admin管理员组文章数量:1530842
NSSCTF-Misc篇-[蓝帽杯 2022 初赛]
- domainhacker:
- [蓝帽杯 2022 初赛]domainhacker1
- [蓝帽杯 2022 初赛]domainhacker2
- 计算机取证:
- [蓝帽杯 2022 初赛]计算机取证_1
- [蓝帽杯 2022 初赛]计算机取证_2
- [蓝帽杯 2022 初赛]计算机取证_3
- [蓝帽杯 2022 初赛]计算机取证_4
- 手机取证:
- [蓝帽杯 2022 初赛]手机取证_1
- [蓝帽杯 2022 初赛]手机取证_2
- 网站取证:
- [蓝帽杯 2022 初赛]网站取证_1
- [蓝帽杯 2022 初赛]网站取证_2
- [蓝帽杯 2022 初赛]网站取证_3
- [蓝帽杯 2022 初赛]网站取证_4
- 程序分析:
- [蓝帽杯 2022 初赛]程序分析_1
- [蓝帽杯 2022 初赛]程序分析_2
- [蓝帽杯 2022 初赛]程序分析_3
- [蓝帽杯 2022 初赛]程序分析_4
NSSCTF平台:https://www.nssctf/
PS:记得所有的flag
都改为NSSCTF
domainhacker:
[蓝帽杯 2022 初赛]domainhacker1
公司安全部门,在流量设备中发现了疑似黑客入侵的痕迹,用户似乎获取了机器的hash,你能通过分析流量,找到机器的hash吗?
找到rar
那一条查看数据流 全部还原原始数据另存为即可 ,得到密码:SecretsPassw0rds
解压 提交NTLM
值即可。
PS:YN
去掉解码的时候不然解不出来
NSSCTF{416f89c3a5deb1d398a1a1fce93862a7}
[蓝帽杯 2022 初赛]domainhacker2
公司安全部门今日发现,有一台域控主机疑似被攻陷,并且很有可能黑客已经掌握了所有域用户的hash,你能分析流量,给出域管理员administrator的上一次的密码hash吗?
这一题和上一题思路一样 老样子 先把数据包导出 然后解密得到密码:FakePassword123$
PS:
老样子去掉su
比赛时候没网记得用bp
解码
这里得到三个文件 需要使用脚本 直接上链接:https://github/SecureAuthCorp/impacket
cd impacket/ #进入路径
python setup.py install #安装
python3 secretsdump.py -system /root/桌面/SECURITY -ntds /root/桌面/ntds.dit -security /root/桌面/SECURITY LOCAL -history
这里装个半天都没装好 哎 心累 (方法会了就行!!)
NSSCTF{07ab403ab740c1540c378b0f5aaa4087}
计算机取证:
[蓝帽杯 2022 初赛]计算机取证_1
现对一个windows计算机进行取证,请您对以下问题进行分析解答。从内存镜像中获得taqi7的开机密码是多少?
压缩包密码为:93ce7ea39bdd7baa137f1e9b963b7ee5
volatility -f 1.dmp imageinfo
volatility -f 1.dmp –-profile=Win7SP1x64 mimikatz
NSSCTF{anxinqi}
[蓝帽杯 2022 初赛]计算机取证_2
现对一个windows计算机进行取证,请您对以下问题进行分析解答。制作该内存镜像的进程Pid号是多少?
volatility -f 1.dmp --profile=Win7SP1x64 pslist
#列出进程
NSSCTF{2192}
[蓝帽杯 2022 初赛]计算机取证_3
现对一个windows计算机进行取证,请您对以下问题进行分析解答。
bitlokcer分区某office文件中存在的flag值为?(答案参考格式:NSSCTF{abcABC123})
使用取证大师工具集中的内存镜像解析工具对1.dmp
文件进行解析,得到一个TrueCrypt
密钥文件和一个BitLocker
密钥文件 分别导出
使用取证大师进行解密(使用刚刚获取的第一个密钥)然后在自动取证 得到了3
个加密的文件还有一个pass.txt
字典
有字典就好办了 使用工具Passware Kit Forensic
解出密码:287fuweiuhfiute
打开ppt
文件即可。
NSSCTF{b27867b66866866686866883bb43536}
[蓝帽杯 2022 初赛]计算机取证_4
现对一个windows计算机进行取证,请您对以下问题进行分析解答。
TrueCrypt加密中存在的flag值为?(答案参考格式:flag{abcABC123})
刚刚解密还有个新建的文件猜测也是加密的 然后刚刚上面两个密钥文件都导出了(尝试用第二个进行解密)
这里得到一个哈哈哈.zip
导出然后发现里面有个txt
但是有密码 尝试ARCHPR
爆破得到密码为:991314
解压即可获取flag。
NSSCTF{1349934913913991394cacacacacacc}
手机取证:
[蓝帽杯 2022 初赛]手机取证_1
现对一个苹果手机进行取证,请您对以下问题进行分析解答。
627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是?(答案参考格式:1920x1080)
盘古石阅读器 直接搜索给的图片名称 导出文件,查看属性即可。
NSSCTF{360x360}
[蓝帽杯 2022 初赛]手机取证_2
姜总的快递单号是多少?(答案参考格式:abcABC123)
这里可以搜姜总,可以搜单号 发现在聊天记录中有显示
NSSCTF{SF1142358694796}
网站取证:
[蓝帽杯 2022 初赛]网站取证_1
据了解,某网上商城系一团伙日常资金往来用,从2022年4月1日起使用虚拟币GG币进行交易,现已获得该网站的源代码以及部分数据库备份文件,请您对以下问题进行分析解答。请从网站源码中找出木马文件,并提交木马连接的密码。
使用火绒杀毒软件扫描目录0f71e php
直接记事本打开即可。
NSSCTF{lanmaobei666}
[蓝帽杯 2022 初赛]网站取证_2
据了解,某网上商城系一团伙日常资金往来用,从2022年4月1日起使用虚拟币GG币进行交易,现已获得该网站的源代码以及部分数据库备份文件,请您对以下问题进行分析解答。请提交数据库连接的明文密码
打开WWW.zip
备份文件先找到databases.php
然后找到加密函数 encrypt.php
运行即可(PHP
版本要7.0
一下 不然不行!)
因为是复现所以就直接使用在线网站(支持php版本选择好用!!):https://onlinephp.io/
NSSCTF{KBLT123}
[蓝帽杯 2022 初赛]网站取证_3
请提交数据库金额加密混淆使用的盐值。
查看bak.sql
发现tab_channel_order_list
和钱有关 然后找到Channelorder.php
里面就有key
NSSCTF{jyzg123456}
[蓝帽杯 2022 初赛]网站取证_4
请计算张宝在北京时间2022-04-02 00:00:00-2022-04-18 23:59:59累计转账给王子豪多少RMB?
(换算比例请从数据库中获取,答案参考格式:123.45)
NSSCTF{15758353.76}
程序分析:
[蓝帽杯 2022 初赛]程序分析_1
现已获取某个APP程序,请您对以下问题进行分析解答。本程序包名是?(答案参考格式:abc.xx.de)
可以使用在线网站:https://mogua.co/
NSSCFT{exec.azj.kny.d.c}
[蓝帽杯 2022 初赛]程序分析_2
NSSCTF{minmtta.hemjcbm.ahibyws.MainActivity}
[蓝帽杯 2022 初赛]程序分析_3
本程序的服务器地址的密文是?
NSSCTF{aHR0cHM6Ly9hbnNqay5lY3hlaW8ueHl6}
[蓝帽杯 2022 初赛]程序分析_4
本程序实现安全检测的类的名称是?
直接搜索 安全 找到root
相关的 根据猜测是a
类
NSSCTF{a}
🆗今天的蓝帽杯2022初赛就复现到这里,题目适中感觉还可以 适合那些对内存取证感兴趣的小伙伴 我花了一天半才搞完,主要是学习思路和工具的使用 下次再做内存取证就有更多的思路和方法了 感谢大家的观看 谢谢支持!!
版权声明:本文标题:[蓝帽杯 2022 初赛]之Misc篇(NSSCTF)刷题记录(复现) 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1725586162a1031202.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论