2023 蓝帽杯初赛 MISC WP

MISC

PS C:\Users\HK\Desktop\取证\volatility\VolatilityWorkbench2.6> C:\Users\HK\Desktop\取证\volatility\VolatilityWorkbench2.6\volatility.exe -f C:\Users\HK\Desktop\mem.raw --profile=Win7SP1x64 filescan > ./out.txt

但是readme.txt不能明文出压缩包，editbox查看历史

U2FsdGVkX19dHyROKCNrT5BAJk9asDpaZ8L45vr9s9D2Yi9/OX5Xl6lEmhd0VoietsmeiLHJjPPG0uSsdxGgr2jzQ00FEMf/VglaSrhwumM=

但是解出的密钥无法写出压缩包，尝试重置密码

解压修改table后缀为文件

对应 key 的鼠标轨迹解出 a91e37bf
在线网站解密出答案
part2: 3a-f140-2626195942a0} the other part is in the password
前半部分在password里，尝试

flag{194a019a-1767-913a-f140-2626195942a0}

取证

手机取证

【APK取证】涉案apk的包名是？[答题格式:com.baid.ccs]
com.vestas.app

【APK取证】涉案apk的签名序列号是？[答题格式:0x93829bd]
0x563b45ca

【APK取证】涉案apk的服务器域名是？[答题格式:http://sles.vips.com]
https://vip.licai.com

【APK取证】涉案apk的主入口是？[答题格式:com.bai.cc.initactivity]
io.dcloud.PandoraEntry

手机取证

【手机取证】该镜像是用的什么模拟器？[答题格式:天天模拟器]
雷电模拟器

雷电模拟器还原镜像

【手机取证】该镜像中用的聊天软件名称是什么？[答题格式:微信]
与你

【手机取证】聊天软件的包名是？[答题格式:com.baidu.ces]
com.uneed.yuni

【手机取证】投资理财产品中，受害人最后投资的产品最低要求投资多少钱？[答题格式:1万]
5万

【手机取证】受害人是经过谁介绍认识王哥？[答题格式:董慧]
华哥

计算机取证

【计算机取证】请给出嫌疑人杨某登录理财网站前台所用账号密码？[答案格式：root/admin]
yang88/3w.qax.com

【计算机取证】请给出嫌疑人Vera Crypt加密容器的解密密码？[答案格式：admin!@#]
3w.qax.com!!@@

veracrypt解密后挂载打开xlsx
【计算机取证】分析嫌疑人电脑内提现记录表，用户“mi51888”提现总额为多少？[答案格式：10000]
1019

【计算机取证】请给出计算机镜像pc.e01的SHA-1值？[答案格式：字母小写]
23f861b2e9c5ce9135afc520cbd849677522f54c

内存取证

【内存取证】请给出计算机内存创建北京时间？[答案格式：2000-01-11 00:00:00]
2023-06-21 01:02:27

【内存取证】请给出计算机内用户yang88的开机密码？[答案格式：abc.123]
3w.qax.com

【内存取证】请给出“VeraCrypt”最后一次执行的北京时间？[答案格式：2000-01-11 00:00:00]
2023-06-21 00:47:41

服务器取证

【服务器取证】分析涉案服务器，请给出涉案网站RDS数据库地址？[答题格式: xx-xx.xx.xx.xx.xx]
pc-uf6mmj68r91f78hkj.rwlb.rds.aliyuncs.com

【服务器取证】请给出涉网网站数据库版本号? [答题格式: 5.6.00]
5.7.40

导出WWW挂载拟真服务器，前台

【服务器取证】投资项目“贵州六盘水市风力发电基建工程”的日化收益为？[答题格式:1.00%]
4.00%