- 博客(14)
- 收藏
- 关注
RSS订阅原创 2025獬豸杯WP—手机+计算机
手机部分学到了两个技巧——apk仿真和图片文本识别,这两种方法相较于翻找原始数据库更加便捷高效。计算机里流量和以往不同,需要使用fiddler查看,另外还有exe分析和apk分析,难度适中,个人感觉apk题目可以并到手机里。
2025-03-03 19:04:26
954
原创 2024电子取证“獬豸杯”WP
解密仿真的D盘后,可以打开FoxMail查看消息导出data.zip,算MD5发现符合,但是加密打不开根据提示要找到尾号555的电话号码掏出ARCHPR爆破zip文件电话号码固定为11位,开头为1,结尾为555,设置好就可以爆破了密码:15566666555也可以使用Passware Kit的掩码攻击shit,要我购买,下次装个破解版,密码和上面一样的解压结果,发现都是mysql环境的文件启动小皮,搭建Mysql环境,后面尝试用navicat连接。
2025-02-21 17:42:00
1189
1
原创 Magnet AXIOM使用+2024獬豸杯实战
MAGNET AXIOM是一款集计算机取证分析、手机取证分析、云取证分析功能于一体的综合司法分析软件,其高级解析和数据挖掘技术可以从每个数据源中获得了最多的证据,以清晰、直观的方式呈现,并易于报告结果。此外,通过关联分析、时间线和Magnet.AI人工智能等功能,您可以自动创建属于自己的调查思路,从而在检验中取得重要突破。MAGNET AXIOM由AXIOMCOMPUTER计算机取证分析模块、AXIOMMOBILE手机取证分析模块以及AXIOMCLOUD 云取证分析模块三个模块组成。
2025-02-21 11:04:19
350
原创 2024数证杯初赛WP
4kB是8个扇区,所以1KB就是2个扇区,512字节就是1个扇区x-way也能看512老样子,在最近app找线索——目标在备忘录上找到线索100003CDD7939exe分析属于盲区,后面熟悉工具使用和解题思路后补上参考wp——2024“数证杯”初赛程序功能分析部分赛题WP8.8.8.8这次数证杯包括计算机,服务器,手机,apk,exe,流量,数据分析,u盘这八个部分。个人认为难点在java服务器的环境调试和网站重构,apk和exe的逆向,以及数据分析这块。
2024-12-12 19:33:09
1146
1
原创 龙信杯流量分析
后面一连串的都是连接cont.php,怀疑是连接的webshell,这个问题应该是在问上传这个木马文件时修改了什么参数。常见的有上传图片木马,将图片上传后,bp抓包改content-type,而这题答案就是这个。找到流量包,可以看出符合冰蝎的流量特征(Content-type: Application/x-www-form-urlencoded),所以后面进行aes+base64的解密。因为爆破的原理就是发送大量的爆破报文去尝试破解密码,所以在端点界面中点击packets,使得排序方式为。
2024-10-30 09:45:38
676
原创 vulnhub靶机网卡配置问题
用kali攻击机arp-scan探测不到ip,应该是debian网卡配置问题,没有分配到ip。debian系统(linux)靶机来源——ICA-1。
2024-07-17 11:39:47
475
原创 Vulnhub-ICA01
名称:ICA: 1发布日期:2021 年 9 月 25 日难度:容易描述:根据我们情报网络的信息,ICA 正在开展一个秘密项目。我们需要弄清楚这个项目是什么。获得访问信息后,请将其发送给我们。我们稍后会放置一个后门来访问系统。您只需关注项目是什么。您可能必须通过几层安全性。原子能机构对您将成功完成这项任务充满信心。祝你好运,代理!下载地址kali攻击机靶机地址一、信息收集1.这次靶场先从信息收集入手,获取网站端口,目录等信息。
2024-07-12 09:14:45
1210
原创 一句话木马——上传+绕过
3.用物理机打开网站,进入admin目录,进入http://192.168.1.29/admin/Admin_Login.asp后台管理界面。1.网站管理打开,进入bookpic目录(C:\Inetpub\cms\cms\bookpic),添加a.asp文件(一句话木马上传点)上传后抓包,修改文件路径为bookpic/a.asp/,再修改文件上传后缀为jpg,放行,拦截关闭。这里有点问题,jpg蚁剑连不了,要php格式的文件,连接失败。2.调出属性,修改为IP,应用后确定。访问上传路径,上传成功。
2024-06-02 15:58:42
1940
原创 2024盘古石取证比赛(IPA+人工智能)
人工智能部分分为声音模型和AI换脸,在火眼中如果找到对应路径,在虚拟机中可以较容易找到答案,主要考察信息检索能力。难点在于第五题的逆向分析,要考虑如何还原换脸视频。这题感觉和ctf比赛的逆向题目流程一模一样——反编译,反混淆,修改文件头进行修复……IPA部分IPA这些题目和手机取证差不多,都是在数据库里找信息。第三题可以通过其他题目找到的信息回答。主要学习了realm数据库的查找,以及realm studio的安装和使用。又是收获满满的一天!
2024-05-28 16:01:48
1911
原创 内存取证——volatility学习
在做计算机最后两道题目碰到了MP3格式的镜像,分析发现是计算机内存,要进行内存取证。现在内存取证在ctf比赛中也是常见的题目,内存取证是指在计算机系统的内存中进行取证分析,以获取有关计算机系统当前状态的信息。内存取证通常用于分析计算机系统上运行的进程、网络连接、文件、注册表等信息,并可以用于检测和分析恶意软件、网络攻击和其他安全事件通过盘古石比赛了解了内存取证类型的题目,在看别人题解的时候发现volatility为主流分析工具,安装后大致了解了操作流程和功能点。
2024-05-27 16:22:33
1955
原创 2024盘古石取证比赛(APK)
这次的apk取证题目难度中等,前面和服务器题目贴合,后面BitLocker解不解的出来决定了计算机很多题目能不能做出来。数据库查询的过程和手机取证比较像,前面使用了雷电分析软件进行apk分析,后面难点在于找到隐藏软件,并进行静态分析。幸好有相关文章指导,且文件位置,密码,数据库名称未作改动,可以较快的进行解密。总体来说,收获很大。
2024-05-26 17:04:43
2025
1
原创 2024盘古石取证比赛(手机)
方法1:盘古石很多题目只有用他的软件会方便一点火眼里试试过程类比上面第三题方法3在\data\media\0\Android\data\com.cat.readall\files\Documents目录下的multi_windows.dat中也可以看到保存的历史记录.ai写文章生成器这次复盘了盘古石手机部分,感觉题目偏向与后台数据库的查询。大部分题目用盘古石手机分析软件会很方便,可以说是齐安信一贯的套路了,不然就自己去数据库里找。
2024-05-21 19:44:31
1722
1
原创 2024盘古石取证比赛(服务器)
容器密码:2b26ba7ed35d622d8ec19ad0322abc52160ddbfa前期准备工作veracrypt解压火眼仿真im.dd,web.dd虚拟机开启虚拟机进入vm环境,但是进去出现问题——不知道用户名(火眼会把密码修改为123456)——火眼老是掉链子😅上网找方法,自定义用户名,如下修改为root/111111进入随便测试一下,发现im有docker容器,web有mysql数据库(后期火眼取证软件都可以显示)docker。
2024-05-15 21:16:47
1734
6
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人