misc

domainhacker

HTTP对象列表有一个1.rar导出，要密码

在第13个tcp流找到rar加密指令的base64编码

 

 

 解码得到密码SecretsPassw0rds

 

 

 打开压缩包，得到flag{416f89c3a5deb1d398a1a1fce93862a7}

 

 

 domainhacker2

这题rar直接给我们了，找密码步骤同上

 

 

 

 

 

 打开压缩包，发现里面有 system 文件、ntds.dit 活动目录文件，要导出ntds.dit中的散列值，使用kali的impacket-secretdump指令

 

 

 得到flag{07ab403ab740c1540c378b0f5aaa4087}

电子取证

手机取证_1

直接搜索图片名

 

 

 

 

360x360

手机取证_2

直接搜索姜总，找到单号

 

 

SF1142358694796

计算机取证_1

获取内存镜像的基本信息

 

利用mimikatz直接解出密码

 

anxinqi

计算机取证_2

 

 

 MagnetRAMCaptuer为制作内存镜像的小工具

2192

 计算机取证_3

用ArsenalImageMounter挂载G.E01文件，发现需要密码

 

 

 用Forensic Disk Decryptor解恢复密钥

 

 

 

 磁盘里有一个pass.txt，一个ppt，一个docx，用Accent OFFICE Password Recovery进行字典爆破

打开docx和ppt

 

 

 计算机取证_4

提取出TrueCrypt.exe

 

 用foremost分离，里面有一个加密的zip

 

 直接爆破，得到密码

 

 打开zip，得到flag

 

 程序分析_1

把apk放进jadx，找到MainActivity

 

 

exec.azj.kny.d.c

 程序分析_2

 

 

minmtta.hemjcbm.ahibyws.MainActivity

 程序分析_3

 

 

aHR0cHM6Ly9hbnNqay5lY3hlaW8ueHl6

 程序分析_4

找到安全检查相关的函数a()和b()

 

 找到函数的类名

 

 

a

网站取证_1

用D盾扫一下木马文件

 

 

lanmaobei666

网站取证_2

找到了database.php

 

 再去找这个函数

 

 找7.1.0版本以下的php跑一下，因为mcrypt_module_close函数在PHP 7.1.0后被废弃

KBLT123

网站取证_3

搜索MD5

jyzg123456

 

标签：网络安全,取证,函数,找到,flag,密码,蓝帽杯,rar,复现
来源： https://www.cnblogs.com/carefree669/p/16467772.html