CTF-MISC取证专项练习(更新ing)

目录

来源：NSSCTF

蓝帽杯 2022 初赛

计算机取证_1

计算机取证_2

计算机取证_3

计算机取证_4

网站取证_1

网站取证_2

网站取证_3

网站取证_4

手机取证_1

手机取证_2

---

来源：NSSCTF

蓝帽杯 2022 初赛

计算机取证_1

使用提供的密码解压下载的压缩包，得到这些文件

题目要求：从内存镜像中获得taqi7的开机密码是多少？

1. volatility一把梭

在线解密

2.Passware Kit一把梭

 

 flag：NSSCTF{anxinqi}

计算机取证_2

使用提供的密码解压下载的压缩包，得到这些文件

 制作该内存镜像的进程Pid号是多少？

一把梭

 flag：NSSCTF{2192}

计算机取证_3

使用提供的密码解压下载的压缩包，得到这些文件

bitlokcer分区某office文件中存在的flag值为？

需要解锁bitlokcer加密的磁盘文件

使用工具把1.bmp和G.E01挂载到电脑上，用DiskGenius恢复1.bmp中的数据

在桌面找到Bitlocker的密钥

用密钥解锁 G.E01挂载的磁盘

得到以下文件

逐一查看文件，发现ppt被加密了 ，可以使用pass.txt中的密码进行字典攻击

得到密码：287fuweiuhfiute，解密ppt即可拿到flag

flag：NSSCTF{b27867b66866866686866883bb43536}

计算机取证_4

使用提供的密码解压下载的压缩包，得到这些文件

问题： TrueCrypt加密中存在的flag值为？

科普：TrueCrypt，是一款免费开源的加密软件，TrueCrypt不需要生成任何文件即可在硬盘上建立虚拟磁盘，用户可以按照盘符进行访问，所有虚拟磁盘上的文件都被自动加密，需要通过密码来进行访问。

我们可以通过挂载1.dmp文件，使用DiskGenius恢复1.bmp中的数据，在用户的临时文件夹中找到哈哈哈.zip，恢复出来。

 

加密了直接爆破

 得到flag

flag：NSSCTF{1349934913913991394cacacacacacc}

网站取证_1

下载附件，得到以下文件

题目描述：据了解，某网上商城系一团伙日常资金往来用，从2022年4月1日起使用虚拟币GG币进行交易，现已获得该网站的源代码以及部分数据库备份文件，请您对以下问题进行分析解答。 请从网站源码中找出木马文件，并提交木马连接的密码。

既然说源码里面有木马，我们直接使用杀毒软件进行扫描，实测360扫不出来(有点菜，一句话木马都扫不出)，火绒可以。

 

 flag：NSSCTF{lanmaobei666}

网站取证_2

附件同上

问题：请提交数据库连接的明文密码

 思路就是去找数据库密码的加密函数，在源码里翻翻就可以找到了

改改，直接运行

flag：NSSCTF{KBLT123} 

网站取证_3

附件同上

问题：请提交数据库金额加密混淆使用的盐值

在代码中查找关键字money

在第二个php文件中找到key

flag：NSSCTF{jyzg123456}

网站取证_4

附件同上

问题：请计算张宝在北京时间2022-04-02 00:00:00-2022-04-18 23:59:59累计转账给王子豪多少RMB？（换算比例请从数据库中获取，答案参考格式：123.45）

放着，先做其他的

手机取证_1

问题：627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是？（答案参考格式：1920x1080）

下载附件解压打开

运行苹果测试 查看.exe  ，直接搜索图片，导出查看分辨率

flag：NSSCTF{360x360} 

手机取证_2

附件同上

问题：姜总的快递单号是多少？

搜索关键词快递，没找到，再次搜索关键词姜总，成功找到快递单号

 flag：NSSCTF{SF1142358694796}