2022蓝帽杯初赛

文章详细描述了一系列网络安全取证的过程,包括网站文件的解压和分析,使用AESCBC加密的密码解密,代码审计查找敏感信息,计算机内存取证获取BitLocker密码,以及手机数据和网络流量的分析,从中提取NTLMhash等关键信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

网站取证

1.网站取证_1

拿到一个

解压WWW,发现里面有脏东西,用火绒直接杀

明显的flag

2.网站取证_2

打开WWW文件,这里一般是存数据库连接的文件

打开后发现这个

密码是my_encrypt()这个函数加密的,然后去找这个函数

打开后看一下

看不懂,直接GPT

就是说这个使用AES的CBC加密,然后密钥是PanGuShi,使用base64加密,然后偏移量是PanGuShi的SHA1的前16位

3.网站取证_3

就是纯代码审计了,一点点看代码

最后在www/application/admin/model/Channelorderlist中找到

也没有明确的告诉这就是盐值,但是看他的代码描述,拿去试了一试,果然正确

4.网站取证_4

可知张宝是3,然后王子豪是5

然后看下面这个发现最后这个应该是钱数,然后倒数第二位是3,倒数第三位是5就是所要的

需要从网上找一个脚本然后来计算,记住还要盐值去掉

脚本这里就不找了,写了好几个也没搞出来

程序分析

5.程序分析_1

6.程序分析_2

7.程序分析_3

查看主函数,看到decode字样,试一下,果然是flag

8.程序分析_4

然后我们查看这个d.a.a.c.a.a

发现这个类就是a

计算机取证

9.计算机取证_1

拿到手以后是一个这些

问内存,那就先用vol呗

拿到版本,然后指令跑密码

MD5破解一下

拿到密码

10.计算机取证_2

直接跑进程

从下往上看,发现MagnetRAMCaptu这个进程不知道是什么,直接去搜一下

那就是这个喽,2192

11.计算机取证_3

直接用passware结合内存找BitLocker密码

然后拿到密钥以后去火眼挂镜像,解密

拿到四个文件

解压出来以后,发现有一个密码本,然后3和4都加密,我们猜测密码是用来爆破的,然后直接爆

用passware字典爆破要先导入密码本,在这里导入

解密ppt

12.计算机取证_4

我们上一题拿到了四个文档,第四个文档那个新建txt文档,我们猜测他为加密容器,然后我们用EFDD解密TC容器

拿到一个压缩包

发现还有密码,然后我们爆破

手机取证

13.手机取证_1

直接搜这个东西

14.手机取证_2

直接搜姜总

MISC(流量分析)

15.domainhacker(流量分析)

拿到一个流量包

上来先导出http分组看一下

发现里面有一个压缩包,然后导出来

发现他有密码

怀疑是上面的1.php里面有密码

然后导出,发现这么多1.php其实只有application的那种的才有用

打开一个看一眼,发现这个类似base64加密,然后去解密一下

把8m去掉再试一下

这类似是一个指令历史,然后我们把每个1.php这部分都给解密一下,发现有一个解密是这样的

发现了rar,-P是一个指令,然后猜测密码就是SecretsPassw0rds

试了一下果然可以

这个文件是mimikatz抓到的windows账号和密码,NTLM部分就是hash

这一串就是hash

然后思考了一下,这道题我们其实可以过滤TCP流,然后查看发现只有第13个流里面出现了1.rar,然后我们再解密这一部分的就会快很多

16.domainhacker2(流量分析)

用同样的方法,我们拿到手一个压缩包,一个流量包,然后我们分析流量包,导出http查看这次没有发现rar,因为她给我们单独拿出来了,但是还是可以看到很多1.php文件,我们直接去过滤TCP流,然后一点一点的找有没有rar的信息,发现在这个流里面找到了

里面出现了ntds.rar字样,我们找出关键信息,然后base64

拿到了解压密码

然后我们解压出来拿到了三个文件

使用kali渗透密码的指令

Plain Text
impacket-secretsdump -system /root/桌面/SYSTEM -ntds /root/桌面/ntds.dit LOCAL -history

关于impacket -secretsdump:

提取出了密码

这个就是NTLM的hash

评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值