2022蓝帽杯wp

目录

手机取证_1

手机取证_2

计算机取证_1

计算机取证_2

程序分析_1

程序分析_2

程序分析_3

程序分析_4

网站取证_1

网站取证_2

网站取证_3

网站取证_4

domainhacker

---

这是这次比赛拿下的题，队名拆东墙砸西墙

手机取证_1

通过模糊搜索，搜索图片前面的字符：627604C2

找到图片，下载，查看其分辨率为360x360

手机取证_2

通过模糊查询字符 '姜总'， 找到在qq中的聊天记录

其中提到明天有个快递抵达，讲述了单号

计算机取证_1

获取内存文件的系统版本

H:\volatility\VolatilityWorkbench2>volatility.exe -f
H:\计算机取证\1.dmp imageinfo

获取用户的hash值

"H:\volatility\VolatilityWorkbench2\volatility.exe" -plugins="H:\volatility\VolatilityWorkbench2\profiles " hashdump --filename="H:\取证\1.dmp" -- profile=Win7SP0x64 --kdbg=0xf80003ffa0a0

然后md5解密一下

计算机取证_2

先列出所有进程

"H:\volatility\VolatilityWorkbench2\volatility.exe" --plugins="H:\volatility\VolatilityWorkbench2\profiles " pslist --filename="H:\取证\1.dmp" -- profile=Win7SP0x64 --kdbg=0xf80003ffa0a0

发现是MagnetRAMCaptu进程，进程号为2192

程序分析_1

通过adb命令行查询第三方应用

adb shell pm list packages -3

发现exec程序的包名

程序分析_2

打开androidkiller，通过反汇编apk程序，其上写有包名和入口

程序分析_3

打开jadx，阅读，找到解密方法，其中存在密文

aHR0cHM6Ly9hbnNqay5lY3hlaW8ueHl6

程序分析_4

因为要安全检测，所以尝试在文件中搜索安全两个字

审了一下发现有两个疑似安全检测的字符串，跟进字符串发现它们所在H类

继续分析发现H类拥有A类接口

根据A类参数名猜测A类是安全检测的类，尝试提交，发现正确哈哈哈

网站取证_1

D盾扫一下

网站取证_2

tp框架数据库连接在database.php

进入函数echo一下

网站取证_3

抱着侥幸的心态搜索了一下encrypt，没想到搜到了关于money的！

仔细看一下发现是对插入数据库的金额进行加密的！跟进！

跟进salt的定义发现这个值就是salt！

网站取证_4

一开始缺少对数据库分析，所以导致在数据库导入处有很大问题，后来才发现这是个postgresql。。。

观察一下，

info_bargain是每日的RMB汇率

tab_channel_order_list是所有的订单

tab_user中我们可以看到张宝的用户ID为3，王子豪的用户ID为5

导出Excel数据表，然后货币依次解密，源码中有解密函数，写个脚本吧

<?php
​
function decrypt($data, $key = 'jyzg123456')
{
    $key = md5($key);
    $y = 0;
    $data = base64_decode($data);
    $length = mb_strlen($data);
    $len = mb_strlen($key);
    $char = '';
    $str = '';
    for ($i = 0; $i < $length; $i++) {
        if ($y == $len) {
            $y = 0;
        }
        $char .= mb_substr($key, $y, 1);
        $y++;
    }
    for ($i = 0; $i < $length; $i++) {
        if (ord(mb_substr($data, $i, 1)) < ord(mb_substr($char, $i, 1))) {
            $str .= chr((ord(mb_substr($data, $i, 1)) + 256) - ord(mb_substr($char, $i, 1)));
        } else {
            $str .= chr(ord(mb_substr($data, $i, 1)) - ord(mb_substr($char, $i, 1)));
        }
    }
    return $str;
}
// echo decrypt("mZVymm9t");
ob_start();
​
​
$file = fopen("money.txt","r");
$new_file = fopen("newmoney.txt","a");
while(!feof($file))
{
    $encoded = fgets($file);
    $decoded = decrypt($encoded);
    echo $decoded."\n";
    $string = ob_get_contents();
    file_put_contents('newmoney.txt', $string);
​
}
ob_flush();
flush();
fclose($file);

跑出结果放入excel

然后再去navicat拿到税率

导出然后填入excel表格

求和得到15758353.76

domainhacker

大致分析了一下看到机器hash值被压缩进了1.rar里面

文件导出后看到

大致浏览发现就1.rar比较特殊，还有密码，丢入密码爆破就去继续看流量了

找到密码

base64解码

Y2QgL2QgImM6XFxXaW5kb3dzXFxUZW1wIiZyYXIuZXhlIGEgLVBTZWNyZXRzUGFzc3cwcmRzIDEucmFyIDEudHh0JmVjaG8gZWZhOTIzYmE1MDQmY2QmZWNobyAxYTRiZTg4MTVlZjg=

拿下