参考博客蓝帽杯2022年半决赛 writeup(附取证题目+解压密码+附件)_是Mumuzi的博客-优快云博客
AmyZYX - 博客园,官方wp
取证
手机取证_1
iPhone手机的iBoot固件版本号:(答案参考格式:iBoot-1.1.1)
iBoot-7429.62.1
原来这个ipone的zip镜像,是可以直接取证的,我解压了,然后思维固化了,然后就没取出来呜呜呜
手机取证_2
该手机制作完备份UTC+8的时间(非提取时间):(答案参考格式:2000-01-01 00:00:00)
2022-01-11 18:47:38
2022-01-11T10:47:38Z,+8,2022-01-11 18:47:38
exe分析_1
文件services.exe创建可执行文件的路径是:(答案参考格式:C:\Windows.exe)
C:\Program Files\Common Files\Services\WmiApSvr.exe
在聊天记录里找到一个压缩包
services.exe就在里面
奇安信的这个平台sandbox.ti.qianxin.com,好牛逼,C:\Program Files\Common Files\Services\WmiApSvr.exe
exe分析_2
文件HackTool.FlyStudio.acz_unpack.exe是否调用了advapi32.dll动态函式链接库?
是
exe分析_3
文件aspnet_wp.v.exe执行后的启动的进程是什么:(答案参考格式:qax.exe)
svchost.exe
exe分析_4
文件[4085034a23cccebefd374e4a77aea4f1]是什么类型的木马:(答案参考格式:勒索)
挖矿
exe分析_5
文件[4085034a23cccebefd374e4a77aea4f1]网络连接的IP地址的归属地是哪个国家:(答案参考格式:美国)
韩国
sandbox.ti.qianxin.com太牛逼了,呜呜呜当时比赛的时候怎么就不会用呢
APK分析_01
受害人手机中exec的序列号是:(答案参考格式:0xadc)
0x936eacbe07f201df
APK分析_02
受害人手机中exec关联服务器地址是:(答案参考格式:asd.as.d)
ansjk.ecxeio.xyz
mainactivity是安卓程序入口,来自Android之MainActivity类 - Tsingke - 博客园
APK分析_03
受害人手机中exec加载服务器的函数是:(答案参考格式:asda)
loadUrl
APK分析_04
受害人手机中exec的打包ID是:(答案参考格式:adb.adb.cn)
__W2A__nansjy.com.cn
APK分析_05
受害人手机中exec的是否有安全检测行为?
是
搜索安全,着实没想到能这么操作
APK分析_06
受害人手机中exec的检测方法的完整路径和方法名是:(答案参考格式:a.a.a())
d.a.a.c.a.a()
APK分析_07
受害人手机中exec有几个界面:(答案参考格式:2)
3
APK分析_08
受害人手机中红星IPA的包名是:(答案参考格式:a.s.d)
com.dd666.hongxin
红星.ipa改后缀为zip,然后解压,里面就有info.pslist,.ipa的后缀涨见识了属于是
CFBundleIdentifier——com.dd666.hongxin
APK分析_09
受害人手机中红星IPA的APIKEY是:(答案参考格式:asd)
d395159c291c627c9d4ff9139bf8f0a700b98732
APK分析_10
受害人手机中红星IPA的权限有哪些?
相册、定位、摄像头、麦克风全选
APK分析_11
嫌疑人手机中红星APK的服务器地址是:(答案参考格式:ass.a.d:11)
www.nansjy.com.cn:8161
APK分析_12
嫌疑人手机中红星APK的程序入口是:(答案参考格式:a.v.b.n)
com.example.weisitas526sad.activity.SplashActivity
APK分析_13
嫌疑人手机中分析聊天工具,服务器的登录端口是:(答案参考格式:12)
6661
打开BigAnt5,随便输入一个账号密码,跳转到这个界面,或者网络设置直接就在右下角
APK分析_14
嫌疑人手机中分析聊天工具,用户归属的机构是:(答案参考格式:太阳)
红星
APK分析_15
结合手机流量分析聊天工具的登录账号和密码是:(答案参考格式:1212311/12312asd)
服务器取证_01
服务器在启动时设置了运行时间同步脚本,请写出脚本内第二行内容。(答案参考格式:/abcd/tmp www.windows.com)
/usr/sbin/ntpdate time.nist/gov
查看开机自启动文件etc/rc.local
查看time.sh,上图的路径打不开,后来直接用find找的
gztmpdir显示此文件是被加密的,gzexe -d time.sh解密
服务器取证_02
服务器在计划任务添加了备份数据库脚本,请写出该脚本的第二行内容。(答案参考格式:2022年第六届蓝帽杯)
#台北下着雪你说那是保丽龙
crontab -l查看计划任务
.sh.x是shc加密
在下载unshc脚本时,很奇怪的下载不了,下载完解密后查看文件即可
服务器取证_03
使用宝塔linux面板的密码加密方式对字符串lanmaobei进行加密,写出加密结果。(答案参考格式:e10adc3949ba59abbe56e057f20f883e)
25b9447a147ad15aafaef5d6d3bc4138
宝塔面板的秘密吗加密方式存放在/www/server/panel/class/users.py里面
第34行显示了加密方式,那个salt是随机产生12位随机字符串,但是官方wp上没有考虑salt,不大清楚
服务器取证_04
写出服务器中第一次登录宝塔面板的时间。(答案参考格式:2022-02-02 02:02:02)
2021-05-17 16:10:40
面板日志是被清除的
cd /www/server/panel/logs/request,该目录里保存了所有访问宝塔面板的get或者post请求,ls查看发现里面是以日期命名的压缩包,gunzip -d命令解压一个最早的压缩包
成功登录宝塔面板的post和get请求是连续的,且后接内容分别为login和?,符合条件的时间如图
服务器取证_05
写出宝塔面板的软件商店中已安装软件的个数(答案参考格式:2)
6
这个很奇怪的是宝塔外网地址和内网地址都登不上去
服务器取证_06
写出涉案网站(维斯塔斯)的运行目录路径。(答案参考格式:/root/etc/sssh/html)
/www/wwwroot/v9.licai.com/public
根据宝塔面板的外网地址对应一下就行,但是宝塔我登不上去
服务器取证_07
写出最早访问涉案网站后台的IP地址。(答案参考格式:111.111.111.111)
183.160.76.194
查找日志文件
第一个日志是空的, 在第二个日志文件的目录中发现了涉案网站的日志
找到了,比较靠后,还有涉案网站的后台地址http://www.nansjy.com.cn:8161/AdminV9YY/Login
服务器取证_08
写出涉案网站(维斯塔斯)的“系统版本”号。(答案参考格式:6.6.6666)
1.0.190311
服务器取证_09
分析涉案网站的会员层级深度,写出最底层会员是多少层。(答案参考格式:66)
10
服务器取证_10
请写出存放网站会员等级变化制度的网站代码文件的SHA256值。(答案参考格式: 8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92)
在/www/wwwroot/v9.licai.com目录下查找会员等级,find -name *.php | xargs grep '会员等级'
来自关于 find grep xargs 命令总结_Bing0lin的博客-优快云博客_grep xargs
服务器取证_11
计算向网站中累计充值最多的五名会员,获得的下线收益总和(不包含平台赠送)。(答案参考格式:666.66)
25178.59
用弘连自带的数据库分析工具导出membercharge表,用excel做数据透视表,后排序,得到充值最多的五名会员
导出memberlog表,得到的答案和官方wp的不一样,很奇怪
服务器取证_12
统计涉案网站中余额大于0且银行卡开户行归属于四川省的潜在受害人数量。(答案参考格式:6)
2
导出member表,bankaddress筛选四川
服务器取证_13
统计平台从成立之初至“2021-07-01 23:59:59”共收益多少金额(不包含平台赠送)。(答案参考格式:6666.66)
9805957.00
membercharge表1979503
memberwithdrawal表489954
两个值相减1489549,差的有点多
服务器取证_14
统计涉案网站哪一天登录的会员人数最多。(答案参考格式:1999-09-09)
2021-07-14
限制memo为登录成功,然后筛选
服务器取证_15
写出涉案网站中给客服发送“你好,怎么充值”的用户的fusername值。(答案参考格式:lanmaobei666)
hm688
扫一扫
827
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
