当前位置: 首页 > news >正文

2023蓝帽杯初赛

最近打完蓝帽杯 现在进行复盘

re

签到题

直接查看源代码

输出的内容就是 变量s + 变量 number 而这都是已经设定好了的

 所以flag就出来了

WhatisYourStory34982733

取证

案件介绍

取证案情介绍: 2021年5月,公安机关侦破了一起投资理财诈骗类案件,受害人陈昊民向公安机关报案称其在微信上认识一名昵称为yang88的网友,在其诱导下通过一款名为维斯塔斯的APP,进行投资理财,被诈骗6万余万元。接警后,经过公安机关的分析,锁定了涉案APP后台服务器。后经过公安机关侦查和研判发现杨某有重大犯罪嫌疑,经过多次摸排后,公安机关在杨某住所将其抓获,并扣押了杨某手机1部、电脑1台,据杨某交代,其网站服务器为租用的云服务器。上述检材已分别制作了镜像和调证,假设本案电子数据由你负责勘验,请结合案情,完成取证题目

取证检材容器密码:Hpp^V@FQ6bdWYKMjX=gUPG#hHxw!j@M9

取证案情介绍: 2021年5月,公安机关侦破了一起投资理财诈骗类案件,受害人陈昊民向公安机关报案称其在微信上认识一名昵称为yang88的网友,在其诱导下通过一款名为维斯塔斯的APP,进行投资理财,被诈骗6万余万元。接警后,经过公安机关的分析,锁定了涉案APP后台服务器。后经过公安机关侦查和研判发现杨某有重大犯罪嫌疑,经过多次摸排后,公安机关在杨某住所将其抓获,并扣押了杨某手机1部、电脑1台,据杨某交代,其网站服务器为租用的云服务器。上述检材已分别制作了镜像和调证,假设本案电子数据由你负责勘验,请结合案情,完成取证题目

【APK取证】涉案apk的包名是?[答题格式:com.baid.ccs]

jadx查看即可

com.vestas.app

【APK取证】涉案apk的签名序列号是?[答题格式:0x93829bd]

这道题我使用 GDA查看

0x563B45CA

 【APK取证】涉案apk中DCLOUD_AD_ID的值是?[答题格式:2354642]

直接去 jadx搜索 DCLOUD_AD_ID

2147483647

 【APK取证】涉案apk的服务器域名是?[答题格式:http://sles.vips.com]

这题我们做错了 因为http 没有加上s

我们apk查看一下 发现发现直接显示了

 或者直接进去 雷电查看自动分析结果

【APK取证】涉案apk的主入口是?[答题格式:com.bai.cc.initactivity]

沙箱什么都可以看

GDA

在线检测

 io.dcloud.PandoraEntry 

【手机取证】该镜像是用的什么模拟器?[答题格式:天天模拟器]

 发现有日志 进去看看

发现雷电模拟器字样 暂时不能确定

我们打开取证工具看看

直接将一个文件拿进去取证

雷电模拟器

 【手机取证】该镜像中用的聊天软件名称是什么?[答题格式:微信]

与你

【手机取证】聊天软件的包名是?[答题格式:com.baidu.ces]

com.uneed.yuni

【手机取证】投资理财产品中,受害人最后投资的产品最低要求投资多少钱?[答题格式:1万]

5万

 【手机取证】受害人是经过谁介绍认识王哥?[答题格式:董慧]

华哥

【计算机取证】请给出计算机镜像pc.e01的SHA-1值?[答案格式:字母小写]

23F861B2E9C5CE9135AFC520CBD849677522F54C

【计算机取证】给出pc.e01在提取时候的检查员?[答案格式:admin]

这个要使用其他的取证工具查看  火眼无法查看 我们多试试 看看就行了

pgs

有疑问【计算机取证】请给出嫌疑人计算机内IE浏览器首页地址?[答案格式:http://www.baidu.com]

通过仿真看看

通过打开注册表 regedit

进入

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

查看里面 的 start page的值

或者直接打开浏览器查看

http://global.bing.com

但是好像是错误的

【计算机取证】请给出嫌疑人杨某登录理财网站前台所用账号密码?[答案格式:root/admin]

直接去取证查看


 

yang88/3w.qax.com

【计算机取证】请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号?[答案格式:xxxx(xx)]

仿真查看

2023春季更新(14309)

【计算机取证】请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1?[答案格式:字母小写]

首先要找到这个文件 我们去翻一翻文件

打开D盘 看看

很大的文件 不知道是什么 我们拖出去放取证看看

找到了c盘清理

24CFCFDF1FA894244F904067838E7E01E28FF450

【计算机取证】请给出嫌疑人Vera Crypt加密容器的解密密码?[答案格式:admin!@#]

3w.qax.com!!@@

【计算机取证】请给出嫌疑人电脑内iSCSI服务器对外端口号?[答案格式:8080]

比赛没有做出来 后面发现存在一个StarWind


答案是

3261

【计算机取证】请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码?[答案格式:root/admin]

将整个starwind导出

user/panguite.com

【计算机取证】分析嫌疑人电脑内提现记录表,用户“mi51888”提现总额为多少?[答案格式:10000]

这个 2GB txt 就很像vc

我们上题 有vc的密码

出现了

查看体现文件

1019

【内存取证】请给出计算机内存创建北京时间?[答案格式:2000-01-11 00:00:00]

2023-06-21 01:02:27

【内存取证】请给出计算机内用户yang88的开机密码?[答案格式:abc.123]

直接上插件

        

py -2 vol.py -f F:\计算机\memdump.mem --profile=Win7SP1x64  mimikatz

 3w.qax.com

【内存取证】提取内存镜像中的USB设备信息,给出该USB设备的最后连接北京时间?[答案格式:2000-01-11 00:00:00]

2023-06-21 01:01:25

 【内存取证】请给出用户yang88的LMHASH值?[答案格式:字母小写]

直接hashdump

aad3b435b51404eeaad3b435b51404ee

 【内存取证】请给出用户yang88访问过文件“提现记录.xlsx”的北京时间?[答案格式:2000-01-11 00:00:00]

【内存取证】请给出“VeraCrypt”最后一次执行的北京时间?[答案格式:2000-01-11 00:00:00]

2023-06-21 00:47:41

【内存取证】分析内存镜像,请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次?[答案格式:10]

【内存取证】请给出用户最后一次访问chrome浏览器的进程PID?[答案格式:1234]

2456

【服务器取证】分析涉案服务器,请给出涉案服务器的内核版本?[答案格式:xx.xxx-xxx.xx.xx]

火眼直接看

【服务器取证】分析涉案服务器,请给出MySQL数据库的root账号密码?[答案格式:Admin123]

直接仿真

打开宝塔

这里存在两个密码 一个是root 一个远程服务器 那我们怎么知道我们找的是什么呢

我们看看日志

发现root的密码是被修改过的 并且

 .env很像环境文件我们去看看这个文件

发现账号密码

我们去上面那个远程服务器看看

发现也是 所以确定了答案

ff1d923939ca2dcf

【服务器取证】分析涉案服务器,请给出涉案网站RDS数据库地址?[答题格式: xx-xx.xx.xx.xx.xx]

数据库的地址 就是阿里云服务器地址 在上面就已经给出来了

【服务器取证】请给出涉网网站数据库版本号? [答题格式: 5.6.00]

这里存在阿里云的备份 .xb后缀的恢复

阿里云Mysql5.7 数据库恢复 qp.xb文件恢复数据_菜鸟入行的博客-CSDN博客

安装文件

wget "http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/assets/attach/183466/cn_zh/1608011575185/qpress-11-linux-x64.tar"
tar xvf qpress-11-linux-x64.tar
chmod 775 qpress
cp qpress /usr/bin
wget https://www.percona.com/downloads/XtraBackup/Percona-XtraBackup-2.4.9/binary/redhat/7/x86_64/percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpmyum install -y percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm

 接下来就是数据恢复了

#将hins261244292_data_20230807143325_qp.xb文件放置/opt目录下
cd /opt
#创建/home/mysql/data/文件夹
mkdir -p /home/mysql/data
#使用xbstream处理qp.xb文件
cat hins261244292_data_20230807143325_qp.xb | xbstream -x -v -C /home/mysql/data
#进入/home/mysql/data进行解压 显示 completed OK! 即正常
cd /home/mysql/data/
innobackupex --decompress --remove-original /home/mysql/data
innobackupex --defaults-file=/home/mysql/data/backup-my.cnf --apply-log /home/mysql/data
chown -R mysql:mysql /home/mysql/data

然后修改mysql配置文件

vim /home/mysql/data/backup-my.cnf
#添加如下参数
lower_case_table_names=1
#注释如下不支持的参数:
#innodb_checksum_algorithm=crc32
#innodb_log_checksum_algorithm=strict_crc32
#innodb_data_file_path=ibdata1:200M:autoextend
#innodb_log_files_in_group=2
#innodb_log_file_size=1572864000
#innodb_fast_checksum=false
#innodb_page_size=16384
#innodb_log_block_size=512
#innodb_undo_directory=./
#innodb_undo_tablespaces=0
#server_id=1291154917
#redo_log_version=1
#server_uuid=dbd99726-2585-11eb-9ae1-78aa82d27dc0
#master_key_id=0
#innodb_encrypt_algorithm=AES_256_CBC

然后https://www.cnblogs.com/black-fact/p/11613361.html

绕过密码直接进入数据库

这里还记得要在宝塔里设置一下

修改到我们恢复的文件夹

然后再phpadmin就可以发现存在了数据库

5.7.40

【服务器取证】请给出嫌疑人累计推广人数?[答案格式:100]

重构网站

首先我们在之前 存在 viplicai 数据库 我们导出

然后重新启动一个数据库

导入数据库

然后记得修改一下网站的配置文件

然后访问

ip:8083/login.html

这里因为我们要进入后台 所以我们访问另一个网站

ip:8083/AdminV9YY/Login

这里管理员账号我们可以去数据库看

但是无法登入 存在加密 这里很简单

就是先回刚刚开始的网站 注册一个普通账户

我们去数据库看看

随便找一个

然后我们去 数据库 member找我们刚刚注册的名字

把这两个值复制到admin中

然后通过刚刚注册的账号密码登入后台

这里要找嫌疑人的推广人数

这里70 是因为我注册也是使用 这个邀请码 所以要注意一下

69

【服务器取证】请给出涉案网站后台启用的超级管理员?[答题格式:abc]

admin

【服务器取证】投资项目“贵州六盘水市风力发电基建工程”的日化收益为?[答题格式:1.00%]

这里使用了 2022蓝帽杯半决赛的网站

4.00%

【服务器取证】最早访问涉案网站后台的IP地址为[答题格式:8.8.8.8]

 	183.160.76.194

【服务器取证】分析涉案网站数据库或者后台VIP2的会员有多少个[答案格式:100]

20

【服务器取证】分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受害人的数量为[答题格式:8]

这里就是回到数据库进行sql语句的查询

select count(username) from member where amount>0 and `bankaddress` like "%上海%" order by count(username); 

【服务器取证】分析涉案网站数据库或者后台,统计嫌疑人的下线成功提现多少钱?[答题格式:10000.00]

128457.00

【服务器取证】分析涉案网站数据库或者后台受害人上线在平台内共有下线多少人?[答题格式:123]

SELECT count(username) FROM `member` where inviter="513935"; 

这里是18 是因为 我也是通过这个邀请码注册的账号

17

【服务器取证】分析涉案网站数据库或者后台网站内下线大于2的代理有多少个?[答题格式:10]

select count(a.b) from (SELECT count(*)b,inviter FROM `member`GROUP by inviter HAVING count(*)>2)a; 

【服务器取证】分析涉案网站数据库或者后台网站内下线最多的代理真实名字为[答题格式:张三]

select count(username),inviter from member group by inviter ORDER BY `count(username)` DESC 
SELECT * FROM `member` WHERE invicode="617624" ORDER BY `member`.`invicode` ASC; 

骆潇原

【服务器取证】分析涉案网站数据库或者后台流水明细,本网站总共盈利多少钱[答题格式:10,000.00]

select c.d-a.h from (SELECT sum(moneylog_money)d FROM `moneylog` where moneylog_status='+')c,(SELECT sum(moneylog_money)h FROM `moneylog` where moneylog_status='-')a; 
15078854.38

相关文章:

2023蓝帽杯初赛

最近打完蓝帽杯 现在进行复盘 re 签到题 直接查看源代码 输出的内容就是 变量s 变量 number 而这都是已经设定好了的 所以flag就出来了 WhatisYourStory34982733 取证 案件介绍 取证案情介绍: 2021年5月,公安机关侦破了一起投资理财诈骗类案件&a…...

风险评估

风险评估概念 风险评估是一种系统性的方法,用于识别、评估和量化潜在的风险和威胁,以便组织或个人能够采取适当的措施来管理和减轻这些风险。 风险评估的目的 风险评估要素关系 技术评估和管理评估 风险评估分析原理 风险评估服务 风险评估实施流程...

直播软件app开发中的AI应用及前景展望

在当今数字化时代,直播市场蓬勃发展,而直播软件App成为人们获取实时信息和娱乐的重要渠道。随着人工智能(AI)技术的迅猛发展,直播软件App开发正逐渐融入AI的应用,为用户带来更智能、更个性化的直播体验。 …...

vscode html使用less和快速获取标签less结构

扩展插件里面搜索 css tree 插件 下载 使用方法 选择你要生成的标签结构然后按CTRLshiftp 第一次需要在输入框输入 get 然后选择 Generate CSS tree less结构就出现在这个里面直接复制到自己的less文件里面就可以使用了 在html里面使用less 下载 Easy LESS 插件 自己创建…...

excel中的引用与查找函数篇1

1、COLUMN(reference):返回与列号对应的数字 2、ROW(reference):返回与行号对应的数字 参数reference表示引用/参考单元格,输入后引用单元格后colimn()和row()会返回这个单元格对应的列号和行号。若参数reference没有引用单元格,…...

【python】—— 函数详解

前言: 本期,我们将要讲解的是有关python中函数的相关知识!!! 目录 (一)函数是什么 (二)语法格式 (三)函数参数 (四)函…...

springboot web开发登录拦截器

在SpringBoot中我们可以使用HandlerInterceptorAdapter这个适配器来实现自己的拦截器。这样就可以拦截所有的请求并做相应的处理。 应用场景 日志记录,可以记录请求信息的日志,以便进行信息监控、信息统计等。权限检查:如登陆检测&#xff…...

大数据课程K17——Spark的协同过滤法

文章作者邮箱:yugongshiye@sina.cn 地址:广东惠州 ▲ 本章节目的 ⚪ 了解Spark的协同过滤概念; 一、协同过滤概念 1. 概念 协同过滤是一种借助众包智慧的途径。它利用大量已有的用户偏好来估计用户对其未接触过的物品的喜好程度。其内在思想是相似度的定义…...

【力扣】1588. 所有奇数长度子数组的和 <前缀和>

【力扣】1588. 所有奇数长度子数组的和 给你一个正整数数组 arr ,请你计算所有可能的奇数长度子数组的和。子数组 定义为原数组中的一个连续子序列。请你返回 arr 中 所有奇数长度子数组的和 。 示例 1: 输入:arr [1,4,2,5,3] 输出&#x…...

socket,tcp,http三者之间的原理和区别

目录 1、TCP/IP连接 2、HTTP连接 3、SOCKET原理 4、SOCKET连接与TCP/IP连接 5、Socket连接与HTTP连接 socket,tcp,http三者之间的区别和原理 http、TCP/IP协议与socket之间的区别 下面的图表试图显示不同的TCP/IP和其他的协议在最初OSI模型中的位置…...

【FPGA零基础学习之旅#11】数码管动态扫描

🎉欢迎来到FPGA专栏~数码管动态扫描 ☆* o(≧▽≦)o *☆嗨~我是小夏与酒🍹 ✨博客主页:小夏与酒的博客 🎈该系列文章专栏:FPGA学习之旅 文章作者技术和水平有限,如果文中出现错误,希望大家能指正…...

JavaExcel:自动生成数据表并插入数据

故事背景 出于好奇,当下扫描excel读取数据进数据库 or 导出数据库数据组成excel的功能层出不穷,代码也是前篇一律,poi或者easy excel两种SDK的二次利用带来了各种封装方法。 那么为何不能直接扫描excel后根据列的属性名与行数据的属性建立S…...

哪吒汽车“三头六臂”之「浩智电驱」

撰文 / 翟悦 编审 / 吴晰 8月21日,在哪吒汽车科技日上,哪吒汽车发布“浩智战略2025”以及浩智技术品牌2.0。根据公开信息,主编梳理了以下几点:◎浩智滑板底盘支持400V/800V双平台◎浩智电驱包括180kW 400V电驱系统和250kW 800…...

补码的反码加1为什么是原码?

搞了半个小时,终于弄懂了。 168421原码10011反码01100补码01101 学到这里了,我们肯定知道,原码补码 0,在这里也就是 19 13 32,溢出来的一位正好舍去了; 所以说,对啊,只要保证…...

光刻机是怎么做出来的

文章目录 一、光刻机的基本原理二、光刻机的制造过程三、光刻机的制造要求四、光刻机的发展趋势 光刻机是半导体工艺制造中非常重要的设备之一,它是用来制作微细结构的关键工具之一。相信大家都知道,半导体工艺中最小的制造单位是晶体管,而制…...

CocosCreator3.8研究笔记(二)windows环境 VS Code 编辑器的配置

一、设置文件显示和搜索过滤步骤 为了提高搜索效率以及文件列表中隐藏不需要显示的文件, VS Code 需要设置排除目录用于过滤。 比如 cocoscreator 中,编辑器运行时会自动生成一些目录:build、temp、library, 所以应该在搜索中排除…...

Rust--流程控制

循环/判断 ref: 流程控制 - Rust语言圣经(Rust Course) 判断 if condition true {// A... } else {// B... }if 语句块是表达式,所以可以为变量赋值,当然要注意的是保证返回的类型相同: fn main() {let condition true;let number if c…...

mate60的麒麟9000s和麒麟9000是一款CPU吗

答案:不是 论证: 1.在核心方便9000是1个高频A77,3个低频A77,4个A55组成的。9000S是2个高频A34核心,6个定制A78AE核心和4个A510核心并搭载超线程技术(详见新华网新华网地址) 2.GPU截然不同&am…...

查漏补缺 - JS三 WebAPI

目录 BOMhistory DOM操作DOM1,dom.children 和 dom.childNodes 区别2,dom.remove()3,其他常用 API DOM 属性1,标准属性2,自定义属性 DOM 内容DOM样式DOM事件 JavaScript 包括 EcmaScript 和 WebAPI EcmaScript 包括 语…...

如何熟练使用vector?

🎈个人主页:🎈 :✨✨✨初阶牛✨✨✨ 🐻推荐专栏1: 🍔🍟🌯C语言初阶 🐻推荐专栏2: 🍔🍟🌯C语言进阶 🔑个人信条: 🌵知行合一 &#x1f…...

gitlab-rake gitlab:backup:create 执行报错 Errno::ENOSPC: No space left on device

gitlab仓库备份执行 gitlab-rake gitlab:backup:create报错如下: 问题分析:存储备份的空间满 解决方法: 方法1:清理存放路径,删除不需要文件,释放空间。 方法2:创建一个根目录的挂载点&#x…...

【Nginx】负载均衡当其中一台服务器宕机之后

搭建一个简单的负载均衡,然后关闭其中一台再来访问,会发现我们的浏览器卡住一直转圈圈,过了很久才会显示结果。由此我们可以得出结论Nginx负载的时候如果其中一台服务挂掉了,它会把请求转发到另一个可以提供服务的机器&#xff0c…...

每日一题 2511. 最多可以摧毁的敌人城堡数目

难度:简单 翻译:寻找距离最远的 1 和 -1 的组合,要求它们之间只有0 class Solution:def captureForts(self, forts: List[int]) -> int:res, t 0, -1for i, fort in enumerate(forts):if fort -1 or fort 1:if t > 0 and fort ! f…...

NLP(六十七)BERT模型训练后动态量化(PTDQ)

本文将会介绍BERT模型训练后动态量化(Post Training Dynamic Quantization,PTDQ)。 量化 在深度学习中,量化(Quantization)指的是使用更少的bit来存储原本以浮点数存储的tensor,以及使用更少的…...

机器学习和数据挖掘04-PowerTransformer与 MinMaxScaler

概念 PowerTransformer(幂变换器) PowerTransformer 是用于对数据进行幂变换(也称为Box-Cox变换)的预处理工具。幂变换可以使数据更接近正态分布,这有助于某些机器学习算法的性能提升。它支持两种常用的幂变换&#x…...

1.15 自实现GetProcAddress

在正常情况下,要想使用GetProcAddress函数,需要首先调用LoadLibraryA函数获取到kernel32.dll动态链接库的内存地址,接着在调用GetProcAddress函数时传入模块基址以及模块中函数名即可动态获取到特定函数的内存地址,但在有时这个函…...

总结ADX指标交易的好处

股神巴菲特从一个穷小子变成世界富豪,而闻名世界。anzo capital昂首资本以为这辈子再也不会和巴菲特产生任何交集,直到我看了巴菲特的发家史,才发现原来我们都使用过ADX指标盈利过,下面anzo capital昂首资本就总结一下使用ADX指…...

ConsoleApplication815项目(直接加载+VEH Hook Load)

上线图 ConsoleApplication815.cpp #include <iostream> #include<Windows.h> #include "detours.h" #include "detver.h" #pragma comment(lib,"detours.lib")#pragma warning(disable:4996)LPVOID Beacon_address; SIZE_T Beacon…...

事务(SQL)

事务概述 事务是一组操作的集合&#xff0c;他是一个不可分割的工作单位&#xff0c;事务会把所有的操作作为一个整体一起向西永提交或撤销操作请求。这组操作&#xff0c;要么全部执行成功&#xff0c;要么全部执行失败。 事务操作 查看/设置事务提交方式 -- 查看/设置事务…...

原型,原型链,继承(圣杯模式)

经典模式和圣杯模式区别 经典模式和圣杯模式都是用于解决构造函数继承和原型继承的问题&#xff0c;但它们在实现继承的方式上有所不同。 经典模式是通过将子类的原型对象设置为父类的实例来实现继承&#xff0c;然后将子类的构造函数设置为子类本身。这样子类既可以继承父类…...