2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp

WriteUp 9个月前 admin
267 0 0

 相比于初赛的43个题,半决赛只有15个,难度和初赛总体相差不大,但是这个“答案格式”真抽象,比赛很多时间都在纠结如何填写答案,没想到还可以有做出题目但是不会填答案的情况,还是好好复盘一下本次比赛吧。


带*号的是错题,本文中的思路和答案仅代表个人观点,正确答案待公布,以主办方的答案为准,如有错误之处请大佬不吝赐教


检材链接:https://pan.baidu.com/s/1RsF5qluBJhOf7o6HZwR54Q?pwd=ivsz容器密码:2023@QAX#LMB*PGS-9.16


01

案情


2023年初,某地公安机关抓获一个网络诈骗技术嫌疑人,公安机关在扣押嫌疑人后,对嫌疑人手机进行数据提取,在提取完成分析发现嫌疑人将通话记录及短信记录进行了删除,根据嫌疑人交代,其在删除通话及短信记录前使用过同伙编写的测试软件,该安卓程序会读取通话及短信记录并存放到手机中。由于通话和短信记录对案件很重要,请参赛队员分析手机镜像及对应apk,完成取证题目。

02


赛题


1、检材数据开始提取是今年什么时候?(答案格式:04-12 13:26)

09-11 17:21

在检材解压后的logs.log中看

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp


2、嫌疑人手机SD卡存储空间一共多少GB?(答案格式:22.5)

24.32

同样在logs.log

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp


3、嫌疑人手机设备名称是?(答案格式:adfer)

sailfish

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp


4、嫌疑人手机IMEI是?(答案格式:3843487568726387)

352531082716257

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp


5、嫌疑人手机通讯录数据存放在个数据库文件中?(答案格式:call.db)

contacts.db

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp


*6、嫌疑人手机一共使用过多少个应用?(答案格式:22)

100

我的想法是在应用日志中看有最后使用时间的

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp

导出为Excel表格

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp

一共100条有最后使用时间的

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp

这题正确解法还请大佬们指点


7、测试apk的包名是?(答案格式:con.tencent.com)

com.example.myapplication

应用列表应用太多,可以先按包名排序,先略过com.android和com.google开头的

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp

找到My Application,找到apk

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp


*8、测试apk的签名算法是?(答案格式:AES250)

SHA256

弘连雷电APP智能分析

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp

盘古石星源APP溯源分析系统

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp

不知道官方的标准答案到底是哪个,答案格式也存在误导


*9、测试apk的主入口是?(答案格式:com.tmp.mainactivity)

com.example.myapplication.mainactivity

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp

看着题目的答案格式全小写了,100分丢了


10、测试apk一共申请了几个权限?(答案格式:7)

3

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp


11、测试apk对Calllog.txt文件内的数据进行了什么加密?(答案格式:DES)

BASE64

jadx搜calllog.txt

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp

base64加密

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp


12、10086对嫌疑人拨打过几次电话?(答案格式:5)

2

找到calllog.txt

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp

导出对其中内容进行base64解码,10086有两次呼进

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp


13、测试apk对短信记录进行了几次加密?(答案格式:5)

2

AES+base64

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp


*14、测试apk对短信记录进行加密的秘钥是?(答案格式:slkdjlfslskdnln)

bglqdwjkewhmdxjp

本来是想hook出key值的,但是模拟器中没有短信APP

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp

貌似是一个静态的值,apk解包后ida64分析lib中的so文件

在字符串中找到Getkey

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp

G分析代码可以看到对first进行了转换

找到first:lijubdyhfurindhcbxdw

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp

在这里进行了base64编码

得到bGlqdWJkeWhmdXJpbmRoY2J4ZHc=

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp

拿这个key去解密SMS.txt中的内容

https://www.mklab.cn/utils/aes

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp

AES密钥应该是16位,截取16位得到bGlqdWJkeWhmdXJp

这里又被答案格式给误导了,200分丢了


15、嫌疑人在2021年登录支付宝的验证码是?(答案格式:3464)

9250

在解密出的短信内容中可以看到

2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp


03


总结


总体上题目都做出来了,有时候自己想得太多反而会想错,好多时间都用来纠结了,心累




点点关注不迷路


喜欢的看官还请多多点赞收藏



原文始发于微信公众号(XiAnG学安全):2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp

版权声明:admin 发表于 2023年9月18日 下午6:03。
转载请注明:2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...