Welcome to WXjzc's blog

摘要： 碰到了使用com.orhanobut.hawk对sp进行加密的应用，分析一下除了动态调试外如何直接解密 逆向的难度比较大，而且由于涉及到facebook的加密库，导致反编译后代码很难看，好在项目是开源的hawk 看一下这个项目的代码，本质上用的facebook的加密库conceal 这是封装在最外层 阅读全文

摘要： 最近各厂家先后突破Android12/13提权备份，很好奇，恰好又有资料可以找到，最后得知是CVE-2024-0044这一极易利用的漏洞导致的，由于国内手机很多都是厂商自己魔改的系统，而且很多系统的新版本实际上都是基于14甚至15的。对于没有升级的系统，大概率已经不更新补丁了，补丁更新后这一方式就失 阅读全文

摘要： 最近接触到两个网站的重建，过程十分有趣，文字记录一下吧，虽然没有图片，但如果以后你也碰到类似的，应该能理解。 说明 两个网站是一起的，依赖的基本项目是一样的。 java项目，采用docker，多服务器，主从。 有连接rds等 网站采用验证码登录 重构环境要求断网环境 网站一 记录所有服务器的内网IP 阅读全文

摘要： 我记得比赛的时候，misc都是0解。 怎么不算另类的1血呢？ help_me实在不会，arm看不了一点 消失的钥匙 先看验证逻辑，能够看到generateZipPassword和decryptFlag这两个方法内容不见了 通过在apk中寻找半年，找到一个时间不对的classes3.dex，查看hex 阅读全文

摘要： 0x1 获取了100以内的随机数 只需要确保输入的数为随机数的2倍+4即可 hook该方法，返回值随意，只要自己输入符合对该值的要求即可 Java.perform(function () { let MainActivity = Java.use("com.ad2001.frida0x1.MainA 阅读全文

摘要： 从官方源编译的pycdc，直接反编译，可以看到存在不支持的字节码BEGIN_FINALLY（理论上遇到类似不支持的字节码，都可以这样处理） 参考issue307，处理一下 重新编译 这时候就可以成功反编译（当然有可能存在一些逻辑问题？不过这里的字节码是涉及异常处理的，对主要逻辑影响不大） 阅读全文

摘要： 服务器取证 1.分析内部IM服务器检材，在搭建的内部即时通讯平台中，客户端与服务器的通讯端口是：[答案格式：8888][★☆☆☆☆] 结果为8065 2.分析内部IM服务器检材，该内部IM平台使用的数据库版本是： [答案格式：12.34][★★☆☆☆] docker inspect 64，连接的是p 阅读全文

摘要： PanelForensics已经支持，快去基佬站下载吧 最近啊，fic中出现了宝塔，结果PanelForensics居然没有梭哈，这怎么行？？ 于是我就一通分析，发现这个版本更新了架构，并且对密码的加解密是通过调用二进制依赖进行实现的 我这里就以mysql的密码为例，在新版本中，mysql的密码主要 阅读全文

摘要： 手机 1.嫌疑人李某的手机型号是？ /data/system/users/0/settings_global.xml 结果为MI 4LTE 2.嫌疑人李某是否可能有平板电脑设备，如有该设备型号是？ /data/misc/wifi/WifiConfigStore.xml 结果为Xiaomi Pad 6 阅读全文

摘要： 平航杯不发了，不想折腾hyper-v 计算机和手机取证 1. 请综合分析计算机和手机检材，计算机最近一次登录的账户名是 导出注册表解析 结果为admin 2. 请综合分析计算机和手机检材，计算机最近一次插入的USB存储设备串号是 /Windows/System32/winevt/Logs/Micro 阅读全文