目录
来源:NSSCTF
蓝帽杯 2022 初赛
计算机取证_1
使用提供的密码解压下载的压缩包,得到这些文件
题目要求:从内存镜像中获得taqi7的开机密码是多少?
1. volatility一把梭
在线解密
2.Passware Kit一把梭
flag:NSSCTF{anxinqi}
计算机取证_2
使用提供的密码解压下载的压缩包,得到这些文件
制作该内存镜像的进程Pid号是多少?
一把梭
flag:NSSCTF{2192}
计算机取证_3
使用提供的密码解压下载的压缩包,得到这些文件
bitlokcer分区某office文件中存在的flag值为?
需要解锁bitlokcer加密的磁盘文件
使用工具把1.bmp和G.E01挂载到电脑上,用DiskGenius恢复1.bmp中的数据
在桌面找到Bitlocker的密钥
用密钥解锁 G.E01挂载的磁盘
得到以下文件
逐一查看文件,发现ppt被加密了 ,可以使用pass.txt中的密码进行字典攻击
得到密码:287fuweiuhfiute,解密ppt即可拿到flag
flag:NSSCTF{b27867b66866866686866883bb43536}
计算机取证_4
使用提供的密码解压下载的压缩包,得到这些文件
问题: TrueCrypt加密中存在的flag值为?
科普:TrueCrypt,是一款免费开源的加密软件,TrueCrypt不需要生成任何文件即可在硬盘上建立虚拟磁盘,用户可以按照盘符进行访问,所有虚拟磁盘上的文件都被自动加密,需要通过密码来进行访问。
我们可以通过挂载1.dmp文件,使用DiskGenius恢复1.bmp中的数据,在用户的临时文件夹中找到哈哈哈.zip,恢复出来。
加密了直接爆破
得到flag
flag:NSSCTF{1349934913913991394cacacacacacc}
网站取证_1
下载附件,得到以下文件
题目描述:据了解,某网上商城系一团伙日常资金往来用,从2022年4月1日起使用虚拟币GG币进行交易,现已获得该网站的源代码以及部分数据库备份文件,请您对以下问题进行分析解答。 请从网站源码中找出木马文件,并提交木马连接的密码。
既然说源码里面有木马,我们直接使用杀毒软件进行扫描,实测360扫不出来(有点菜,一句话木马都扫不出),火绒可以。
flag:NSSCTF{lanmaobei666}
网站取证_2
附件同上
问题:请提交数据库连接的明文密码
思路就是去找数据库密码的加密函数,在源码里翻翻就可以找到了
改改,直接运行
flag:NSSCTF{KBLT123}
网站取证_3
附件同上
问题:请提交数据库金额加密混淆使用的盐值
在代码中查找关键字money
在第二个php文件中找到key
flag:NSSCTF{jyzg123456}
网站取证_4
附件同上
问题:请计算张宝在北京时间2022-04-02 00:00:00-2022-04-18 23:59:59累计转账给王子豪多少RMB?(换算比例请从数据库中获取,答案参考格式:123.45)
放着,先做其他的
手机取证_1
问题:627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是?(答案参考格式:1920x1080)
下载附件解压打开
运行苹果测试 查看.exe ,直接搜索图片,导出查看分辨率
flag:NSSCTF{360x360}
手机取证_2
附件同上
问题:姜总的快递单号是多少?
搜索关键词快递,没找到,再次搜索关键词姜总,成功找到快递单号
flag:NSSCTF{SF1142358694796}