2022第六届蓝帽杯初赛学习

参考大佬的文章：

2022第六届蓝帽杯全国大学生网络安全技能大赛电子取证参考题解 初赛&半决赛
https://www.cnblogs.com/WXjzc/p/16461785.html

做完之后，发现蓝帽杯是有传承的，但服务器这块还不算很熟，请参考大佬的文章。

手机取证

1.现对一个苹果手机进行取证，请您对以下问题进行分析解答627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是？（答案参考格式：1920x1080）

360x360

直接搜索

导出查看

2.姜总的快递单号是多少？（答案参考格式：abcABC123）

SF1142358694796

搜索“快递单号”，无果

搜索“单号”，出结果

内存取证

3.现对一个windows计算机进行取证，请您对以下问题进行分析解答。从内存镜像中获得taqi7的开机密码是多少？（答案参考格式：abcabc123）

HATSULLQMF0

第一种方法：使用vol2的hashdump插件，去cmd5上面进行反查，发现NThash是付费记录。~~又是和第七届蓝帽杯一样的结果，下意识就去使用mimikatz，不过想吐槽，kali的vol2和插件真不好装

第二种方法：使用passware kit梭哈，密码是绿色部分，这个软件容易乱码

计算验证，和hashdump是一样的

4.制作该内存镜像的进程pid号是多少？(答案参考格式：1024)

2192

使用vol查看进程，看到PID

计算机取证

5.bitlokcer分区某office文件中存在的flag值为？（答案参考格式：flagfabcabc123）

b27867b66866866686866883bb43536

取证大师打开，发现有BitLocker分区，使用小程序扫出来，发现有密钥文件

导入就可以了

发现有pass.txt，应该是字典，使用passware攻击

密码出来了

6.truecrypt加密中存在的flag值为？（答案参考格式：flagfabcabc123）

1349934913913991394cacacacacacc

发现 新建文本文档.txt

利用passware移除

挂载后发现文件，发现文件加密文件

利用字典爆破

apk取证

7.现已获取某个app程序，请您对以下问题进行分析解答。本程序包名是？(答案参考格式：abc.xx.de)

exec.azj.kny.d.c

在线网站摸瓜

GDA可以出

aapt也可以出

8.本程序的入口是？(答案参考格式：abc.xx.de)

minmtta.hemjcbm.ahibyws.MainActivity

摸瓜，GDA，aapt均可以

我觉得jadx应该也可以找得到，尝试之后不行，有会的师傅希望可以和我交流

9.本程序的服务器地址的密文是？(答案参考格式：abcabc123)

aHR0cHM6Ly9hbnNqay5lY3hlaW8ueHl6

在GDA中搜索主活动的时候，看到了包名，下面有一串密文，提示是base64编码，解码可得

当时我先是去找asset文件夹的，但是检索之后，发现没有什么东西，这时要转换思路了

10.本程序实现安全检测的类的名称是？（答案参考格式：abcabc123）

a

搜索“安全”可得，查看类b，a

getRuntime在环境检查

服务器取证

11.据了解，某网上商城系一团伙日常资金往来用，从2022年4月1日起使用虚拟币gg币进行交易，现已获得该网站的源代码以及部分数据库备份文件，请您对以下问题进行分析解答。请从网站源码中找出木马文件，并提交木马连接的密码。(答案参考格式：abcabc123）

lanmaobei666

解压的时候，火绒发现病毒

退出火绒再解压，找到文件

12.请提交数据库连接的明文密码。（答案参考格式：abcabc123）

my_encrypt()

搜索database看配置文件

13.请提交数据库金额加密混淆使用的盐值。（答案参考格式：abcabc123）

jyzg123456

14.请计算张宝在北京时间2022-04-02 00:00:00-2022-04-18 23:59:59累计转账给王子豪多少rmb？（换算比例请从数据库中获取，答案参考格式：123.45）

15758353.76

这两题看下参考文章的吧，超出现有能力范围了