一、【MISC】domainhacker
题目附件
1、导出http
发现一个压缩包,打开以后发现是有密码的,尝试在流量中分析寻找密码
2、观察流量发现有1.php,与1.rar相似,盲猜可能与该流量相关
分析流量的过程中发现有与base64加密相关内容,尝试直接解密。
尝试删除前两个字母得到
用相同方法继续寻找并不断解密
3、发现相关流量
4、解压压缩包,打开1.txt文件,尝试带入flag,确定flag值
flag{416f89c3a5deb1d398a1a1fce93862a7}
二、【MISC】domainhacker2
题目附件
1、与domainhacker一样的套路,同样先导出http,发现同样一个压缩包ntds.rar要密码
2、观察流量,盲猜又是1.php,慢慢找吧
3、个人觉得与上题套路一样,只不过找的比较麻烦
4、符合搜索条件的不多,就是比较费时间,最后找到密码
5、解压后得到三个文件
6、在kali 中运行impacket-secretsdump
带入题中解得:flag{07ab403ab740c1540c378b0f5aaa4087}
三、【电子取证】手机取证_1
1、解压后打开exe
2、 直接搜索627604C2-C586-48C1-AA16-FF33C3022159,会看到图片
3、下载图片即可查看到该图分辨率
四、【电子取证】手机取证_2
与手机取证_1同理,直接搜索姜总即可查看到快递单号
五、【电子取证】计算机取证_1
用PasswareKitForensic
六、【电子取证】计算机取证_2
用volatility
最后可知制作该内存镜像的进程Pid号是2192
七、【电子取证】程序分析_1
题目附件
八、【电子取证】程序分析_2
题目附件
首先解包,AndroidManifest.xml文件中找到Activity
九、【电子取证】程序分析_3
题目附件
Jadx反编译可直接查看:
十、【电子取证】程序分析_4
题目附件
1、这道题是我无意间在手机上安装打开了后发现提示:
2、然后在jadx上搜索
由此可见,前面是包名后面是类名,所以实现安全检测的类的名称是a
十一、【电子取证】网站取证_1
题目附件
D盾扫描得:lanmaobei666
十二、【电子取证】网站取证_2
题目附件
这个还是花了点时间去找的
直接把my_encrypt()函数运行结果打印出来就可以了:KBLT123
十三、【电子取证】网站取证_3
题目附件
找加密money的函数,然后定位到encrypt:jyzg123456
十四、【电子取证】网站取证_4
题目附件
从bak.sql提取数据:
汇率为
存储为1.txt
0.04,2022-04-02
0.06,2022-04-03
0.05,2022-04-04
0.07,2022-04-05
0.10,2022-04-06
0.15,2022-04-07
0.17,2022-04-08
0.23,2022-04-09
0.22,2022-04-10
0.25,2022-04-11
0.29,2022-04-12
0.20,2022-04-13
0.28,2022-04-14
0.33,2022-04-15
0.35,2022-04-16
0.35,2022-04-17
0.37,2022-04-18
转账记录为:
存储为2.txt
2.txt
写脚本
import base64
def calculation_money(a):
md5_k="cd9d86dd286a0b0079146c1c57e51576"
b=base64.b64decode(a)
money=""
for i in range(len(b)):
t=b[i]-ord(md5_k[i])
money+=chr(t % 256)
return money
f1=open("1.txt")
dic={}
for i in f1:
a,b=i[:-1].split(',')
dic[b]=a
print(dic)
sum=0
f2=open("2.txt")
for i in f2:
if "5,3" in i:
t=i[:-1]
for k in dic:
if k in t:
tmp=eval(calculation_money(t[-11:-3])+'*'+dic[k])
sum+=tmp
break
print(sum)
