啊!!!蓝帽杯第一次加入取证模块呢,取证静态分,CTF动态分,这波是出道即C位,完全挤掉CTF,属于被迫做取证题惹~
菜鸟阿尼亚会做的题不多,以后也要继续加油哦!!!
(点名计算机取证出题人——某某某,居然在干扰项里署名嘲讽55555)
目录
手机取证_1
题目描述:
现对一个苹果手机进行取证,请您对以下问题进行分析解答。
627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是?(答案参考格式:1920x1080)
附件下载地址见平台公告,解压密码为0ba6b2c094cbb3a04681a135487a19cb
解题思路:
打开盘古石阅读器,直接左上角搜索”.png“,然后按照题目对文件名就好了;
选中右键导出,然后看属性。
手机取证_2
题目描述:
姜总的快递单号是多少?(答案参考格式:abcABC123)
解题思路:
还是打开盘古石阅读器,直接左上角搜索”姜总“,然后就得到快递号了。
计算机取证_1
题目描述:
现对一个windows计算机进行取证,请您对以下问题进行分析解答。
从内存镜像中获得taqi7的开机密码是多少?(答案参考格式:abcABC123)
附件下载地址见平台公告,解压密码为93ce7ea39bdd7baa137f1e9b963b7ee5
解题思路:
给了.tmp文件,对着内存镜像直接上volatility,然后hashdump获得密码的md5;
然后找个在线解密md5的网站解密,就行了。
计算机取证_2
题目描述:
制作该内存镜像的进程Pid号是多少?(答案参考格式:1024)
解题思路:
要查进程的PID,那就继续volatility,psscan列出进程,发现有MagnetRAMCapture.exe进程,别的好像没了,就得到PID了。
计算机取证_4
题目描述:
TrueCrypt加密中存在的flag值为?(答案参考格式:flag{abcABC123})
解题思路:
第3题做完之后,还剩下个新建文本文档.txt文件,感觉应该是这个题吧,然后给的提示是TrueCrypt,就把后缀直接改成.tc了,然后用EFDD直接用内存镜像挂载上;
挂载以后得到一个压缩包哈哈哈.zip,直接暴力破解一下;
解压,得到一个txt文件。
网站取证_1
题目描述:
据了解,某网上商城系一团伙日常资金往来用,从2022年4月1日起使用虚拟币GG币进行交易,现已获得该网站的源代码以及部分数据库备份文件,请您对以下问题进行分析解答。
请从网站源码中找出木马文件,并提交木马连接的密码。(答案参考格式:abcABC123)
解题思路:
本来想着查查网站漏洞的,就先丢进源代码审计,结果发现好多好多漏洞;
算了算了,于是还是丢进D盾查后门吧;
然后看了看两个文件,发现一句话木马,得到了密码。
网站取证_3
题目描述:
请提交数据库金额加密混淆使用的盐值。(答案参考格式:abcABC123)
解题思路:
看了老半天给的bak.sql,然后发现这个地方有交易列表,里面有金额来着;
然后对着找对应的.php文件,发现这里有key,感觉可能是salt,然后我又看了别的文件都没有这个了,觉得应该是这个了。
2644
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
