标签：网络安全 取证 函数 找到 flag 密码 蓝帽杯 rar 复现

misc

domainhacker

HTTP对象列表有一个1.rar导出，要密码

在第13个tcp流找到rar加密指令的base64编码

 

 

 解码得到密码SecretsPassw0rds

 

 

 打开压缩包，得到flag{416f89c3a5deb1d398a1a1fce93862a7}

 

 

 domainhacker2

这题rar直接给我们了，找密码步骤同上

 

 

 

 

 

 打开压缩包，发现里面有 system 文件、ntds.dit 活动目录文件，要导出ntds.dit中的散列值，使用kali的impacket-secretdump指令

 

 

 得到flag{07ab403ab740c1540c378b0f5aaa4087}

电子取证

手机取证_1

直接搜索图片名

 

 

 

 

360x360

手机取证_2

直接搜索姜总，找到单号

 

 

SF1142358694796

计算机取证_1

获取内存镜像的基本信息

 

利用mimikatz直接解出密码

 

anxinqi

计算机取证_2

 

 

 MagnetRAMCaptuer为制作内存镜像的小工具

2192

 计算机取证_3

用ArsenalImageMounter挂载G.E01文件，发现需要密码

 

 

 用Forensic Disk Decryptor解恢复密钥

 

 

 

 磁盘里有一个pass.txt，一个ppt，一个docx，用Accent OFFICE Password Recovery进行字典爆破

打开docx和ppt

 

 

 计算机取证_4

提取出TrueCrypt.exe

 

 用foremost分离，里面有一个加密的zip

 

 直接爆破，得到密码

 

 打开zip，得到flag

 

 程序分析_1

把apk放进jadx，找到MainActivity

 

 

exec.azj.kny.d.c

 程序分析_2

 

 

minmtta.hemjcbm.ahibyws.MainActivity

 程序分析_3

 

 

aHR0cHM6Ly9hbnNqay5lY3hlaW8ueHl6

 程序分析_4

找到安全检查相关的函数a()和b()

 

 找到函数的类名

 

 

a

网站取证_1

用D盾扫一下木马文件

 

 

lanmaobei666

网站取证_2

找到了database.php

 

 再去找这个函数

 

 找7.1.0版本以下的php跑一下，因为mcrypt_module_close函数在PHP 7.1.0后被废弃

KBLT123

网站取证_3

搜索MD5

jyzg123456

 

标签：网络安全,取证,函数,找到,flag,密码,蓝帽杯,rar,复现
来源： https://www.cnblogs.com/carefree669/p/16467772.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。