misc

domainhacker

图片.png流量分析一遍,发现是使用了 Mimikatz 获取机器 hash,并且把结果压缩到了 1.rar 里面,压缩密码如下**
图片.png压缩包密码 SecretsPassw0rds
图片.png将 rar 压缩包导出出来
**图片.png得到 hash:416f89c3a5deb1d398a1a1fce93862a7

电子取证

手机取证

手机取证_1

通过盘古石手机取证分析系统查看,模糊搜索文件 627604C2-C586-48C1-AA16-FF33C3022159.PNG 图片,找到文件后导出文件,查看属性得到分辨率为:360X360
image.png
image.png
360x360

手机取证_2

模糊搜索字符串“姜总”,找到聊天记录,得到单号。
image.png
SF1142358694796

计算机取证

计算机取证_1:

先使用指令:.\vol.exe -f 1.dmp --profile=Win7SP1x64 hivelist,看 system 的地址,和 SAM 的地址。
得到地址:0xfffff8a000024010,0xfffff8a00191c010
image.png
然后使用指令:\vol.exe -f 1.dmp --profile=Win7SP1x64 hashdump -y 0xfffff8a000024010 -s 0xfffff8a00191c010,得到用户 HASH 值
image.png
通过网站 MD5 解密,得出 flag:anxinqi
image.png
anxinqi

计算机取证_2:

通过指令列出所有进程 .\vol.exe -f 1.dmp --profile=Win7SP1x64 pslist
分析得 flag 是 MagnetRAMCaptu 进程号
image.png
2192

程序分析

程序分析_1:

使用 jadx 查看 AndroidManifest.xml,AndroidManifest.xml 是整个 Android 项目的配置文件,程序中定义的所有四大组件都需要在这个文件里注册。所以在这里你可以找到注册的包名。 **
**image.png
exec.azj.kny.d.c

程序分析_2:

使用 AndroidKiller 直接查看,将 apk 拖进 AndroidKiller 分析,可以直接得到入口名。 **
**image.png
minmtta.hemjcbm.ahibyws.MainActivity

程序分析_3:

使用 Jadx 分析 apk,首先看 MainActivity 主函数,发现有一个 Base64 加密后的密文,解密后等到明文:https://ansjk.ecxeio.xyz
image.png
明文是一个网址,猜测就是用来交互的服务器网站,密文就是 Base64 加密后的密文。 **
**image.png
aHR0cHM6Ly9hbnNqay5lY3hlaW8ueHl6

程序分析_4:

安全检测类通常里面含有一些检测的方法,检测用户合法性,MD5 值正确与否,root 检测之类的。 **
通常采用搜索特定字符串形式寻找,在模拟机打开程序,发现弹窗,弹出消息:您手机处于 root 环境,请注意资金安全,这是在经行 root 安全检测,搜索字符串。
**image.png

image.png
找到字符串,所在方法是所在类 h,分析代码结合 MainActivity 主类中的方法,发现 h 类其实是 mainActivity,程序将它单独拿出来了,通过继承的方式进行调用,h 类实际是一个 开发业务逻辑。
image.png
image.png
通过分析得到 h 类接入了 a 类的接口,所以最后安全检测的类是 a 类
a

网站取证

网站取证_1:

直接放到 D 盾里面扫,第一个就是
图片.png图片.pnglanmaobei666

网站取证_2:

图片.png打开数据库的配置文件发现密码是一个函数的返回值**
图片.png那就直接运行一下就行了,这里有个坑,就是要用低于 php7.1 的版本跑
**图片.png密码:KBLT123

取网络证_3:

图片.png
审计源码发现,金额加密的函数为
$param['money']=$this->encrypt($param['money']);
直接跟进发现,这个加密函数有个默认参数,用于参加加密过程,跟进 salt 盐值的定义,发现这个值就是 salt 值
图片.pngjyzg123456

取网络证_4:

题目描述是
请计算张宝在北京时间 2022-04-02 00:00:00-2022-04-18 23:59:59 累计转账给王子豪多少 RMB?(换算比例请从数据库中获取,答案参考格式:123.45)
也就是说要对数据库进行分析,查看语法发现这是一个 postgresql,那我就将数据库备份文件 bak.sql 导入到我的数据库中,然后连接
图片.png可以发现有这些表,简单分析一下

info_bargain:每日的 RMB 汇率
tab_channel_order_list:所有的订单
tab_user:用户表

题目要求的是张宝在北京时间 2022-04-02 00:00:00-2022-04-18 23:59:59 累计转账给王子豪多少 RMB
张宝的用户 ID 为 3,王子豪的用户 ID 为 5
图片.png然后日期是 2 号到 18 号,筛选一下导出成 xlsx 格式进行进一步分析**
**图片.png图片.png
接着对货币依次解密,因为有现成的解密函数,那就直接写个 php 脚本如下

<?php
ob_start();
$file = fopen("money.txt","r");
$new_file = fopen("qian.txt","a");
while(!feof($file))
{
    $encoded = fgets($file);
    $decoded = decrypt($encoded);
    fwrite($new_file,$decoded."\n");
    
}
fclose($file);
fclose($new_file);


function decrypt($data, $key = 'jyzg123456')
{
    $key = md5($key);
    $x = 0;
    $data = base64_decode($data);
    $len = mb_strlen($data);
    $l = mb_strlen($key);
    $char = '';
    $str = '';
    for ($i = 0; $i < $len; $i++) {
        if ($x == $l) {
            $x = 0;
        }
        $char .= mb_substr($key, $x, 1);
        $x++;
    }
    for ($i = 0; $i < $len; $i++) {
        if (ord(mb_substr($data, $i, 1)) < ord(mb_substr($char, $i, 1))) {
            $str .= chr((ord(mb_substr($data, $i, 1)) + 256) - ord(mb_substr($char, $i, 1)));
        } else {
            $str .= chr(ord(mb_substr($data, $i, 1)) - ord(mb_substr($char, $i, 1)));
        }
    }
    return $str;
}

图片.png
图片.png
得到所以解密后的金额,直接复制粘贴到表格里面,然后根据每日的 RMB 汇率计算出最后的总和
图片.png图片.png得到转账总金额 15758353.76

最后修改:2022 年 07 月 25 日
© 允许规范转载
如果觉得我的文章对你有用,请随意赞赏
本文作者:
 文章标题:蓝帽杯2022
 本文地址:https://pysnow.cn/archives/201/
 版权说明:若无注明,本文皆Pysnow's Blog原创,转载请保留文章出处。