w3nx1z1

2022年美亚杯团体赛AGC计算机31.[单选题] 分析AGC-CS计算机 (Computer) 里最初的作業系統 (Windows) ，它的实際安装时间是什么? (以时区UTC+8回答) (3分) A. 2022-09-26 14:35:17 B. 2022-09-26 21:35:17 C. 2022-09-27 05:35:17 D. 2022-10-05 03:52:15 E. 2022-10-05 11:52:15 D 32[单选题] AGC-CS计算机里的 ‘Acrobat DC’ 软件的安装时间是? (以时区UTC+8回答) (如答案为 2022-12-29 16:01:59，需回答 20221229160159) (1分) A. 2022-09-28 19:01:40 B. 2022-09-28 07:18:33 C. 2022-08-30 19:01:40 D. 2022-08-30 07:18:33 A 火眼只能分析出第二个安装时间 但是不是选项 取证大师能分析出两个 选和选项差不多的第一个时间 33[单选题]AGC-CS计算机里的用户 'Car ...

2023龙信杯取证比赛wp移动终端取证1.请分析涉案手机的设备标识是_______。（标准格式：12345678） 85069625 2.请确认嫌疑人首次安装目标APP的安装时间是______。（标准格式：2023-09-13.11:32:23）从聊天记录中获得软件名称 再从应用列表中找到相应应用安装时间 2022-11-16.19:11:26 3.此检材共连接过______个WiFi。（标准格式：1） 6 4.嫌疑人手机短信记录中未读的短信共有______条。（标准格式：12）已读未读软件上是真看不出来 这里学到了 直接查看手机镜像文件的数据库 \data\com.android.providers.telephony\databases\mmssms.db 找到之后 用navicat打开数据库文件 找到sms 里面read列数值为0的 就是未读的短信 按照升序排列 可以找到17个未读短信 17 5.嫌疑人检材手机在浏览器中下载海报背景图的网址是_______。（标准格式：http://www.baidu.com/admin/index.html） http://m. ...

香山杯 喵帕斯感谢明琦和yolo师傅 签到base64+凯撒 flag{we1c0m3_2_Ctf} list题目附件 import os import gmpy2 from Crypto.Util.number import * import random from secrets import flag def pad(s,l): return s + os.urandom(l - len(s)) def gen(): g = getPrime(8) while True: p = g * random.getrandbits(138) + 1 if isPrime(p): break while True: q = g * random.getrandbits(138) + 1 if isPrime(q): break N = p ** 5 * q phi = p ** 4 * (p - 1) * (q - 1) ...

2023年蓝帽杯初赛取证wp手机06.该镜像是用的什么模拟器？[答题格式:天天模拟器]一眼雷电 雷电模拟器 07.该镜像中用的聊天软件名称是什么？[答题格式:微信]将三个vmdk文件拖进火眼进行分析 找到一个聊天软件 与你 08.聊天软件的包名是？[答题格式:com.baidu.ces]直接搜hhh com.uneed.yuni 09.投资理财产品中，受害人最后投资的产品最低要求投资多少钱？[答题格式:1万] 5万 10.受害人是经过谁介绍认识王哥？[答题格式:董慧] 华哥 计算机11.请给出计算机镜像pc.e01的SHA-1值？[答案格式：字母小写] ea9dcc3d43df4c6448bb56e7ac820619d66fe821 12.给出pc.e01在提取时候的检查员？[答案格式：admin] pgs 13.请给出嫌疑人计算机内IE浏览器首页地址？[答案格式：http://www.baidu.com]http://global.bing.com/?scope=web&mkt=en-US&FORM=QBRE 14.请给出嫌疑人杨某登录理财网 ...

初识沙箱逃逸[HNCTF 2022 Week1]calc_jail_beginner_level(JAIL 沙箱逃逸)给了源码 #Your goal is to read ./flag.txt #You can use these payload liked `__import__('os').system('cat ./flag.txt')` or `print(open('/flag.txt').read())` WELCOME = ''' _ ______ _ _ _ _ | | | ____| (_) | | (_) | | |__ | |__ __ _ _ _ __ _ __ ___ _ __ | | __ _ _| | | '_ \| __| / _` | | '_ \| '_ \ ...

a63ff7cb356c0721c665a93ace5f8e47c80bfdfa7f22e24a80bac4799a8efb58070a4003c7eb2b202482d1c7b5eae5f1c003067a2c9e062d0f54e1925abba89d84ad1d3300f205d588e7ce5fb2cd21fbc3c71a259b6c40e7829bfea27c38d2506447272261bc5104a74b1124b8151de728d73ca2f89204286d4f61190b3446bc1a11c7fba39fa0956116d27876bf797e139555ebd523c3d4eb2c525aa272c859c50e742db00b97a50717347a89f1c8462dcca925a4eae22313905ee37d611c5877f8410d6628c428a3bf5d7b0371bb9d28ee8a6cff79dcab3e29f3e96a697c6cd89d1b0271c2448edce73d2b6dec0ebd913d2ca8ac871bca1 ...

65377ef220f4d2a8cd7622df8420e47ef9e5f5c9c20efc1008932668a1bb605033e128f71239a8c12bdef912f0559799146cfce54187d158d38985f0515a7a5d928730af66874109a77077406098736102ab6c945ef023f213fcae4b9364623fcd60a088660ac65e66cb5450ce5e8a3fbacb85182505ed9656b238135ec223bdffd1044d9f3e8df037edd676976d54ad49d9fded5b7a23524000b88598ba06b289ef98d5fafd7c0de0cb6d335c8c33494511291fce5170b18583bee1454e58c2d60f04282fb90e11ab5799bf56f50ee94c402a1d66bc2f5e49429ade14bfde725e206b5669559b63257e639ce994dd32a32da7aa9e2bfe9a8 ...

2023巅峰极客MISC题解很遗憾 这次因为某些原因 没能跟随战队一起打全程 虽然但是 也从比赛和战队师傅中学到了很多新东西！！！ foundme(avif文件 foremost分离) 附件是一个dump文件 以为是普通的内存取证 然而试过了vol2和vol3都没取出东西来 在尝试使用windbg 太晦涩了不会用 队里做出来的师傅提醒没那么复杂 于是直接使用010查看 找到了一个hint hint:提示寻找Netflix的图片格式 搜索发现 Netflix的图片格式是avif文件 直接在附件里面寻avif文件 kali中使用foremost 分出很多文件 会发现foremost会将avif文件识别为mp4文件(010打开可以看出来) 将mp4的后缀名修改为avif 便可以打开 flag{Y0ung_Ju57_f0rward} 一起学生物(盲水印 二进制转换) 附件给了两张图片 一眼盲水印 将结果再放入ps中 很清楚的可以看到甲硫氨酸 算是一个hint 010打开其中无水印的原图 在文件尾找到一串字符串 MFFMNMMFGHMMQWEMMTMMPMDFMMYMMRMKK ...

2022蓝帽杯初赛取证复现计算机取证下载附件 拿到一个dmp内存镜像和一个E01计算机镜像 取证一：在内存镜像中的taqi7开机密码为 .\volatility.exe -f .\1.dmp imageinfo .\volatility.exe -f .\1.dmp --profile=Win7SP1x64 hashdump 拿到taqi7开机密码的哈希值为：7f21caca5685f10d9e849cc84c340528 NSSCTF{anxinqi} 取证二：制作该内存镜像的进程PID号为通过搜索 我们可以知道 可以制作内存镜像的进程有： dd命令 Win32dd Fmem LIME Magnet RAM Capture .\volatility.exe -f .\1.dmp --profile=Win7SP1x64 pslist 在该内存所有的进程信息中 可以找到Magnet RAM Capture的进程PID为2192 NSSCTF{2192} 取证三：计算机镜像中bitlokcer分区某office文件中存在的flag值为？首先 有内存镜像 有e01镜像 直接爆 ...

NSSRound 12 Misc 专场Secrets in Shadow(linux提权 )首先ssh远程连接上主机 直接看目录 发现flag文件 但是没有权限访问 需要进行提权 我们现在需要寻找的是root权限的密码 登陆root 获得读取flag的权限 通过查看/etc/shadow文件 可以得到root密码的哈希值 $6$Vh57Xwpz34U8wthL$Xd0QAbWlZgB4nOhgDPCR/Q50rhAUsVVkIs3MUiglBlMychQjULqAADyTSzTXNuuF0TO.2TzUi574DHY6e8Fma1 hashcat -m 1800 -a 0 -o value.txt hash rockyou.txt # value.txt是存放爆破结果的文件 hash存放想要爆破的哈希值 rockyou.txt是字典文件 再补充一下john爆破的命令： john --wordlist=字典地址 --user=要爆破密码的用户名 哈希文件 保存结果的文件 得到密码为：bullshit **:horse:NSSCTF{6011c959- ...