现flag

关于填充的快速做法：

使用替换选择，查找的字体选加粗，然后替换的填充选黑色

蓝帽杯半决赛取证

检材数据开始提取是今年什么时候？（答案格式：04-12 13:26）

查看log文件

09-11 17：21

嫌疑人手机SD卡存储空间一共多少GB？（答案格式： 22.5）

24.32

嫌疑人手机设备名称是？（答案格式：adfer）

sailfish

嫌疑人手机IMEI是？（答案格式：3843487568726387）

352531082716257

嫌疑人手机通讯录数据存放在那个数据库文件中？（答案格式：call.db）

contacts.db

嫌疑人手机一共使用过多少个应用？（答案格式：22）

查看应用日志，然后把相同的去掉

99

测试apk的包名是？（答案格式：con.tencent.com）测试apk的包名是？（答案格式：con.tencent.com）

com.example.myapplication

测试apk的签名算法是？（答案格式:AES250）

SHA256withRSA

测试apk的主入口是？（答案格式：com.tmp.mainactivity）

com.example.myapplication.MainActivity

测试apk一共申请了几个权限？（答案格式：7）

3

测试apk对Calllog.txt文件内的数据进行了什么加密？（答案格式：DES）

直接搜索calllog.txt文件

Base64

10086对嫌疑人拨打过几次电话？（答案格式：5）

上一问那么问就猜测这个文件就是这一问的，然后去找这个文件

base64解密

2

测试apk对短信记录进行了几次加密？（答案格式：5）

主函数往下滑就看到了对短信的加密

一次AES，一次Base64

2

测试apk对短信记录进行加密的秘钥是？（答案格式：slkdjlfslskdnln）

结合上一题那个calllog.txt,下面那个sms.txt很可能就是短信加密后的记录文件

先找AES加密的密钥

看到了这个getkey，然后双击它

跳转后，看到了native字眼，关于这个native是java为了扩展其功能使用的方法使其可以直接访问操作系统层面，这里我们要去查看他的so文件,解压apk文件就能看到里面的.so文件了，用ida查看so文件

进去直接搜Getkey，然后一直跳转到这个页面

看不懂干嘛，但这串字符很奇怪

查看详细代码tab

里面内容很多，没看懂啥意思，但大致就是给一串字符base64，猜测字符就是前面那一串，然后base64一下

然后用这个去解密AES一下，不能用厨子这里，去网上随便找个网页aes解密

把下面的东西复制出来

解密成功说明，这个密钥是对的

bGlqdWJkeWhmdXJpbmRoY2J4ZHc=

嫌疑人在2021年登录支付宝的验证码是？（答案格式：3464）

接上题

9250