文章讲述了作者在蓝帽杯半决赛中的技术复盘,包括如何通过Excel表格中的加粗字体识别二维码、数据提取方法如查找替换、手机取证信息获取(如IMEI、应用数量等),以及对测试APK的加密分析过程。
前言:
很遗憾这次因为某些原因没有参加蓝帽杯半决赛,但还是在比赛结束后第一时间复盘了这次比赛,下面是本人做出的题目WP
蓝帽杯半决赛misc(一)
打开是什么都看不到的excel表格,先给他字体换个颜色然后看到里面有加粗的有不加粗的
想法是让加粗的填充为黑色,初步猜测是二维码,因为有数字,所以考虑排序,试了好多次发现让每一列升序排列(注意:排列时要把规则选明白,有的数字会被认为文本而导致数字并不是升序排列),然后将加粗字体填充为黑色,会发现出现二维码了,用手机扫一下发现flag
关于填充的快速做法:
使用替换选择,查找的字体选加粗,然后替换的填充选黑色
蓝帽杯半决赛取证
检材数据开始提取是今年什么时候?(答案格式:04-12 13:26)
查看log文件
09-11 17:21
嫌疑人手机SD卡存储空间一共多少GB?(答案格式: 22.5)
24.32
嫌疑人手机设备名称是?(答案格式:adfer)
sailfish
嫌疑人手机IMEI是?(答案格式:3843487568726387)
352531082716257
嫌疑人手机通讯录数据存放在那个数据库文件中?(答案格式:call.db)
contacts.db
嫌疑人手机一共使用过多少个应用?(答案格式:22)
查看应用日志,然后把相同的去掉
99
测试apk的包名是?(答案格式:con.tencent.com)测试apk的包名是?(答案格式:con.tencent.com)
com.example.myapplication
测试apk的签名算法是?(答案格式:AES250)
SHA256withRSA
测试apk的主入口是?(答案格式:com.tmp.mainactivity)
com.example.myapplication.MainActivity
测试apk一共申请了几个权限?(答案格式:7)
3
测试apk对Calllog.txt文件内的数据进行了什么加密?(答案格式:DES)
直接搜索calllog.txt文件
Base64
10086对嫌疑人拨打过几次电话?(答案格式:5)
上一问那么问就猜测这个文件就是这一问的,然后去找这个文件
base64解密
2
测试apk对短信记录进行了几次加密?(答案格式:5)
主函数往下滑就看到了对短信的加密
一次AES,一次Base64
2
测试apk对短信记录进行加密的秘钥是?(答案格式:slkdjlfslskdnln)
结合上一题那个calllog.txt,下面那个sms.txt很可能就是短信加密后的记录文件
先找AES加密的密钥
看到了这个getkey,然后双击它
跳转后,看到了native字眼,关于这个native是java为了扩展其功能使用的方法使其可以直接访问操作系统层面,这里我们要去查看他的so文件,解压apk文件就能看到里面的.so文件了,用ida查看so文件
进去直接搜Getkey,然后一直跳转到这个页面
看不懂干嘛,但这串字符很奇怪
查看详细代码tab
里面内容很多,没看懂啥意思,但大致就是给一串字符base64,猜测字符就是前面那一串,然后base64一下
然后用这个去解密AES一下,不能用厨子这里,去网上随便找个网页aes解密
把下面的东西复制出来
解密成功说明,这个密钥是对的
bGlqdWJkeWhmdXJpbmRoY2J4ZHc=
嫌疑人在2021年登录支付宝的验证码是?(答案格式:3464)
接上题
9250
扫一扫
970
到【灌水乐园】发言
