文章目录

• 电子取证
• • 手机取证_1
  • 手机取证_2
  • exe分析_1
  • exe分析_2
  • exe分析_3
  • exe分析_4
  • exe分析_5
  • apk分析_01
  • apk分析_02
  • apk分析_05
  • apk分析_06
  • apk分析_07
  • apk分析_08
  • apk分析_09
  • apk分析_10
  • apk分析_11
  • apk分析_12
  • apk分析_14
  • apk分析_15
  • 服务器取证_05
• Re
• • babynim
• Misc
• • 神秘的日志
  • 加密的通道
• 取证附件、题目、解压密码

文末附取证附件、题目、解压密码

电子取证

手机取证_1

然后+8

2022-01-11 18:47:38

exe分析_1

C:Program FilesCommon FilesServicesWmiApSvr.exe

exe分析_2

直接搜看看有没有

svchost.exe

exe分析_4

apk分析_01

hhh，题目问EXEC结果要交红星的

解base得到https://ansjk.ecxeio.xyz

答案：ansjk.ecxeio.xyz

apk分析_05

和初赛一个附件。不用说了

apk分析_07

搜com.

apk分析_09

info.plist

www.nansjy.com.cn:8161

apk分析_12

17317289056/b12345678b

服务器取证_05

猜了5不对，猜6对了

Re

babynim

对比flag格式

追进去

时间对应security第一次的登录时间

flag{dafd0428f634aefd1ddb26f8257c791f}

加密的通道

流量包，能发现传输hex之后多了个rsa.php，因此那串hex就是rsa.php，使用cyberchef给dump下来

官方没有解密的

https://m.php.cn/blog/detail/20670.html

https://blog.csdn.net/qq292913477/article/details/88726944

使用第二个链接的脚本解，得到以下

em，后面传输了rsa的参数，将最后的eval改成echo，cmd直接改成参数。发现一共传了三个参，其中第一个是蚁剑的，第二个就是传输的东西。发现第4次出现的rsa.php最大

熟悉的Zmxh

flag{844dfc86da23a4d5283907efaf9791ad}

取证附件、题目、解压密码

2022蓝帽杯取证题目+解压密码+附件
链接：https://pan.baidu.com/s/1AS0wVdjZxt46zaDcDzxdaQ
提取码：scpc
–来自百度 盘超级会员V4的分享

解压密码7(G9A8sdgfMsfsdrfE4q6#cf7af0fc1c

手机取证_1
iPhone手机的iBoot固件版本 :（答案参考格式：iBoot-1.1.1）

手机取证_2
该手机制作完备份UTC+8的时间（非提取时间）:（答案参考格式：2000-01-01 00:00:00）

exe分析_1
文件services.exe创建可执行文件的路径是:（答案参考格式：C:Windows.exe）

exe分析_2
文件HackTool.FlyStudio.acz_unpack.exe是否调用了advapi32.dll动态函式链接库r> （是/否）

exe分析_3
文件aspnet_wp.v.exe执行后的启动的进程是什么:（答案参考格式：qax.exe）

exe分析_4
文件[4085034a23cccebefd374e4a77aea4f1]是什么类型的木马:（答案参考格式：勒索）

exe分析_5
文件[4085034a23cccebefd374e4a77aea4f1] 络连接的IP地址的归属地是哪个国家:（答案参考格式：美国）

APK分析_01
受害人手机中exec的序列 是:（答案参考格式：0xadc）

APK分析_02
受害人手机中exec关联服务器地址是:（答案参考格式：asd.as.d）

APK分析_03
受害人手机中exec加载服务器的函数是:（答案参考格式：asda）

APK分析_04
受害人手机中exec的打包ID是:（答案参考格式：adb.adb.cn）

APK分析_05
受害人手机中exec的是否有安全检测行为r> 是/否

APK分析_06
受害人手机中exec的检测方法的完整路径和方法名是:（答案参考格式：a.a.a()）

APK分析_07
受害人手机中exec有几个界面:（答案参考格式：2）

APK分析_08
受害人手机中红星IPA的包名是:（答案参考格式：a.s.d）

APK分析_09
受害人手机中红星IPA的APIKEY是:（答案参考格式：asd）

APK分析_10
受害人手机中红星IPA的权限有哪些r> [ 多选 ] 相册|定位|摄像头|麦克风

APK分析_11
嫌疑人手机中红星APK的服务器地址是:（答案参考格式：ass.a.d:11）

APK分析_12
嫌疑人手机中红星APK的程序入口是:（答案参考格式：a.v.b.n）

APK分析_13
嫌疑人手机中分析聊天工具，服务器的登录端口是:（答案参考格式：12）

APK分析_14
嫌疑人手机中分析聊天工具，用户归属的机构是:（答案参考格式：太阳）

APK分析_15
结合手机流量分析聊天工具的登录账 和密码是:（答案参考格式：1212311/12312asd）

服务器取证_01
服务器在启动时设置了运行时间同步脚本，请写出脚本内第二行内容。（答案参考格式：/abcd/tmp www.windows.com）

服务器取证_02
服务器在计划任务添加了备份数据库脚本，请写出该脚本的第二行内容。（答案参考格式：2022年第六届蓝帽杯）

服务器取证_03
使用宝塔linux面板的密码加密方式对字符串lanmaobei进行加密，写出加密结果。（答案参考格式：e10adc3949ba59abbe56e057f20f883e）

服务器取证_04
写出服务器中第一次登录宝塔面板的时间。（答案参考格式：2022-02-02 02:02:02）

服务器取证_05
写出宝塔面板的软件商店中已安装软件的个数（答案参考格式：2）

服务器取证_06
写出涉案 站（维斯塔斯）的运行目录路径。（答案参考格式：/root/etc/sssh/html）

服务器取证_07
写出最早访问涉案 站后台的IP地址。（答案参考格式：111.111.111.111）

服务器取证_08
写出涉案 站（维斯塔斯）的“系统版本” 。（答案参考格式：6.6.6666）

服务器取证_09
分析涉案 站的会员层级深度，写出最底层会员是多少层。（答案参考格式：66）

服务器取证_10
请写出存放 站会员等级变化制度的 站代码文件的SHA256值。（答案参考格式： 8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92）

服务器取证_11
计算向 站中累计充值最多的五名会员，获得的下线收益总和(不包含平台赠送)。（答案参考格式：666.66）

服务器取证_12
统计涉案 站中余额大于0且银行卡开户行归属于四川省的潜在受害人数量。（答案参考格式：6）

服务器取证_13
统计平台从成立之初至“2021-07-01 23:59:59”共收益多少金额(不包含平台赠送)。（答案参考格式：6666.66）

服务器取证_14
统计涉案 站哪一天登录的会员人数最多。（答案参考格式：1999-09-09）

服务器取证_15
写出涉案 站中给客服发送“你好，怎么充值”的用户的fusername值。（答案参考格式：lanmaobei666）