2021第五届蓝帽杯初赛取证复现1

最新推荐文章于 2024-03-21 09:17:28 发布
最新推荐文章于 2024-03-21 09:17:28 发布
阅读量2k 收藏 4
点赞数 2
文章标签: wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51652400/article/details/124773379
版权

文章目录

写在前面

蓝🐱是本菜🐕打的第一场也是唯一一场线下,意义比较重大,去年太菜都没啥体验感,今年i春秋推出了复现服务,于是开始重温一下赛题。

嫌疑人x的硬盘

2333,今天刚学bitlocker,晚上复现就是了,有一点有缘。可惜这题后面有逆向,本杂技选手无法完成复现,就水一点前面的内容吧。

什么是bitlocker

BitLocker(直译为“位元锁”)是内置于Windows Vista及其之后系统的全磁盘加密功能,透过为整个卷(英语:Volume (computing))提供加密来保护数据。它默认在密码块链接(CBC)或XTS(英语:Disk encryption theory)模式下使用128位或256位密钥的AES加密算法。其中CBC用于每个单独的磁盘扇区,不在整个磁盘上使用。

解题思路

bitlocker恢复密钥串为8组长度为6的数字,中间-分隔,所以可以用正则表达式进行搜索,或者直接根据密钥文件特点,搜索关键字恢复密钥:。获取密钥之后就直接使用取证大师自带的bitlocker解密就可以了。

部分wp

这题一丢进取证大师就直接看到了
在这里插入图片描述
在这里插入图片描述
然后右键恢复
在这里插入图片描述
输入密钥
在这里插入图片描述
然后就重新自动取证和数据恢复
接下来逆chat1.exe即可,至于怎么逆,啥原理,我也不造2333
在这里插入图片描述
不会逆向,比较失败的复现2333

本来想同时复现两题的,但是因为环境一直有点问题没有修复好,怕又和上次一样直接咕咕一个月,就先发一篇。

vlan103
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
计算机内存取证BitLocker恢复密钥提取还原
柳似烟的专栏
06-01 2637
在计算机取证界,经常遇到嫌疑人的目标电脑的磁盘是经过BitLocker加密的,此时通常的做法是通过某种手段(WinPmem、DumpIt、DMA PCILeech,ColdBoot等)取得目标机内存镜像,同时对目标机的磁盘做一个磁盘镜像(WinFE,WinHex,FTKImage等)。而后,对获取的内存镜像分析(MemProcFS等工具)取得BitLocker的VMK密钥,然后通过VMK密钥解密目标磁盘镜像(取证大师等工具),进而获取磁盘中的文件。
第六届蓝帽杯初赛取证检材百度云链接,四个检材完整版一次性下载
08-28
蓝帽杯”全国大学生网络安全技能大赛已连续举办六届,成为面向全国公安院校和普通高校大学生的高规格、强影响力的实战技能大赛,被誉为未来网警的“奥运会”。“蓝帽杯”由公安部网络安全保卫局、教育部教育管理...
ASP.NET WEB开发
04-07
ASP.NET技术与应用 WEB动态网站开发源码
【电子取证】计算机取证(第六届”蓝帽杯“全国大学生网络安全技能大赛)
07-13
第六届”蓝帽杯“全国大学生网络安全技能大赛
电子取证中的正则表达式(国内手机号码、BitLocker
Intents的博客
03-21 125
国内手机号码的正则表达式:[^#](86)?(#{3}[\-]?#{4})[^#]BitLocker正则表达式
【电子取证】网站取证(第六届”蓝帽杯“全国大学生网络安全技能大赛)
07-12
第六届”蓝帽杯“全国大学生网络安全技能大赛
Xshell Plus6 v6.0.0003.zip
07-17
Xshell Plus实为 Xshell和Xftp的套件,也就是说安装这个版本,就可以同时拥有Xshell终端模拟器和Xftp这款文件传输软件,给您的远程操作带来极致的便利,在连接到服务器后,可以轻松地传输文件。 Xshell Plus主要特点 (1)会话管理 作为主Xmanager和Xshell窗口中的可停靠窗格,您可以立即访问会话管理所需的所有必需品。轻松查看,创建,编辑和删除会话,并同时启动多个会话。管理你的会话从未如此简单! (2)突出亮点 在需要捕捉终端输入/输出中的关键字或其他变量时,只处理文本可能会很麻烦。 使用Xshell 6的高亮设置,可以为关键字或正则表达式在输出到终端时创建不可见的视觉线索。 根据您的要求使用用户定义的关键字创建自定义集并将其应用于会话。 (3)增强同步 Xftp 6为本地和远程的多个文件引入了增强的同步能力。用户可以轻松地将本地工作同步到远程服务器或备份服务器,以创建一致的环境。 (4)包括Unicode的各种编码支持 确保文件可以在国际上共享,不管文件名的语言如何。Xftp 6支持多种编码,包括Unicode A,因此文件名将在单个窗口内以各种语言正确显示。 (5)使用主密码增强密码加密 将用户定义的字符串设置为您的主密码,为您的会话文件密码添加一层加密。主密码会加密用于连接到服务器的密码(密码),用户密钥的密码(密码)以及会话文件中包含的密码字符串。 将会话文件安全地存储在云中以在设备之间共享。 Xshell Plus功能 (1)卓越的终端体验 Xshell支持VT100,VT220,VT320,XTERM,LINUX,SCOANSI和ANSI终端仿真,并提供各种终端外观选项替代传统的远程登录客户端。 (2)保护数据安全 在不断变化的网络环境中,采取必要的预防措施来保护您的数据非常重要。Xshell 6支持RSA / DSA / ECDSA / ED25516公钥,密码和键盘交互式用户认证。Xshell 6还包括对PKCS#11的严格要求的支持。 使用不断更新的加密算法列表加密流量,并使用Xshell的主密码功能将会话文件安全地存储在云中。 (3)轻松管理 Xshell 6使管理会话比以往更容易。无论您是在2台主机还是200台主机上工作,Xshell的管理功能均可轻松进行比较,并可在多个会话中同时输入命令。通过会话管理器,选项卡式环境,高亮设置,快速命令等功能优化您的工作流程。您可以根据需要自定义Xshell以执行您想要的操作。 (4)文件轻松传输 Xftp 6支持主机之间的拖放,因此您可以很容易地可视化文件/文件夹的移动。您可以查看传输窗口以查看所有传输的进度并查看您的队列中的内容。根据需要暂停并恢复文件传输。 (5)快速安全 通过使用最大带宽使用Xftp 6来提高生产率,以便更快的文件下载/上传。利用经过验证的SSH协议进行安全文件传输的SFTP。 (6)容易管理 Xftp 6使管理会话比以往任何时候都容易。无论您是在2台主机或200台主机上工作,都要优化工作流程,例如传输管理窗口、标签环境、直接编辑、同步导航等等。 Xshell Plus截图
vai:奥钢联编辑。 python中基于文本的IDE类似于vim
05-02
奥钢联 我们喜欢vim,但我们想要更多。 我们需要一个基于终端的IDE,它看起来像vim,可以像vim一样处理,但是具有Eclipse和Sublime的所有这些漂亮功能,与git集成,并且完全用python编码。 有关项目背后的基本原理,开发方法和计划功能的更多信息,请参阅。 实施功能 一般vim的外观和感觉。 python的语法高亮显示。 对其他语言的部分支持。 突出显示当前在光标下出现的所有标识符。 用pyflakes整理python 3 在边栏上显示掉毛结果。 内联消息弹出窗口。 向后和向前搜索(尚无正则表达式) 编辑器和命令栏的制表符完成(访问文件时) 撤销重做 压痕等级 多个缓冲区 复制和粘贴 多行选择 最小的颜色配置 两次运行之间恢复光标位置。 自动缩进 语法颜色插件 :command插件 请参阅“当前的vim密钥兼容性列表。 注意:vai当前主要专注于P
常用正则表达式
ZH592677127的专栏
01-28 1191
一、校验数字的表达式 1 数字:^[0-9]*$ 2 n位的数字:^\d{n}$ 3 至少n位的数字:^\d{n,}$ 4 m-n位的数字:^\d{m,n}$ 5 零和非零开头的数字:^(0|[1-9][0-9]*)$ 6 非零开头的最多带两位小数的数字:^([1-9][0-9]*)+(.[0-9]{1,2})?$ 7 带1-2位小数的正数或负数:^(\-)?\d+(\.\d{
Windows传统取证的一些笔记
wha1e的博客
06-13 2261
前置技能基本大同小异,互联网上资源很多。甚至说不明白这些知识随便翻,一直翻下去也可能找到答案,但是了解这些基本知识可以节省很多时间,提高命中率。
Code::Blocks的正则表达式
Octogen的专栏
09-01 1292
Code::Blocks的正则表达式搜索在Settings->Editor->General Settings下有两个相关选项,见上图。以前没有深究,今天在官方论坛看到篇帖子:http://forums.codeblocks.org/index.php?topic=6371.msg88843;topicseen大意:当两个选项都不选时,使用scintilla内建的REGEX引擎。此时REGEX中的“组”要用转义后的圆括号包围起来,即/(和/)。这在文本含有圆括号并且不常用分组功能时比较有利。如果选择POSI
windows10 BitLocker恢复秘钥(此方法只适用于使用Microsoft账号登录系统用户)
热门推荐
m0_46794608的博客
07-16 4万+
windows10 BitLocker恢复秘钥(此方法只适用于使用Microsoft账号登录系统用户) 磁盘BitLocker加密 被锁定需要输入恢复秘钥界面,可能有以下原因: 1、对Windows核心文件的更改(系统重装) 2、对BIOS的更改 3、对TPM的更改 4、对加密卷/引导记录的更改 5、未使用正确的凭据 6、硬件配置中的更改 解决方案: 登录以下链接然后根据提示操作就可以获取秘钥。 登录到Microsoft账号. https://account.microsoft.com/devices/
第五届蓝帽杯_2021_chall
05-13
第五届蓝帽杯_2021_chall,沙盒机制的pwn题。
【电子取证】程序分析(第六届”蓝帽杯“全国大学生网络安全技能大赛)
07-12
第六届”蓝帽杯“全国大学生网络安全技能大赛
第七届蓝帽杯取证题目.txt
08-28
第六届“蓝帽杯”由公安部网络安全保卫局、教育部教育管理信息中心、中华全国总工会·中国职工电化教育中心、中国教育技术协会指导,中国人民公安大学、北京理工大学和奇安信科技集团股份有限公司联合主办。...
node-v9.6.0-x86.msi
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Python基于机器学习的分布式系统故障诊断系统源代码,分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别
04-29
基于技术手段(包括但不限于机器学习、深度学习等技术)对分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别,实现分布式系统故障运维的智能化,快速恢复故障的同时大大降低分布式系统运维工作的难度,减少运维对人力资源的消耗。在分布式系统中某个节点发生故障时,故障会沿着分布式系统的拓扑结构进行传播,造成自身节点及其邻接节点相关的KPI指标和发生大量日志异常
JavaScript前端开发的核心语言前端开发的核心语言
最新发布
04-29
javascript 当今互联网时代,JavaScript已经成为了前端开发的核心语言它是一种高级程序设计语言,通常用于网页的交互和动态效果的实现。JavaScript的灵活性以及广泛的使用使得它变得异常重要,能够为用户带来更好的用户体验。 JavaScript的特点之一是它的轻量级,它可以在网页中运行无需单独的编译或下载。这意味着网页可以更快地加载并且用户无需安装额外的软件才能运行网页上的JavaScript代码。此外,与HTML和CSS紧密结合,可以直接在HTML文档中嵌入,使得网页的开发变得非常便捷。 JavaScript具有动态性,它可以在浏览器中实时修改页面内容和样。它可以通过操作DOM(文档对象模型来动态地修改网页的结构和布局,并且可以根据用户的行为实时地响应各种事件,如点击、标悬停、滚动等。这使得开发者可以轻松地为网页添加交互性和动态效果,提供更好的用户体验。 JavaScript也是一种面向对象的语言。它支持对象、类、继承、多态等面向对象编程的概念,使得代码结构更加清晰和可维护。开发者可以创建自定义的对象和方法,对功能进行封装和复用,提高代码的可读性和可维护性。
四则运算自动生成程序安装包
04-29
四则运算自动生成程序安装包
2023蓝帽杯初赛misc下载
12-04
2023蓝帽杯初赛misc下载是指在2023年举办的蓝帽杯网络安全竞赛中的一项miscellaneous(杂项)类题目的下载。在初赛中,参赛选手需要下载与miscellaneous相关的题目文件或资源,并进行分析和解决。 首先,参赛选手需要前往蓝帽杯竞赛官方网站或相关论坛查找与初赛misc下载相关的公告或指引。这些网站通常会提供下载链接或资源分享的方式,以方便选手获取题目所需的文件或资源。 其次,根据所提供的下载链接,选手可以点击链接进行下载,也可以使用迅雷、qq旋风等下载工具进行高速下载,以确保下载的文件完整和无误。 在完成下载后,选手需要对下载的文件进行验证。可使用md5校验工具对下载后的文件进行校验,以确保文件的完整性和正确性,防止下载过程中出现错误导致文件损坏。 之后,选手可以开始进行miscellaneous题目的解析和答题。首先,解压下载的文件,查看所提供的题目资源、源代码或二进制文件等。根据题目要求和提示,选手可以使用各种工具和技术,如逆向工程、数据分析、密码学等,进行问题的分析和解决,并找出相应的答案或flag。 最后,选手需要将自己的解题过程、思路和答案记录下来,并按照比赛规则的要求提交答案。可以是一个文本文件或截图,或是将解决问题的代码或脚本提交到竞赛平台或指定的邮箱中。 总之,2023蓝帽杯初赛misc下载是参赛选手在参加蓝帽杯网络安全竞赛中所需进行的一项任务。选手需要在蓝帽杯官方网站或相关论坛上获取下载链接并下载题目相关的文件或资源,然后对其进行验证、解析和解决,最后提交答案以完成竞赛的要求。这项任务对选手的网络安全技术、解题思维和团队合作能力都提出了较高的要求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

vlan103

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值