2023蓝帽杯初赛取证wp(待更新)
最近取证比赛好多,被迫学习(bushi
初次接触取证,火眼都不会用,笑死。
VC密码:Hpp^V@FQ6bdWYKMjX=gUPG#hHxw!j@M9
目前只写了计算机取证部分。
【计算机取证】请给出计算机镜像pc.e01的SHA-1值?[答案格式:大小写均可]
23F861B2E9C5CE9135AFC520CBD849677522F54C
火眼直接计算哈希即可。
【计算机取证】给出pc.e01在提取时候的检查员?[答案格式:admin]
pgs盘古石?
这个貌似火眼看不了,我用XWay创建案件导入镜像,看属性拿到的。
【计算机取证】请给出嫌疑人计算机内IE浏览器首页地址?[答案格式:http://www.baidu.com]
用火眼仿真打开IE,得到http://global.bing.com/?scope=web&mkt=en-US&FORM=QBRE
【计算机取证】请给出嫌疑人杨某登录理财网站前台所用账号密码?[答案格式:root/admin]
Chrome上保存有密码yang88/3w.qax.com
【计算机取证】请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号?[答案格式:xxxx(xx)]
还是仿真,打开WPS,设置-关于WPS,得到
【计算机取证】请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1?[答案格式:大小写均可]
24CFCFDF1FA894244F904067838E7E01E28FF450
这道题对于我这个新手来说挺难想的,直接搜索拿不到这个文件,考虑题目几乎均出自D盘,而且D盘有个很大5G的disk.img,然后单独对他进行检材,发现里面有这个文件,拿到结果。
【计算机取证】请给出嫌疑人Vera Crypt加密容器的解密密码?[答案格式:admin!@#]
3w.qax.com!!@@
这个直接在密码.txt中可以拿到,一些WP的做法有点吊,我萌新看不懂。
【计算机取证】请给出嫌疑人电脑内iSCSI服务器对外端口号?[答案格式:8080]
3261
iSCSI是指互联网小型计算机系统接口,找虚拟机,因为跟虚拟化场景有关。
查看所有程序发现有个叫做Star Wind的程序,而且后面提示了iSCSI,启动以后直接就可以看到端口,这个程序我启动了好多次才成功,不知道为啥。
【计算机取证】请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码?[答案格式:root/admin]
继续在Starwind中进行,账号是user,密码无法直接查看,那么在其配置文件中寻找,发现.cfg文件,一般是配置文件可能存放账号密码。
user/panguite.com
这里最好提前知道账号名user,否则的话存放的名称不是password而是secret,不太好找。
分析嫌疑人电脑内提现记录表,用户“mi51888”提现总额为多少?[答案格式:10000]
你会发现只有体现记录的表格快捷方式,而指向的F盘内的文件并没有,考虑在disk.img中有曾经清理过的信息,然后发现有个2G的txt文本,很可疑,考虑在VC中加载,发现了体现记录表,但是我看别的师傅的WP,盘古石可以直接分析出来是疑似加密,更容易想到hh。
1019筛选一下求和就好了。