蓝帽杯初赛

取证

我们先看案情介绍

2021 5 月,公安机关侦破了一起投资理财诈骗类案件,受害人陈昊民向公安机关报案称其在微信上认识一名昵称
yang88 的网友,在其诱导下通过一款名为维斯塔斯的 APP ,进行投资理财,被诈骗 6 万余万元。接警后,经过公
安机关的分析,锁定了涉案 APP 后台服务器。后经过公安机关侦查和研判发现杨某有重大犯罪嫌疑,经过多次摸排
后,公安机关在杨某住所将其抓获,并扣押了杨某手机 1 部、电脑 1 台,据杨某交代,其网站服务器为租用的云服务
器。上述检材已分别制作了镜像和调证,假设本案电子数据由你负责勘验,请结合案情,完成取证题目
APK取证
1.【APK取证】涉案apk的包名是?[答题格式:com.baid.ccs]
我们用雷电打开

com.vestas.app

2. 【APK取证】涉案apk的签名序列号是?[答题格式:0x93829bd]

我们找到的是详细信息

0x563b45ca

3. 【APK取证】涉案apk中DCLOUD_AD_ID的值是?[答题格式:2354642]

在做的时候看到这个,但是这个并不是,下面这个是调证值,不是我们要的答案

 答案的做法,答案是2147483647

后面也找到了,这里面有一个jadx工具,用这个工具打开就会找到答案了

 先打开资源文件,再打开xml文件

 但是后面找找看看,出现了xml文件

我们查看一下,但是比对之后,和我们第一次发现的是一样的,只是为以后提供一种办法吧

4. 【APK取证】涉案apk的服务器域名是?[答题格式:http://sles.vips.com]

 我们应该结合整个案情来分析,注意是https,做的时候没有加上s

https://vip.licai.com

其他的方法,在模拟器中我们会发现这样的页面

5. 【APK取证】涉案apk的主入口是?[答题格式:com.bai.cc.initactivity]

我们同样是去详细信息里面找到的

io.dcloud.PandoraEntry

手机取证

1.【手机取证】该镜像是用的什么模拟器?[答题格式:天天模拟器]

我们在手机文件里面找到的

雷电模拟器

2.【手机取证】该镜像中用的聊天软件名称是什么?[答题格式:微信]

与你

3. 【手机取证】聊天软件的包名是?[答题格式:com.baidu.ces]

4.【手机取证】投资理财产品中,受害人最后投资的产品最低要求投资多少钱?[答题格式:1万]

5.【手机取证】受害人是经过谁介绍认识王哥?[答题格式:董慧]

计算机取证

1.【计算机取证】请给出计算机镜像pc.e01的SHA-1值?[答案格式:字母小写]

这里是在取证大师里面看到的

23f861b2e9c5ce9135afc520cbd849677522f54c

2. 【计算机取证】给出pc.e01在提取时候的检查员?[答案格式:admin]

同样在上一题的时候,就发现了,但是做的时候没有看到

3.【计算机取证】请给出嫌疑人计算机内IE浏览器首页地址?[答案格式:http://www.baidu.com]

仿真进入IE浏览器

还有一种方法

win+R,输入regedit进入注册表编辑器

IE首页在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page下

我们填的时候就只有填了前面的,但是答案是错的。这里有点不清楚了

答案:

http://global.bing.com/?scope=web&mkt=en-US&FORM=QBRE

4. 【计算机取证】请给出嫌疑人杨某登录理财网站前台所用账号密码?[答案格式:root/admin]

5.【计算机取证】请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号?[答案格式:xxxx(xx)]

答案的做法:仿真,进WPS看

2023春季更新(14309)

6.【计算机取证】请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1?[答案格式:字母小写]

24cfcfdf1fa894244f904067838e7e01e28ff450

7. 【计算机取证】请给出嫌疑人Vera Crypt加密容器的解密密码?[答案格式:admin!@#]

在前面密码的时候就出现过了,但是没有注意后者

8. 【计算机取证】请给出嫌疑人电脑内iSCSI服务器对外端口号?[答案格式:8080]

做的时候就很难下手

第一种

taskmgr锁定iSCSI服务器进程PID,然后通过netstat -ano查看端口

第二种

仿真,在starwind中

9. 【计算机取证】请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码?[答案格式:root/admin]

问题很难理解

不能复制密码

找到安装路径,拖到VS Code里打开

就直接搜user,后面就会出现密码 panguite.com

user/panguite.com

10.【计算机取证】分析嫌疑人电脑内提现记录表,用户“mi51888”提现总额为多少?[答案格式:10000]

师傅们的做法

看到这个txt文件的大小就有点不对

 打开VC容器中的提现记录.xlsx,筛选出用户mi51888的记录,然后对amount列求和

1019

内存取证

1.【内存取证】请给出计算机内存创建北京时间?[答案格式:2000-01-11 00:00:00]

2023-06-21 01:02:27

2.【内存取证】请给出计算机内用户yang88的开机密码?[答案格式:abc.123]

同样在前面就已经出现过了

 3.【内存取证】提取内存镜像中的USB设备信息,给出该USB设备的最后连接北京时间?[答案格式:2000-01-11 00:00:00]

当时没有做出来,没有什么思路

其他师傅的做法

python2 vol.py -f/home/muchen/桌面/bluehat/memdump.mem --profile=Win7SP1x64 usbstor 

 

这里有个容易错误的地方,北京时间还要加上八个小时
2023-06-21 01:01:25

4. 【内存取证】请给出用户yang88的LMHASH值?[答案格式:字母小写]

同样就已经出现过了

aad3b435b51404eeaad3b435b51404ee

5. 【内存取证】请给出用户yang88访问过文件“提现记录.xlsx”的北京时间?[答案格式:2000-01-11 00:00:00]

2023-06-21 00:29:16

 6.【内存取证】请给出“VeraCrypt”最后一次执行的北京时间?[答案格式:2000-01-11 00:00:00]

火眼分析计算机检材中查看用户痕迹 

2023-06-21 00:47:41

 7.【内存取证】分析内存镜像,请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次?[答案格式:10]

 两次

 8.【内存取证】请给出用户最后一次访问chrome浏览器的进程PID?[答案格式:1234]

比较下时间,最晚的一个的pid号是2456

volatility.exe -f .\memdump.mem --profile=Win7SP1x64 cmdline

 

2456

服务器取证

1.【服务器取证】分析涉案服务器,请给出涉案服务器的内核版本?[答案格式:xx.xxx-xxx.xx.xx]

3.10.0-957.el7.x86_64

2. 【服务器取证】分析涉案服务器,请给出MySQL数据库的root账号密码?[答案格式:Admin123]

用修改过后的

ff1d923939ca2dcf

3. 【服务器取证】分析涉案服务器,请给出涉案网站RDS数据库地址?[答题格式: xx-xx.xx.xx.xx.xx]

pc-uf6mmj68r91f78hkj.rwlb.rds.aliyuncs.com

4. 【服务器取证】请给出涉网网站数据库版本号? [答题格式: 5.6.00]

5.7.40

5. 【服务器取证】请给出嫌疑人累计推广人数?[答案格式:100]

69

6. 【服务器取证】请给出涉案网站后台启用的超级管理员?[答题格式:abc]

admin

7. 【服务器取证】投资项目“贵州六盘水市风力发电基建工程”的日化收益为?[答题格式:1.00%]

 

4.00%

8. 【服务器取证】最早访问涉案网站后台的IP地址为[答题格式:8.8.8.8]

 

183.160.76.194

9. 【服务器取证】分析涉案网站数据库或者后台VIP2的会员有多少个[答案格式:100]

20

10. 【服务器取证】分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受害人的数量为[答题格式:8]

2

11. 【服务器取证】分析涉案网站数据库或者后台,统计嫌疑人的下线成功提现多少钱?[答题格式:10000.00]

128457.00

12. 【服务器取证】分析涉案网站数据库或者后台受害人上线在平台内共有下线多少人?[答题格式:123]

17

13. 【服务器取证】分析涉案网站数据库或者后台网站内下线大于2的代理有多少个?[答题格式:10]

60

14. 【服务器取证】分析涉案网站数据库或者后台网站内下线最多的代理真实名字为[答题格式:张三]

骆潇原

15. 【服务器取证】分析涉案网站数据库或者后台流水明细,本网站总共盈利多少钱[答题格式:10,000.00]

15,078,796.38

 部分CTF

Reverse | Story

下载后打开

    flag{WhatisYourStory34982733}

misc

winshark打开没有什么发现

 火眼内存分析工具看到的secret

U2FsdGVkX19dHyROKCNrT5BAJk9asDpaZ8L45vr9s9D2Yi9/OX5Xl6lEmhd0VoietsmeiLHJjPPG0uSsdxGgr2jzQ00FEMf/VglaSrhwumM=

 提示用明文攻击解密得到,到下面的就有点难理解了

对应tables.png 

 得到到key是a91e37bf

AES解密:

 前面用passwarekit

结合flag{194a019a-1767-913a-f140-2626195942a0} 

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2023蓝帽杯初赛misc下载是指在2023年举办的蓝帽杯网络安全竞赛中的一项miscellaneous(杂项)类题目的下载。在初赛中,参赛选手需要下载与miscellaneous相关的题目文件或资源,并进行分析和解决。 首先,参赛选手需要前往蓝帽杯竞赛官方网站或相关论坛查找与初赛misc下载相关的公告或指引。这些网站通常会提供下载链接或资源分享的方式,以方便选手获取题目所需的文件或资源。 其次,根据所提供的下载链接,选手可以点击链接进行下载,也可以使用迅雷、qq旋风等下载工具进行高速下载,以确保下载的文件完整和无误。 在完成下载后,选手需要对下载的文件进行验证。可使用md5校验工具对下载后的文件进行校验,以确保文件的完整性和正确性,防止下载过程中出现错误导致文件损坏。 之后,选手可以开始进行miscellaneous题目的解析和答题。首先,解压下载的文件,查看所提供的题目资源、源代码或二进制文件等。根据题目要求和提示,选手可以使用各种工具和技术,如逆向工程、数据分析、密码学等,进行问题的分析和解决,并找出相应的答案或flag。 最后,选手需要将自己的解题过程、思路和答案记录下来,并按照比赛规则的要求提交答案。可以是一个文本文件或截图,或是将解决问题的代码或脚本提交到竞赛平台或指定的邮箱中。 总之,2023蓝帽杯初赛misc下载是参赛选手在参加蓝帽杯网络安全竞赛中所需进行的一项任务。选手需要在蓝帽杯官方网站或相关论坛上获取下载链接并下载题目相关的文件或资源,然后对其进行验证、解析和解决,最后提交答案以完成竞赛的要求。这项任务对选手的网络安全技术、解题思维和团队合作能力都提出了较高的要求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值