2022蓝帽杯wp

目录

手机取证_1

手机取证_2

计算机取证_1

计算机取证_2

程序分析_1

程序分析_2

程序分析_3

程序分析_4

网站取证_1

网站取证_2

网站取证_3

网站取证_4

domainhacker

这是这次比赛拿下的题，队名拆东墙砸西墙

手机取证_1

通过模糊搜索，搜索图片前面的字符：627604C2

找到图片，下载，查看其分辨率为360x360

手机取证_2

通过模糊查询字符 '姜总'， 找到在qq中的聊天记录

其中提到明天有个快递抵达，讲述了单号

计算机取证_1

获取内存文件的系统版本

H:\volatility\VolatilityWorkbench2>volatility.exe -f
H:\计算机取证\1.dmp imageinfo

获取用户的hash值

"H:\volatility\VolatilityWorkbench2\volatility.exe" -plugins="H:\volatility\VolatilityWorkbench2\profiles " hashdump --filename="H:\取证\1.dmp" -- profile=Win7SP0x64 --kdbg=0xf80003ffa0a0

然后md5解密一下

计算机取证_2

先列出所有进程

"H:\volatility\VolatilityWorkbench2\volatility.exe" --plugins="H:\volatility\VolatilityWorkbench2\profiles " pslist --filename="H:\取证\1.dmp" -- profile=Win7SP0x64 --kdbg=0xf80003ffa0a0

发现是MagnetRAMCaptu进程，进程号为2192

程序分析_1

通过adb命令行查询第三方应用

adb shell pm list packages -3

发现exec程序的包名

程序分析_2

打开androidkiller，通过反汇编apk程序，其上写有包名和入口

程序分析_3

打开jadx，阅读，找到解密方法，其中存在密文

aHR0cHM6Ly9hbnNqay5lY3hlaW8ueHl6

程序分析_4

因为要安全检测，所以尝试在文件中搜索安全两个字

审了一下发现有两个疑似安全检测的字符串，跟进字符串发现它们所在H类

继续分析发现H类拥有A类接口

根据A类参数名猜测A类是安全检测的类，尝试提交，发现正确哈哈哈

网站取证_1

D盾扫一下

网站取证_2

tp框架数据库连接在database.php

进入函数echo一下

网站取证_3

抱着侥幸的心态搜索了一下encrypt，没想到搜到了关于money的！

仔细看一下发现是对插入数据库的金额进行加密的！跟进！

跟进salt的定义发现这个值就是salt！

网站取证_4

一开始缺少对数据库分析，所以导致在数据库导入处有很大问题，后来才发现这是个postgresql。。。

观察一下，

info_bargain是每日的RMB汇率

tab_channel_order_list是所有的订单

tab_user中我们可以看到张宝的用户ID为3，王子豪的用户ID为5

导出Excel数据表，然后货币依次解密，源码中有解密函数，写个脚本吧