目录
这是这次比赛拿下的题,队名拆东墙砸西墙
手机取证_1
通过模糊搜索,搜索图片前面的字符:627604C2
找到图片,下载,查看其分辨率为360x360
手机取证_2
通过模糊查询字符 '姜总', 找到在qq中的聊天记录
其中提到明天有个快递抵达,讲述了单号
计算机取证_1
获取内存文件的系统版本
H:\volatility\VolatilityWorkbench2>volatility.exe -f
H:\计算机取证\1.dmp imageinfo
获取用户的hash值
"H:\volatility\VolatilityWorkbench2\volatility.exe" -plugins="H:\volatility\VolatilityWorkbench2\profiles " hashdump --filename="H:\取证\1.dmp" -- profile=Win7SP0x64 --kdbg=0xf80003ffa0a0
然后md5解密一下
计算机取证_2
先列出所有进程
"H:\volatility\VolatilityWorkbench2\volatility.exe" --plugins="H:\volatility\VolatilityWorkbench2\profiles " pslist --filename="H:\取证\1.dmp" -- profile=Win7SP0x64 --kdbg=0xf80003ffa0a0
发现是MagnetRAMCaptu进程,进程号为2192
程序分析_1
通过adb命令行查询第三方应用
adb shell pm list packages -3
发现exec程序的包名
程序分析_2
打开androidkiller,通过反汇编apk程序,其上写有包名和入口
程序分析_3
打开jadx,阅读,找到解密方法,其中存在密文
aHR0cHM6Ly9hbnNqay5lY3hlaW8ueHl6
程序分析_4
因为要安全检测,所以尝试在文件中搜索安全两个字
审了一下发现有两个疑似安全检测的字符串,跟进字符串发现它们所在H类
继续分析发现H类拥有A类接口
根据A类参数名猜测A类是安全检测的类,尝试提交,发现正确哈哈哈
网站取证_1
D盾扫一下
网站取证_2
tp框架数据库连接在database.php
进入函数echo一下
网站取证_3
抱着侥幸的心态搜索了一下encrypt,没想到搜到了关于money的!
仔细看一下发现是对插入数据库的金额进行加密的!跟进!
跟进salt的定义发现这个值就是salt!
网站取证_4
一开始缺少对数据库分析,所以导致在数据库导入处有很大问题,后来才发现这是个postgresql。。。
观察一下,
info_bargain是每日的RMB汇率
tab_channel_order_list是所有的订单
tab_user中我们可以看到张宝的用户ID为3,王子豪的用户ID为5
导出Excel数据表,然后货币依次解密,源码中有解密函数,写个脚本吧
<?php
function decrypt($data, $key = 'jyzg123456')
{
$key = md5($key);
$y = 0;
$data = base64_decode($data);
$length = mb_strlen($data);
$len = mb_strlen($key);
$char = '';
$str = '';
for ($i = 0; $i < $length; $i++) {
if ($y == $len) {
$y = 0;
}
$char .= mb_substr($key, $y, 1);
$y++;
}
for ($i = 0; $i < $length; $i++) {
if (ord(mb_substr($data, $i, 1)) < ord(mb_substr($char, $i, 1))) {
$str .= chr((ord(mb_substr($data, $i, 1)) + 256) - ord(mb_substr($char, $i, 1)));
} else {
$str .= chr(ord(mb_substr($data, $i, 1)) - ord(mb_substr($char, $i, 1)));
}
}
return $str;
}
// echo decrypt("mZVymm9t");
ob_start();
$file = fopen("money.txt","r");
$new_file = fopen("newmoney.txt","a");
while(!feof($file))
{
$encoded = fgets($file);
$decoded = decrypt($encoded);
echo $decoded."\n";
$string = ob_get_contents();
file_put_contents('newmoney.txt', $string);
}
ob_flush();
flush();
fclose($file);
跑出结果放入excel
然后再去navicat拿到税率
导出然后填入excel表格
求和得到15758353.76
domainhacker
大致分析了一下看到机器hash值被压缩进了1.rar里面
文件导出后看到
大致浏览发现就1.rar比较特殊,还有密码,丢入密码爆破就去继续看流量了
找到密码
base64解码
Y2QgL2QgImM6XFxXaW5kb3dzXFxUZW1wIiZyYXIuZXhlIGEgLVBTZWNyZXRzUGFzc3cwcmRzIDEucmFyIDEudHh0JmVjaG8gZWZhOTIzYmE1MDQmY2QmZWNobyAxYTRiZTg4MTVlZjg=
拿下