2022蓝帽杯取证初赛

news2024/12/23 13:49:22

检材:https://pan.baidu.com/s/1ibOdxyCWeC5x0DQKjwcz7w?pwd=vg6g

目录

    • 手机取证
      • 1、627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是?(答案参考格式:1920×1080)
      • 2、姜总的快递单号是多少?(答案参考格式:abcABC123)
    • 程序分析
      • 1、现已获取某个APP程序,请您对以下问题进行分析解答。本程序包名是?(答案参考格式:abc.xx.de)
      • 2、本程序的入口是?(答案参考格式:abc.xx.de)
      • 前两题还有其他方法解:
        • 使用在线网站
      • 3、本程序的服务器地址的密文是?(答案参考格式:abcABC123)
      • 4、本程序实现安全检测的类的名称是?(答案参考格式:abcABC123)
    • 网站取证
      • 1、请从网站源码中找出木马文件,并提交木马连接的密码。(答案参考格式:abcABC123)
      • 2、请提交数据库连接的明文密码。(答案参考格式:abcABC123)
      • 3、请提交数据库金额加密混淆使用的盐值。(答案参考格式:abcABC123)
      • 4、请计算张宝在北京时间2022-04-02 00:00:00-2022-04-18 23:59:59累计转账给王子豪多少RMB?(换算比例请从数据库中获取,答案参考格式:123.45,保留小数点后两位)

手机取证

1、627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是?(答案参考格式:1920×1080)

注意:中间为乘号×,不是字母x

解压压缩包,发现有一个苹果测试 查看.exe,直接打开

直接搜索即可

在这里插入图片描述
在这里插入图片描述

下载下来,查看其属性

在这里插入图片描述

360x360

2、姜总的快递单号是多少?(答案参考格式:abcABC123)

搜索“单号”

在这里插入图片描述

搜索“姜总”也一样可以

SF1142358694796


程序分析

使用jadx打开EXEC.apk文件

1、现已获取某个APP程序,请您对以下问题进行分析解答。本程序包名是?(答案参考格式:abc.xx.de)

查看package值

在这里插入图片描述

exec.azj.kny.d.c

2、本程序的入口是?(答案参考格式:abc.xx.de)

看MAIN

在这里插入图片描述

扩展:

主函数名就是

android:name="com.kmcjrz.bsesai.newActivity"

前两题还有其他方法解:

使用在线网站

https://mogua.co/

在这里插入图片描述

minmtta.hemjcbm.ahibyws.MainActivity

3、本程序的服务器地址的密文是?(答案参考格式:abcABC123)

在MainActivity类里

在这里插入图片描述

aHR0cHM6Ly9hbnNqay5lY3hlaW8ueHl6

用base64解码,确实是一个地址

在这里插入图片描述

aHR0cHM6Ly9hbnNqay5lY3hlaW8ueHl6

4、本程序实现安全检测的类的名称是?(答案参考格式:abcABC123)

把程序拖进模拟器里面运行会出现弹窗

用弹窗的内容进行全局搜索

在这里插入图片描述

调用了d.a.a.c类,去到该位置对其进行分析

在这里插入图片描述

用getRuntime检测系统运行环境

a


网站取证

据了解,某网上商城系一团伙日常资金往来用,从2022年4月1日起使用虚拟币GG币进行交易,现已获得该网站的源代码以及部分数据库备份文件,请您对以下问题进行分析解答。

1、请从网站源码中找出木马文件,并提交木马连接的密码。(答案参考格式:abcABC123)

使用D盾扫描文件

在这里插入图片描述

打开该文件进行查看

在这里插入图片描述

看到了密码

lanmaobei666

2、请提交数据库连接的明文密码。(答案参考格式:abcABC123)

这题主要是找文件

也可以猜测,数据库连接的文件名以database等关键词命名

在该路径下找到\WWW\application

在这里插入图片描述

发现密码是my_encrypt()的返回值

找到这个函数,添加代码输出返回的密码

<?php
function my_encrypt(){
    $str = 'P3LMJ4uCbkFJ/RarywrCvA==';
    $str = str_replace(array("/r/n", "/r", "/n"), "", $str);
    $key = 'PanGuShi';
    $iv = substr(sha1($key),0,16);
    $td = mcrypt_module_open(MCRYPT_RIJNDAEL_128,"",MCRYPT_MODE_CBC,"");
    mcrypt_generic_init($td, "PanGuShi", $iv);
    $decode = base64_decode($str);
    $dencrypted = mdecrypt_generic($td, $decode);
    mcrypt_generic_deinit($td);
    mcrypt_module_close($td);
    $dencrypted = trim($dencrypted);
    return $dencrypted;
}

用在线网站来跑

在这里插入图片描述

KBT123

3、请提交数据库金额加密混淆使用的盐值。(答案参考格式:abcABC123)

先找到金额处理的地方,搜索关键字money,定位到/WWW/Application/admin/controller/chanelorder.php

在这里插入图片描述

很明显就是在这个页面处理的金额,在当前页面搜索关键字money,定位到encrypt函数

在这里插入图片描述

盐值就在函数里

在这里插入图片描述

jyzg123456

4、请计算张宝在北京时间2022-04-02 00:00:00-2022-04-18 23:59:59累计转账给王子豪多少RMB?(换算比例请从数据库中获取,答案参考格式:123.45,保留小数点后两位)

直接分析sql文件

查看提取汇率和日期

在这里插入图片描述

汇率在info_bargain

查看转账

在这里插入图片描述

转账信息在tab_channel_order_list

查看用户

在这里插入图片描述

用户在tab_user

王子豪和张宝的id分别 5,3

在交易记录的倒数第三位和倒数第二位分别为收款人和付款人 所以匹配含有数据(5,3)的交易记录 再将每天GG币的数量 脱盐解密 乘上汇率 汇总就是转账的RMB

解题脚本:

import base64
import hashlib

def decrypt(data):
    key  = hashlib.md5()
    key.update(b'jyzg123456')
    key = key.hexdigest()
    x = 0
    data = base64.b64decode(data)
    Len = len(data)
    l = len(key)
    char = ""
    str = ""
    for i in range(Len):
        if(x==l):
            x = 0
        char+=key[x:x+1]
        x+=1
    i =0
    for i in range(Len):
        if(ord(data[i:i+1])<ord(char[i:i+1])):
            str+=chr(ord(data[i:i+1]+256)-ord(char[i:i+1]))
        else:
            str+=chr(ord(data[i:i+1])-ord(char[i:i+1]))
    return str
data = ""
huilv = [0,0,0.04,0.06,0.05,0.07,0.10,0.15,0.17,0.23,0.22,0.25,0.29,0.20,0.28,0.33,0.35,0.35,0.37]

money = 0
Money = 0
with open("./flag.txt","r",encoding='utf-8') as file:
    data = file.readlines()

for line in data:
    if(int(line.split(',')[5])==5 and int(line.split(',')[6])==3):
        Data = int(line.split(',')[4][10:12])
        money = line.split(',')[7][2:10]
        tmpmoney = huilv[Data]*int(decrypt(money))
        Money += tmpmoney
        print(Data,huilv[Data],decrypt(money),tmpmoney,line.split(',')[5],line.split(',')[6])
print("最后金额",Money)

15758353.76

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1461004.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【2024软件测试面试必会技能】Jmeter_性能测试(4):性能测试脚本的优化

性能测试脚本的优化 以PHP论坛为例&#xff1a;http://47.107.178.45/phpwind/ 根据上一篇的性能测试(3&#xff09;的脚本进行优化&#xff1b;见下图&#xff1a; 如上图中&#xff0c;把发帖和回帖的事务添加到随机控制器中&#xff0c;登录操作添加到仅一次控制器中&…

yolov5转换成TensorRT推理过程笔记

笔记内容来自 B站 手写AI 一、用硬代码实现 GitHub - wang-xinyu/tensorrtx: Implementation of popular deep learning networks with TensorRT network definition API 安装python、cuda11.2、cudnn对应cuda11.2软件 1、在yolov5-master下训练完成后生成best.pt文件(训练时…

Vue模版语法之属性绑定v-bind

双大括号不能在 HTML 属性中使用。想要响应式地绑定一个属性&#xff0c;应该使用 v-bind 指令 1. 使用v-bind绑定属性 <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><title>新建页面</title><sc…

Vue3实现带动画效果的tab栏切换

效果图如下所示&#xff1a; 实现思路&#xff1a; 其实很简单 1、首先切换tab栏时tab标签激活下标与对应显示内容下标要一致。 2、其次点击tab栏切换时更新下标 3、最后就是css添加动画效果 这样就了&#xff01;&#xff01;&#xff01; 上全部代码 <template><…

有方机器人 STM32智能小车 项目学习笔记1

今天开始学习有方机器人--智能小车项目&#xff0c;正点原子部分的学习先放一放&#xff0c;还是小车更有吸引力哈哈。 新建工程及工程模板搭建 新建工程须知 目前常用的 STM32 的开发方式主要有基于寄存器编程、基于标准库函数编程、基于 HAL 库编程这三种。 寄存器版本--…

滤波电阻器:用于能源系统和工业的高精度解决方案(1)?

滤波电阻器用于防止能源系统中的电源反馈。铝厂或钢铁厂中的大型感应冶炼厂会产生与电源频率的谐波。必须不惜一切代价让这些远离电网。过滤器&#xff0c;通常以 T 或 L 元素的形式用于此目的。中压电源输入端的吸收电路由电容和电感的串联连接组成&#xff0c;对谐波进行负载…

【每日一题】106. 从中序与后序遍历序列构造二叉树-2024.2.21

题目: 106. 从中序与后序遍历序列构造二叉树 已解答 中等 相关标签 相关企业 给定两个整数数组 inorder 和 postorder ,其中 inorder 是二叉树的中序遍历, postorder 是同一棵树的后序遍历,请你构造并返回这颗 二叉树 。 示例 1: 输入:inorder = [9,3,15,20,7], pos…

Java Web(七)__Tomcat(二)

Tomcat工作模式 Tomcat作为Servlet容器&#xff0c;有以下三种工作模式。 1&#xff09;独立的Servlet容器&#xff0c;由Java虚拟机进程来运行 Tomcat作为独立的Web服务器来单独运行&#xff0c;Servlet容器组件作为Web服务器中的一部分而存在。这是Tomcat的默认工作模式。…

防御第六次作业-防火墙综合实验(av、url过滤、dns过滤)

目录 拓扑图&#xff1a; 要求&#xff1a; 8 9 10 11 拓扑图 要求 前7个要求在上一篇博客&#xff1b; 8.分公司内部的客户端可以通过域名访问到内部的服务器 9.假设内网用户需要通过外网的web服务器和pop3邮件服务器下载文件和邮件&#xff0c;内网的FTP服务器也需要…

【Vuforia+Unity】AR02-长方体物体识别

1.创建模型 选择多维长方体图&#xff0c;这个长方体是生活中的真实物体的拍摄图&#xff0c;提前把6个面拍摄好并裁剪干净。 官网创建模型https://developer.vuforia.com/targetmanager/project/targets?projectId0ddbb5c17e7f4bf090834650bbea4995&avfalse 设置长宽高…

Python开源项目周排行 2024年第4周

#2024年第4周2024年2月18日1Awesome-LLM一个精选的大型语言模型 (LLM) 资源列表&#xff0c;涵盖了以下内容&#xff1a; LLM 模型介绍 论文和代码 部署工具 应用场景 教程和示例 Awesome-LLM 的目标是帮助人们了解和使用 LLM 技术&#xff0c;并为 LLM 开发人员提供一个资源中…

从零开始学习PX4源码1(两个三维矢量如何转换成四元数)

目录 文章目录 目录摘要参考网址推导过程 摘要 本节主要记录px4如何从两个三维旋转矢量转换到四元数的过程&#xff0c;欢迎批评指正&#xff01;&#xff01;&#xff01; 参考网址 三维矢量转四元数 推导过程

【开源】JAVA+Vue.js实现高校学生管理系统

目录 一、摘要1.1 项目介绍1.2 项目录屏 二、功能模块2.1 学生管理模块2.2 学院课程模块2.3 学生选课模块2.4 成绩管理模块 三、系统设计3.1 用例设计3.2 数据库设计3.2.1 学生表3.2.2 学院课程表3.2.3 学生选课表3.2.4 学生成绩表 四、系统展示五、核心代码5.1 查询课程5.2 新…

详解动态内存管理!

目录 ​编辑 1.为什么要用动态内存分配 2.malloc和free 2.1 malloc 2.2 free 3.calloc和realloc 3.1 calloc 3.2 realloc 4.常见的动态内存的错误 4.1 对NULL的解引用操作 4.2 对动态内存开辟空间的越界访问 4.3 对非动态内存开辟空间用free释放 4.4 使用free释放动…

unity打包apk运行于google手机

第一次打包apk运行于Pixel 7 Pro 一直提示安装包无法安装 untiy版本2020.1.0f1 有两点需要注意 第一 Scrpting Backend 需要选择 IL2CPP 勾选 ARM64 第二 勾选 Custom Main Mainfest 在Assets -> Plugins -> Android文件夹下 AndroidMainfest 中增加android:export…

软件实例分享,饭店餐饮会员卡管理系统怎么弄会员充值怎么记账

软件实例分享&#xff0c;饭店餐饮会员卡管理系统怎么弄会员充值怎么记账 一、前言 以下软件教程以 佳易王餐饮会员管理系统软件V16为例说明 软件文件下载可以点击最下方官网卡片——软件下载——试用版软件下载 1、会员可以登记电子会员卡或使用vip卡片 2、卡类型可以自由…

[云原生] 二进制安装K8S一部分

一、单机matser预部署设计 目前Kubernetes最新版本是v1.25&#xff0c;但大部分公司一般不会使用最新版本。 目前公司使用比较多的&#xff1a;老版本是v1.15&#xff0c;因为v1.16改变了很多API接口版本&#xff0c;国内目前使用比较多的是v1.18、v1.20。 组件部署&#xff…

【网络安全】电竞选手Faker遭受DDOS攻击,为什么它一直存在,我们遇到ddos攻击怎么办?

二十年前中国红客们就在用的DDOS攻击&#xff0c;直到现在还依然是黑客们最爱的攻击方法&#xff0c;为什么它一直存在&#xff1f; Faker各位小伙伴们自然是相当熟悉了&#xff0c;素有着英雄联盟第一人之称的Faker&#xff0c;其所拥有的荣誉让无数职业选手望其项背&#xf…

LabVIEW开发J-TEXT实时控制系统

LabVIEW开发J-TEXT实时控制系统 随着核聚变研究的不断深入&#xff0c;对实验装置的控制系统提出了更高的要求&#xff0c;尤其是在实时控制和数据处理方面。J-TEXT&#xff08;Joint Texas Experimental Tokamak&#xff09;&#xff0c;作为一种先进的托卡马克装置&#xff…

Git基础(22):创建私人令牌和下拉代码

如何创建令牌和拉取项目代码 创建一个令牌&#xff0c;这里以gitee为例&#xff0c;注意将生成的令牌复制保存下拉 打开git bash 窗口&#xff0c;使用命令拉取项目 git clone https://oauth2:你的令牌项目地址(不要带https) #示例 git clone https://oauth2:845579xxxxxxxxx…