网站开发为什么采取ssh框架,wordpress 首页显示图片,wordpress自定义筛选,十八把网站做扇子手机取证_1
iPhone手机的iBoot固件版本号:#xff08;答案参考格式#xff1a;iBoot-1.1.1#xff09;
直接通过盘古石取证 打开
取证大师和火眼不知道为什么都无法提取这个 手机取证_2
该手机制作完备份UTC8的时间#xff08;非提取时间#xff09;:#xff08;答案…手机取证_1
iPhone手机的iBoot固件版本号:答案参考格式iBoot-1.1.1
直接通过盘古石取证 打开
取证大师和火眼不知道为什么都无法提取这个 手机取证_2
该手机制作完备份UTC8的时间非提取时间:答案参考格式2000-01-01 00:00:00
这里就是需要查看最后备份
那我们直接通过火眼可以查看
还有一个方式 就是通过 7z中的 info.plist查看 查看 记得要8小时 换算为 东八区
所以就是
2022-01-11 18:47:38
exe分析_1
文件services.exe创建可执行文件的路径是:答案参考格式C:\Windows.exe
首先我们需要找一下 这个软件在哪里 exe 一般就是文件传输
最后我们可以从聊天记录中看到 我们直接导出 然后放入在线解析的看看 微云 我们就发现了答案
C:\Program Files\Common Files\Services\WmiApSvr.exe exe分析_2
文件HackTool.FlyStudio.acz_unpack.exe是否调用了advapi32.dll动态函式链接库是 否 所以存在
exe分析_3
文件aspnet_wp.v.exe执行后的启动的进程是什么:答案参考格式qax.exe 答案就是svchost.exe
exe分析_4
文件[4085034a23cccebefd374e4a77aea4f1]是什么类型的木马:答案参考格式勒索 答案是挖矿
exe分析_5
文件[4085034a23cccebefd374e4a77aea4f1]网络连接的IP地址的归属地是哪个国家:答案参考格式美国 APK分析_01
受害人手机中exec的序列号是:答案参考格式0xadc 导出 然后放入jadx查看
APK分析_02
受害人手机中exec关联服务器地址是:答案参考格式asd.as.d 直接去主函数看看 base64解密看看 ansjk.ecxeio.xyz
APK分析_03 受害人手机中exec加载服务器的函数是:答案参考格式asda直接查找一下这个方法的引用 答案就是loadUrl
APK分析_04
受害人手机中exec的打包ID是:答案参考格式adb.adb.cn 题目提示 .cn 我们直接搜搜看 就一个 那就是他了
__W2A__nansjy.com.cn
APK分析_05 受害人手机中exec的是否有安全检测行为是 否 发现了和初赛差不多的内容 所以选择有 APK分析_06
受害人手机中exec的检测方法的完整路径和方法名是:答案参考格式a.a.a() 这里我也不知道为什么出现问题 正确答案应该是 d.a.a.c.a.a() 但是可以从另一个方法知道答案 从 APK月少版 这样也可以得到正确的 路径
APK分析_07
受害人手机中exec有几个界面:答案参考格式2 这里存在知识点 在代码中的 一个 Activity 就代表了一个界面 主Activity 会启动其他的Activity 发现这里有3个 所以答案是3 APK分析_08
受害人手机中红星IPA的包名是:答案参考格式a.s.d
直接搜红星 导出 但是是 IPA文件 我们无法直接通过 apk工具解析 这里就有方法 直接将后缀改为 zip 分析 在之前分析的时候 就知道 会存在一个 info.plist文件 我们直接搜IOS查看包名、版本号、设备信息、签名、进程ID_ipa修改版本号_Crett的博客-CSDN博客
在plist edit中可以通过ctrlf查找一下信息。CFBundleIdentifier包名CFBundleExecutable 进程idCFBundleName一般和进程id是一样的然后同info.plist文件中会有一个和进程id名的文件CFBundleURLTypes 协议 一般有多个用来唤起APP暂时还没有使用到 所以我们直接搜 CFBundleIdentifier 答案就是com.dd666.hongxin
APK分析_09
受害人手机中红星IPA的APIKEY是:答案参考格式asd d395159c291c627c9d4ff9139bf8f0a700b98732
APK分析_10 受害人手机中红星IPA的权限有哪些相册 定位 摄像头 麦克风所以四个都有
APK分析_11
嫌疑人手机中红星APK的服务器地址是:答案参考格式ass.a.d:11 导出 我们直接搜索 url www .com 这类关键词
这种关键词 这里就是和提交格式一样的答案了
www.nansjy.com.cn:8161
APK分析_12
嫌疑人手机中红星APK的程序入口是:答案参考格式a.v.b.n com.example.weisitas526sad.activity.SplashActivityAPK分析_13
嫌疑人手机中分析聊天工具服务器的登录端口是:答案参考格式12
分析聊天工具 那我们继续回到盘古石 多半就是这个 6661
APK分析_14
嫌疑人手机中分析聊天工具用户归属的机构是:答案参考格式太阳
翻翻数据库 发现确实是聊天软件
所以答案是红星
APK分析_15
结合手机流量分析聊天工具的登录账号和密码是:答案参考格式1212311/12312asd
使用FIdder打开 流量包 那么既然账号密码 那我们直接搜 password看看 貌似账号存在 密码也是 并且这个密码类似md5加密 我们直接md5碰撞看看 成功
答案就是17317289056/b12345678b
服务器取证_01 查看定时任务 gzexe加密
服务器在启动时设置了运行时间同步脚本请写出脚本内第二行内容。答案参考格式/abcd/tmp www.windows.com
服务器 那么多半就是 linux的 我们直接打开计算机取证
既然是设置了自动脚本 那们直接搜 我们直接通过仿真看看
vi /etc/rc.local 发现了一个 time.sh 我们进去文件看看
vi /root/time.sh 发现 $gztmpdir 出现很多次 直接搜 发现就是加密解密脚本 那我们直接通过解密脚本解密了 所以答案就是 /usr/sbin/ntpdate time.nist.gov
服务器取证_02 查看计划任务 并且 sh.x混淆
服务器在计划任务添加了备份数据库脚本请写出该脚本的第二行内容。答案参考格式2022年第六届蓝帽杯 或者
crontab -l
就可以列出计划任务 发现是乱码 我们没有信息 只有后缀名 那我们直接搜 sh.x混淆
这里我们通过 盘古石导出 backup.sh.x 通过 wsl 直接安装 unshc.sh进行解密 答案就是#台北下着雪你说那是保丽龙
服务器取证_03
使用宝塔linux面板的密码加密方式对字符串lanmaobei进行加密写出加密结果。答案参考格式e10adc3949ba59abbe56e057f20f883e
这题确实完全没思路
wp写着
/www/server/panel/class/users.py
这里就是 密码加密方式的脚本 那这里我们就可以也来
25b9447a147ad15aafaef5d6d3bc4138
服务器取证_04
写出服务器中第一次登录宝塔面板的时间。答案参考格式2022-02-02 02:02:02
这里一般都是去查看基本信息 显示操作日志已经清空了 那我们换个方向 去看宝塔的日志呢 不看宝塔的内部操作日志
centos/分区1/www/server/panel/logs/requests中存放着 宝塔的post和get请求
如果登入就会有login字眼 2021-05-17 16:10:40
服务器取证_05
写出宝塔面板的软件商店中已安装软件的个数答案参考格式2
这里可以直接从盘古石发查看 但是不是正确答案 因为FTP也是 但是作为一个独立出来的 所以应该是6个 答案为6
服务器取证_06
写出涉案网站维斯塔斯的运行目录路径。答案参考格式/root/etc/sssh/html /www/wwwroot/v9.licai.com/public
服务器取证_07
写出最早访问涉案网站后台的IP地址。答案参考格式111.111.111.111 直接去查找一下log后缀的名字 发现了域名下的内容
fileopen(C:\\Users\\12455\Desktop\\2023-08-23-13-03-56-Exports\\v9.licai.com.log,r)
linesfile.readlines()
for line in lines:if http://www.nansjy.com.cn in line and Login in line:print(line)登入会存在后台 Login 还有网站后台地址 那么url应该就是这个站点
在前面 APK分析 存在的 url 我们就放上来 查看时间 就得到 最早的 ip 是 这个了
并且找到后台登入地址
http://www.nansjy.com.cn:8161/AdminV9YY/Login
183.160.76.194
服务器取证_08 服务器网络配置
写出涉案网站维斯塔斯的“系统版本”号。答案参考格式6.6.6666
这道题最好通过登入宝塔来实现 我们来看看如何登入
CentOS7关于网络的设置_centos7网络配置_akipa11的博客-CSDN博客
一步一步操作即可 然后我们直接moba链接 那我们就取消所有的登入限制 bt 11 bt 12 bt 13 bt 23
奇安信攻防社区-第六届“蓝帽杯”半决赛取证题目官方解析
操作完毕后 就可以通过url登入 宝塔了 终于进来了
这道题是我们要进入网站看看 那我们直接开启所有服务进入
但是这里我死都进不去 网站
所以我最后决定 放弃 直接在 服务器虚拟机中安装图形化 然后访问
最后解决了
这里改为自己的ip即可:8161/AdminV9YY/Login 接下来通过管理员登入看看
发现不行
这里就提供思路去做
管理员账号是存在 加密的要么直接修改加密文件 要么通过数据库进行首先直接访问http://192.168.222.128:8161然后注册一个账号
其中会需要一个邀请id 这里随便选一个即可 然后去member中找自己 这个是我注册的 然后将密码账号密码都复制到 admin中 然后去登入 1.0.190311
服务器取证_09
分析涉案网站的会员层级深度写出最底层会员是多少层。答案参考格式66
这个是真不会了
答案是10
服务器取证_10 查询代码中的字符串
请写出存放网站会员等级变化制度的网站代码文件的SHA256值。答案参考格式 8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 find /www/wwwroot/v9.licai.com -name *.php | xargs grep 会员等级很显然就是这个Memberrecharge.php\ certutil -hashfile Memberrecharge.php SHA256 服务器取证_11 sql语句
计算向网站中累计充值最多的五名会员获得的下线收益总和(不包含平台赠送)。答案参考格式666.66 我们去看看流水的地方在哪里 发现是在 memberrecharge这个表中
我们看看 userid和amount 就是我们查询的目标 条件是用户充值 并且已经处理
那么就是status和 type
我们写sql语句
select userid,SUM(amount)from memberrecharge WHERE type 用户充值 andstatus 1 group by userid order by sum(amount)desc limit 5 我们需要得到下线的收益我们去看看数据库 发现是在 moneylog这里存在下线分红 我们看看sql
select sum(moneylog_money) from moneylog where moneylog_typelike%下线% and moneylog_useridIN(7,2,12,11,168) 答案就是 25178.59 服务器取证_12
统计涉案网站中余额大于0且银行卡开户行归属于四川省的潜在受害人数量。答案参考格式6
我们首先确定运行哪一个数据库
最后确定 可能是在 member数据库中 那我们开始写sql语句
SELECT count(*) from member where amount0 and bankaddress like %四川省% 答案是2
服务器取证_13
统计平台从成立之初至“2021-07-01 23:59:59”共收益多少金额(不包含平台赠送)。答案参考格式6666.66
这里就需要用到很多子查询和嵌套查询了
首先我们确定 收益这么来
用户充值 (不包括平台赠送的) - 用户提现
我们一段一段来 用户充值我们怎么求
在11出现了
select SUM(amount) from memberrecharge WHERE type 用户充值 andstatus 1 and updated_at 2021-07-01 23:59:59
那么用户提现怎么求 结果超级管理员的对比 发现是在 这个表中
select sum(amount) from memberwithdrawal where status 1 and updated_at 2021-07-01 23:59:59
很简单 求出来即可 或者可以将两个查询组合了一下计算出来
select d.a-c.h from(select SUM(amount)a from memberrecharge WHERE type 用户充值 andstatus 1 and updated_at 2021-07-01 23:59:59)d,(select sum(amount)h from memberwithdrawal where status 1 and updated_at 2021-07-01 23:59:59)c 服务器取证_14 统计涉案网站哪一天登录的会员人数最多。答案参考格式1999-09-09
这里是查询时间 那么我们就需要使用函数 date_format(列格式)
我们先确定表 既然只需要尝试登入 那我们 直接通过 时间来获取 count(userid)即可
select count(DISTINCT(userid)),date_format(updated_at,%Y-%m-%d)from memberlogs group by date_format(updated_at,%Y-%m-%d) order by count(DISTINCT(userid)) desc 答案就是2021-07-14
服务器取证_15 mysql备份恢复
写出涉案网站中给客服发送“你好怎么充值”的用户的fusername值。答案参考格式lanmaobei666 发现存在 该网站的sql备份 第一个 直接去找 mysqldump.sql
打开直接搜索 第二种方式 直接通过mysql恢复命令
cd /root/db-bak/v9_licai_comunzip db-v9_licai_com-20210714030001.sql.zip
linux下mysql忘记密码解决方案
通过修改mysql密码
mysql -uroot -p123456 - 这样就得到了答案
hm688 总结
2022蓝帽杯半决赛 取证题目Writeup - DIDCTF-Blog
第六届“蓝帽杯”半决赛取证题目官方解析 |
2022第六届蓝帽杯半决赛服务器取证部分wp_2022蓝帽杯取证材料_dazaogege的博客-CSDN博客
几乎都是跟着师傅的wp来做的 就算是边看边复现 还是遇到了很多困难仿真后的宝塔 和 网站的打开 都遇到了很多困难 但是最后是好的 都是解决了这些题目中 做完 会发现其实没有很难 但是在看到题目后 就不知道该怎么做了
收获还是很大的 学了 对APK 服务器更深入的了解了
