2021长安杯复盘学习

目录

在这里插入图片描述

解压密码:2021第三届CAB-changancup.com

给的文件都是VC加密过的,所以要先拿密码挂载一下

检材一

在这里插入图片描述
算哈希值,拖到软件里即可:
在这里插入图片描述

3fece1e93be4f422c8446b77b6863eb6a39f19d8fa71ff0250aac10f8bdde73a

在这里插入图片描述
这里可以直接用宏连的apk分析软件
在这里插入图片描述

plus.H5B8E45D3

在这里插入图片描述
继续
在这里插入图片描述

H5B8E45D3

在这里插入图片描述
在这里插入图片描述

ABCDE

在这里插入图片描述
打开该软件
在这里插入图片描述
反编译后搜索该字段
在这里插入图片描述
点进去查看
在这里插入图片描述
末尾发现sojson V4加密的字段,解密得:
在这里插入图片描述
这里可以看到回传了GPS的相关信息
在这里插入图片描述
其余可以利用抓包查看
回传了手机号码和验证码
在这里插入图片描述
这个软件会请求通讯录的权限

所以:

ACDE

在这里插入图片描述
在解密得内容中可以看到,为POST
在这里插入图片描述

POST

在这里插入图片描述
用雷电自带的代理抓包可以看到
在这里插入图片描述

www.honglian7001.com

在这里插入图片描述
直接搜索
在这里插入图片描述

http://www.honglian7001.com/api/uploads/

在这里插入图片描述
这里说的很清楚

所以直接搜sms
在这里插入图片描述

www.honglian7001.com/api/uploads/apisms

在这里插入图片描述
雷电的Frida脚本分析
在这里插入图片描述

test.db

在这里插入图片描述
接上题:

c74d97b01eae257e44aa9d5bade97baf

检材二

在这里插入图片描述
先用第七题的答案解压
在这里插入图片描述

在这里插入图片描述
从弘连里面计算即可

E6873068B83AF9988D297C6916329CEC9D8BCB672C6A894D393E68764391C589

在这里插入图片描述
结合题目给的报案的时间,可看出案发时间内登陆的ip地址

192.168.110.203

在这里插入图片描述对镜像仿真(仿真软件是可以把密码重置的,但第一次不知道为什么没有重置qaq)
在这里插入图片描述这里不是很有思路,去看看history
在这里插入图片描述注意到一个honglianjingsai,进去看看
在这里插入图片描述查看READEME
在这里插入图片描述现在思路比较清楚了
进到反向代理的文件中,发现服务器对不同的流量向不同的服务器进行转发
所以服务器承载的作用为负载均衡
在这里插入图片描述

负载均衡

在这里插入图片描述
在这里插入图片描述

80

在这里插入图片描述还是在ChronusNode的目录下,查看app.js文件
在这里插入图片描述注释给的很明显了,不过要注意js文件的开启命令是node xx.js

node app.js

在这里插入图片描述在之前反向代理的文件里面可以看到该函数(需要一些代码审计的能力,这里是对数组做了切片的,以.隔开)
在这里插入图片描述所以是第3位

3

在这里插入图片描述结合上一题的转发函数
也是送分题

192.168.110.111

在这里插入图片描述上提看到了三个不同的ip,所以是三台

3

在这里插入图片描述没有很好的思路,查一下日志吧qaq
在这里插入图片描述案发应该是24号,看一下24号的日志
看到好几个可疑的ip
结合192.168.110.203的请求头可以知道这个是入侵时使用的ip
剩下两个可疑的:
192.168.110.252和192.168.110.142
呃,不太确定,但前者登陆次数比较多,我选252的

192.168.110.252

在这里插入图片描述在这里插入图片描述Destination:192.168.110.113

192.168.110.113

检材三

在这里插入图片描述
解压得到三个文件
在这里插入图片描述
应该就是上题转发到的三个服务器的文件,这三个服务器应该连接的是同一个数据库,所以理论上用哪个做都可以
在这里插入图片描述上题的流量转发到了113的服务器里,所以我们计算这个服务器的哈希

205C1120874CE0E24ABFB3BB1525ACF330E05111E4AD1D323F3DEE59265306BF

在这里插入图片描述仿真后直接重置了,但先别急,先接着做
在这里插入图片描述在这里插入图片描述

hl123

在这里插入图片描述没思路,连进去看看吧。。。
在这里插入图片描述

还是没有思路,看了别人的答案,说宝塔用于设置密码的脚本在tool.py里
在这里插入图片描述还真有

set_panel_pwd

在这里插入图片描述
在这里插入图片描述

MD5

在这里插入图片描述去上题提到的publi文件里看
在这里插入图片描述在这里插入图片描述
md5加密一次,加盐,再md5,所以是3

3

在这里插入图片描述弘连查看
在这里插入图片描述

v87ilhAVumZL

在这里插入图片描述
用宝塔搭过一次网站,所以直接登宝塔看一下就行,不过记得先改一下密码(习惯了)

在这里插入图片描述进去了
在这里插入图片描述

/www/wwwroot/www.honglian7001

检材四

在这里插入图片描述使用弘连可以直接搜索
在这里插入图片描述

192.168.110.115

在这里插入图片描述
由上题:

wxrM5GtNXk5k5EPX

在这里插入图片描述重头戏来了

解压完检材是三个dd文件(涉及raid重组,之前用FTK imager挂载过了,所以这里会有各自的缓存文件)
在这里插入图片描述raid重组:
1.先在ftk中挂载(writable)
在这里插入图片描述2.用R-studio重组
在这里插入图片描述3.创建镜像并导出
在这里插入图片描述配置好虚拟机的网络后尝试输入admin/common/login.shtml
看到界面了
说明对了

在这里插入图片描述将common.php拖出来审计
在这里插入图片描述

/admin
lshi4AsSUrUOwWV

在这里插入图片描述
这里去查看4月份的日志
发现两个
在这里插入图片描述
在这里插入图片描述
使用security可以登陆

security

在这里插入图片描述在这里插入图片描述

3

在这里插入图片描述在这里插入图片描述使用刚刚日志里的账号密码登陆后台
在这里插入图片描述

6002

在这里插入图片描述根据下载时间可以确定手机号码
在这里插入图片描述

18644099137

在这里插入图片描述
使用上题的手机号搜索通讯录
在这里插入图片描述

34

检材五

在这里插入图片描述(官方把检材五和检材四打反了)
在这里插入图片描述软件里算一下

E9ABE6C8A51A633F809A3B9FE5CE80574AED133BC165B5E1B93109901BB94C2B

在这里插入图片描述
输入密钥后弘连才能取出更多的内容
在这里插入图片描述
使用取证大师查看密钥
在这里插入图片描述在这里插入图片描述
解密成功,变绿
在这里插入图片描述

511126-518936-161612-135234-698357-082929-144705-622578

在这里插入图片描述在这里插入图片描述

12306

在这里插入图片描述可以看到是Chrome
在这里插入图片描述

Chrome

在这里插入图片描述
仿真看一下(可视化比较直观)
在这里插入图片描述算一下

0DD2C00C8C6DBDEA123373F91A3234D2F07D958355F6CD7126E397E12E8ADBB3

在这里插入图片描述在这里插入图片描述

IMEI1 868668043754436
IMEI2 868668044204431

通过弘连可以发现首次取得联系是通过伊对这个聊天软件

伊对

在这里插入图片描述在这里插入图片描述

https://cowtransfer.com/s/a6b28b4818904c

在这里插入图片描述点微信查看好友信息
在这里插入图片描述

wxid_op8i06j0aano22

在这里插入图片描述点开qq查看
在这里插入图片描述

1649840939

在这里插入图片描述

9C48E29EB5661E6ED088A364ECCóEF004C150618088D7000A393340180F15608

在这里插入图片描述

15266668888

在这里插入图片描述

5

在这里插入图片描述

cd62a83690a53e5b441838bc55ab83be92ff5ed26ec646d43911f119c15df510

在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述52题的压缩包中收了两千

数据库中还有一千
共6600

6600

posted @ 2022-10-19 14:11  齐天大圣8799  阅读(897)  评论(0)    收藏  举报