取证
我们先看案情介绍
![](https://img-blog.csdnimg.cn/ace8417cae074ef0a216832ed7303f8c.png)
com.vestas.app
2. 【APK取证】涉案apk的签名序列号是?[答题格式:0x93829bd]
我们找到的是详细信息
0x563b45ca
3. 【APK取证】涉案apk中DCLOUD_AD_ID的值是?[答题格式:2354642]
在做的时候看到这个,但是这个并不是,下面这个是调证值,不是我们要的答案
答案的做法,答案是2147483647
后面也找到了,这里面有一个jadx工具,用这个工具打开就会找到答案了
先打开资源文件,再打开xml文件
但是后面找找看看,出现了xml文件
我们查看一下,但是比对之后,和我们第一次发现的是一样的,只是为以后提供一种办法吧
4. 【APK取证】涉案apk的服务器域名是?[答题格式:http://sles.vips.com]
我们应该结合整个案情来分析,注意是https,做的时候没有加上s
https://vip.licai.com
其他的方法,在模拟器中我们会发现这样的页面
5. 【APK取证】涉案apk的主入口是?[答题格式:com.bai.cc.initactivity]
我们同样是去详细信息里面找到的
io.dcloud.PandoraEntry
手机取证
1.【手机取证】该镜像是用的什么模拟器?[答题格式:天天模拟器]
我们在手机文件里面找到的
雷电模拟器
2.【手机取证】该镜像中用的聊天软件名称是什么?[答题格式:微信]
与你
3. 【手机取证】聊天软件的包名是?[答题格式:com.baidu.ces]
4.【手机取证】投资理财产品中,受害人最后投资的产品最低要求投资多少钱?[答题格式:1万]
5.【手机取证】受害人是经过谁介绍认识王哥?[答题格式:董慧]
计算机取证
1.【计算机取证】请给出计算机镜像pc.e01的SHA-1值?[答案格式:字母小写]
这里是在取证大师里面看到的
23f861b2e9c5ce9135afc520cbd849677522f54c
2. 【计算机取证】给出pc.e01在提取时候的检查员?[答案格式:admin]
同样在上一题的时候,就发现了,但是做的时候没有看到
3.【计算机取证】请给出嫌疑人计算机内IE浏览器首页地址?[答案格式:http://www.baidu.com]
仿真进入IE浏览器
还有一种方法
win+R,输入regedit进入注册表编辑器
IE首页在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page下
我们填的时候就只有填了前面的,但是答案是错的。这里有点不清楚了
答案:
http://global.bing.com/?scope=web&mkt=en-US&FORM=QBRE
4. 【计算机取证】请给出嫌疑人杨某登录理财网站前台所用账号密码?[答案格式:root/admin]
5.【计算机取证】请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号?[答案格式:xxxx(xx)]
答案的做法:仿真,进WPS看
2023春季更新(14309)
6.【计算机取证】请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1?[答案格式:字母小写]
24cfcfdf1fa894244f904067838e7e01e28ff450
7. 【计算机取证】请给出嫌疑人Vera Crypt加密容器的解密密码?[答案格式:admin!@#]
在前面密码的时候就出现过了,但是没有注意后者
8. 【计算机取证】请给出嫌疑人电脑内iSCSI服务器对外端口号?[答案格式:8080]
做的时候就很难下手
第一种
taskmgr锁定iSCSI服务器进程PID,然后通过netstat -ano查看端口
第二种
仿真,在starwind中
9. 【计算机取证】请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码?[答案格式:root/admin]
问题很难理解
不能复制密码
找到安装路径,拖到VS Code里打开
就直接搜user,后面就会出现密码 panguite.com
user/panguite.com
10.【计算机取证】分析嫌疑人电脑内提现记录表,用户“mi51888”提现总额为多少?[答案格式:10000]
师傅们的做法
看到这个txt文件的大小就有点不对
打开VC容器中的提现记录.xlsx,筛选出用户mi51888的记录,然后对amount列求和
1019
内存取证
1.【内存取证】请给出计算机内存创建北京时间?[答案格式:2000-01-11 00:00:00]
2023-06-21 01:02:27
2.【内存取证】请给出计算机内用户yang88的开机密码?[答案格式:abc.123]
同样在前面就已经出现过了
3.【内存取证】提取内存镜像中的USB设备信息,给出该USB设备的最后连接北京时间?[答案格式:2000-01-11 00:00:00]
当时没有做出来,没有什么思路
其他师傅的做法
python2 vol.py -f/home/muchen/桌面/bluehat/memdump.mem --profile=Win7SP1x64 usbstor
这里有个容易错误的地方,北京时间还要加上八个小时
2023-06-21 01:01:25
4. 【内存取证】请给出用户yang88的LMHASH值?[答案格式:字母小写]
同样就已经出现过了
aad3b435b51404eeaad3b435b51404ee
5. 【内存取证】请给出用户yang88访问过文件“提现记录.xlsx”的北京时间?[答案格式:2000-01-11 00:00:00]
2023-06-21 00:29:16
6.【内存取证】请给出“VeraCrypt”最后一次执行的北京时间?[答案格式:2000-01-11 00:00:00]
火眼分析计算机检材中查看用户痕迹
2023-06-21 00:47:41
7.【内存取证】分析内存镜像,请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次?[答案格式:10]
两次
8.【内存取证】请给出用户最后一次访问chrome浏览器的进程PID?[答案格式:1234]
比较下时间,最晚的一个的pid号是2456
volatility.exe -f .\memdump.mem --profile=Win7SP1x64 cmdline
2456
服务器取证
1.【服务器取证】分析涉案服务器,请给出涉案服务器的内核版本?[答案格式:xx.xxx-xxx.xx.xx]
3.10.0-957.el7.x86_64
2. 【服务器取证】分析涉案服务器,请给出MySQL数据库的root账号密码?[答案格式:Admin123]
用修改过后的
ff1d923939ca2dcf
3. 【服务器取证】分析涉案服务器,请给出涉案网站RDS数据库地址?[答题格式: xx-xx.xx.xx.xx.xx]
pc-uf6mmj68r91f78hkj.rwlb.rds.aliyuncs.com
4. 【服务器取证】请给出涉网网站数据库版本号? [答题格式: 5.6.00]
5.7.40
5. 【服务器取证】请给出嫌疑人累计推广人数?[答案格式:100]
69
6. 【服务器取证】请给出涉案网站后台启用的超级管理员?[答题格式:abc]
admin
7. 【服务器取证】投资项目“贵州六盘水市风力发电基建工程”的日化收益为?[答题格式:1.00%]
4.00%
8. 【服务器取证】最早访问涉案网站后台的IP地址为[答题格式:8.8.8.8]
183.160.76.194
9. 【服务器取证】分析涉案网站数据库或者后台VIP2的会员有多少个[答案格式:100]
20
10. 【服务器取证】分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受害人的数量为[答题格式:8]
2
11. 【服务器取证】分析涉案网站数据库或者后台,统计嫌疑人的下线成功提现多少钱?[答题格式:10000.00]
128457.00
12. 【服务器取证】分析涉案网站数据库或者后台受害人上线在平台内共有下线多少人?[答题格式:123]
17
13. 【服务器取证】分析涉案网站数据库或者后台网站内下线大于2的代理有多少个?[答题格式:10]
60
14. 【服务器取证】分析涉案网站数据库或者后台网站内下线最多的代理真实名字为[答题格式:张三]
骆潇原
15. 【服务器取证】分析涉案网站数据库或者后台流水明细,本网站总共盈利多少钱[答题格式:10,000.00]
15,078,796.38
部分CTF
Reverse | Story
下载后打开
flag{WhatisYourStory34982733}
misc
winshark打开没有什么发现
火眼内存分析工具看到的secret
U2FsdGVkX19dHyROKCNrT5BAJk9asDpaZ8L45vr9s9D2Yi9/OX5Xl6lEmhd0VoietsmeiLHJjPPG0uSsdxGgr2jzQ00FEMf/VglaSrhwumM=
提示用明文攻击解密得到,到下面的就有点难理解了
对应tables.png
得到到key是a91e37bf
AES解密:
前面用passwarekit
结合flag{194a019a-1767-913a-f140-2626195942a0}