2022蓝帽杯初赛wp

Misc

domainhacker

常规简单题，流量打开发现很少，于是一个个看TCP流，发现第15个流传输了一个rar，第13个流的时候打包了rar，因此用原始数据将第15个流导出，发现需要密码，猜想在第13流打包的时候填入了密码

因此将前面的YN删掉再去base64

得到密码SecretsPassw0rds

打开之后发现是mimikatz解析的lsass，提交NTLM值即可

flag{416f89c3a5deb1d398a1a1fce93862a7}

domainhacker2

和上一道题一个套路，找到压缩rar的时候（第30流估计出题人发现流量没抓好然后直接放了rar文件）

FakePassword123$

然后百度搜了一下怎么去解析ntds，找到github上一个脚本

https://github.com/SecureAuthCorp/impacket

然后要历史的

python3 .\secretsdump.py -ntds .\ntds.dit -system .\SYSTEM -security .\SECURITY -history LOCAL

flag{07ab403ab740c1540c378b0f5aaa4087}

电子取证

手机取证_1

直接搜627604C2-C586-48C1-AA16-FF33C3022159，得到图片后导出即可发现分辨率为360*360

手机取证_2

先去搜的快递，但是发现分类有点多，于是后来又去搜了姜总，很快就搜到了

在skype里有聊天记录

SF1142358694796

计算机取证_1

passware直接梭

anxinqi

计算机取证_2

vol直接梭

volatility -f 1.dmp imageinfo

mumuzi@kali:~/桌面$ volatility -f 1.dmp --profile=Win7SP1x64 pslist

2192

计算机取证_3

刚开始以为是docx给我坑没了两次才去看pptx然后发现的flag

flag{b27867b66866866686866883bb43536}

E01用取证大师，发现有bitlocker，但是没有恢复秘钥，因此passware梭

368346-029557-428142-651420-492261-552431-515438-338239

解了之后发现docx和pptx还有密码，而且还在里面发现了pass.txt，继续用passware破

计算机取证_4

新建文本文档.txt是truecrypt加密文件，依旧是passware梭

没梭到密码，但是文件已经被解密，然后用dg恢复，提了个哈哈哈.zip

发现有密码，不是伪加密，于是爆破一下密码

解开得到flag

flag{1349934913913991394cacacacacacc}

程序分析_1

exec.azj.kny.d.c

程序分析_2

minmtta.hemjcbm.ahibyws.MainActivity

程序分析_3

aHR0cHM6Ly9hbnNqay5lY3hlaW8ueHl6

程序分析_4

错了两次，最后直接赌的a

第一次是试的h错了

这题还是看队友

危险千万条，root第一条

既然安全检测，加上题不难

猜测大概率在检测 root

搜字符串

直接出答案

保险起见看下调用

确实在检测环境

是这个类没跑了

答案:a

网站取证_1

D盾直接扫出危险文件，打开即可

lanmaobei666

网站取证_2

sql，直接搜127.0.0.1

找到encrypt.php

<?php
function my_encrypt(){
    $str = 'P3LMJ4uCbkFJ/RarywrCvA==';
    $str = str_replace(array("/r/n", "/r", "/n"), "", $str);
    $key = 'PanGuShi';
    $iv = substr(sha1($key),0,16);
    $td = mcrypt_module_open(MCRYPT_RIJNDAEL_128,"",MCRYPT_MODE_CBC,"");
    mcrypt_generic_init($td, "PanGuShi", $iv);
    $decode = base64_decode($str);
    $dencrypted = mdecrypt_generic($td, $decode);
    mcrypt_generic_deinit($td);
    mcrypt_module_close($td);
    $dencrypted = trim($dencrypted);
    return $dencrypted;
}

装好拓展，直接调用运行即可

KBLT123

网站取证_3

全局搜一下

jyzg123456

网站取证_4

有点意思

首先是汇率

然后是付款记录，我这里单独把2~18号的提取出来了

接下来是看含义

COMMENT ON COLUMN "public"."tab_channel_order_list"."order_num" IS '订单号';
COMMENT ON COLUMN "public"."tab_channel_order_list"."currency" IS '币种';
COMMENT ON COLUMN "public"."tab_channel_order_list"."remark" IS '备注';
COMMENT ON COLUMN "public"."tab_channel_order_list"."is_create_time" IS '创建时间';
COMMENT ON COLUMN "public"."tab_channel_order_list"."payee_id" IS '收款人ID';
COMMENT ON COLUMN "public"."tab_channel_order_list"."payer_id" IS '付款人ID';

订单,币，备注，时间，收款，付款，密文

要张宝给王子豪的

id知道了，现在看密文，根据上一道题去看

小逆一下

然后写个脚本小算一下

f = open('tmp.txt','rb').read().splitlines()
import base64

trans = [0.04,0.06,0.05,0.07,0.10,0.15,0.17,0.23,0.22,0.25,0.29,0.20,0.28,0.33,0.35,0.35,0.37]

def decrypt(data:str):
    key = 'cd9d86dd286a0b0079146c1c57e51576'
    x = 0
    data = base64.b64decode(data.encode())
    length = len(data)
    l = len(key)
    char = string = ''
    for i in range(length):
        if(x == l):
            x = 0
        char += key[x]
        x += 1
    for i in range(length):
        string += chr(data[i] - (ord(char[i])) % 256)
    return int(string)

money = 0.0
for i in range(len(f)):
    tmps = f[i].split(b',')
    # print(tmps[-4].decode()[11:13]) #日期
    if(int(tmps[-3].decode()) == 5 and int(tmps[-2].decode()) == 3):
        mon = decrypt(tmps[-1].decode()[2:10])
        money += mon*trans[int(tmps[-4].decode()[10:12])-2]
        print(mon,trans[int(tmps[-4].decode()[10:12])-2])
        # print(tmps)
print(money)
#15758353.760000002

python精度问题，为了防止出错还拿excel算了一遍

没毛病

15758353.76