本文主要是介绍2022蓝帽杯wp,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
目录
手机取证_1
手机取证_2
计算机取证_1
计算机取证_2
程序分析_1
程序分析_2
程序分析_3
程序分析_4
网站取证_1
网站取证_2
网站取证_3
网站取证_4
domainhacker
这是这次比赛拿下的题,队名拆东墙砸西墙
手机取证_1
通过模糊搜索,搜索图片前面的字符:627604C2
找到图片,下载,查看其分辨率为360x360
手机取证_2
通过模糊查询字符 '姜总', 找到在qq中的聊天记录
其中提到明天有个快递抵达,讲述了单号
计算机取证_1
获取内存文件的系统版本
H:\volatility\VolatilityWorkbench2>volatility.exe -f
H:\计算机取证\1.dmp imageinfo获取用户的hash值
"H:\volatility\VolatilityWorkbench2\volatility.exe" -plugins="H:\volatility\VolatilityWorkbench2\profiles " hashdump --filename="H:\取证\1.dmp" -- profile=Win7SP0x64 --kdbg=0xf80003ffa0a0然后md5解密一下
计算机取证_2
先列出所有进程
"H:\volatility\VolatilityWorkbench2\volatility.exe" --plugins="H:\volatility\VolatilityWorkbench2\profiles " pslist --filename="H:\取证\1.dmp" -- profile=Win7SP0x64 --kdbg=0xf80003ffa0a0发现是MagnetRAMCaptu进程,进程号为2192
程序分析_1
通过adb命令行查询第三方应用
adb shell pm list packages -3发现exec程序的包名
程序分析_2
打开androidkiller,通过反汇编apk程序,其上写有包名和入口
程序分析_3
打开jadx,阅读,找到解密方法,其中存在密文
aHR0cHM6Ly9hbnNqay5lY3hlaW8ueHl6
程序分析_4
因为要安全检测,所以尝试在文件中搜索安全两个字
审了一下发现有两个疑似安全检测的字符串,跟进字符串发现它们所在H类
继续分析发现H类拥有A类接口
根据A类参数名猜测A类是安全检测的类,尝试提交,发现正确哈哈哈
网站取证_1
D盾扫一下
网站取证_2
tp框架数据库连接在database.php
进入函数echo一下
网站取证_3
抱着侥幸的心态搜索了一下encrypt,没想到搜到了关于money的!
仔细看一下发现是对插入数据库的金额进行加密的!跟进!
跟进salt的定义发现这个值就是salt!
网站取证_4
一开始缺少对数据库分析,所以导致在数据库导入处有很大问题,后来才发现这是个postgresql。。。
观察一下,
info_bargain是每日的RMB汇率
tab_channel_order_list是所有的订单
tab_user中我们可以看到张宝的用户ID为3,王子豪的用户ID为5
导出Excel数据表,然后货币依次解密,源码中有解密函数,写个脚本吧
<?php
function decrypt($data, $key = 'jyzg123456')
{$key = md5($key);$y = 0;$data = base64_decode($data);$length = mb_strlen($data);$len = mb_strlen($key);$char = '';$str = '';for ($i = 0; $i < $length; $i++) {if ($y == $len) {$y = 0;}$char .= mb_substr($key, $y, 1);$y++;}for ($i = 0; $i < $length; $i++) {if (ord(mb_substr($data, $i, 1)) < ord(mb_substr($char, $i, 1))) {$str .= chr((ord(mb_substr($data, $i, 1)) + 256) - ord(mb_substr($char, $i, 1)));} else {$str .= chr(ord(mb_substr($data, $i, 1)) - ord(mb_substr($char, $i, 1)));}}return $str;
}
// echo decrypt("mZVymm9t");
ob_start();
$file = fopen("money.txt","r");
$new_file = fopen("newmoney.txt","a");
while(!feof($file))
{$encoded = fgets($file);$decoded = decrypt($encoded);echo $decoded."\n";$string = ob_get_contents();file_put_contents('newmoney.txt', $string);
}
ob_flush();
flush();
fclose($file);
跑出结果放入excel
然后再去navicat拿到税率
导出然后填入excel表格
求和得到15758353.76
domainhacker
大致分析了一下看到机器hash值被压缩进了1.rar里面
文件导出后看到
大致浏览发现就1.rar比较特殊,还有密码,丢入密码爆破就去继续看流量了
找到密码
base64解码
Y2QgL2QgImM6XFxXaW5kb3dzXFxUZW1wIiZyYXIuZXhlIGEgLVBTZWNyZXRzUGFzc3cwcmRzIDEucmFyIDEudHh0JmVjaG8gZWZhOTIzYmE1MDQmY2QmZWNobyAxYTRiZTg4MTVlZjg=
拿下
这篇关于2022蓝帽杯wp的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
