一、【MISC】domainhacker

题目附件

1、导出http

发现一个压缩包，打开以后发现是有密码的，尝试在流量中分析寻找密码

2、观察流量发现有1.php，与1.rar相似，盲猜可能与该流量相关

分析流量的过程中发现有与base64加密相关内容，尝试直接解密。


尝试删除前两个字母得到

用相同方法继续寻找并不断解密

3、发现相关流量

4、解压压缩包，打开1.txt文件，尝试带入flag，确定flag值

flag{416f89c3a5deb1d398a1a1fce93862a7}

二、【MISC】domainhacker2

题目附件

1、与domainhacker一样的套路，同样先导出http，发现同样一个压缩包ntds.rar要密码

2、观察流量，盲猜又是1.php，慢慢找吧

3、个人觉得与上题套路一样，只不过找的比较麻烦

4、符合搜索条件的不多，就是比较费时间，最后找到密码

5、解压后得到三个文件

6、在kali 中运行impacket-secretsdump

带入题中解得：flag{07ab403ab740c1540c378b0f5aaa4087}

三、【电子取证】手机取证_1

1、解压后打开exe

2、 直接搜索627604C2-C586-48C1-AA16-FF33C3022159，会看到图片

3、下载图片即可查看到该图分辨率

四、【电子取证】手机取证_2

与手机取证_1同理，直接搜索姜总即可查看到快递单号

五、【电子取证】计算机取证_1

用PasswareKitForensic

六、【电子取证】计算机取证_2

用volatility

最后可知制作该内存镜像的进程Pid号是2192

七、【电子取证】程序分析_1

题目附件

八、【电子取证】程序分析_2

题目附件

首先解包，AndroidManifest.xml文件中找到Activity

九、【电子取证】程序分析_3

题目附件

Jadx反编译可直接查看：

十、【电子取证】程序分析_4

题目附件

1、这道题是我无意间在手机上安装打开了后发现提示：

2、然后在jadx上搜索

由此可见，前面是包名后面是类名，所以实现安全检测的类的名称是a

十一、【电子取证】网站取证_1

题目附件

D盾扫描得：lanmaobei666

十二、【电子取证】网站取证_2

题目附件
这个还是花了点时间去找的

直接把my_encrypt()函数运行结果打印出来就可以了：KBLT123

十三、【电子取证】网站取证_3

题目附件

找加密money的函数，然后定位到encrypt：jyzg123456

十四、【电子取证】网站取证_4

题目附件
从bak.sql提取数据：

汇率为

存储为1.txt

0.04,2022-04-020.06,2022-04-030.05,2022-04-040.07,2022-04-050.10,2022-04-060.15,2022-04-070.17,2022-04-080.23,2022-04-090.22,2022-04-100.25,2022-04-110.29,2022-04-120.20,2022-04-130.28,2022-04-140.33,2022-04-150.35,2022-04-160.35,2022-04-170.37,2022-04-18

转账记录为：

存储为2.txt

2.txt

写脚本

import base64def calculation_money(a):md5_k="cd9d86dd286a0b0079146c1c57e51576"b=base64.b64decode(a)money=""for i in range(len(b)):t=b[i]-ord(md5_k[i])money+=chr(t % 256)return moneyf1=open("1.txt")dic={}for i in f1:a,b=i[:-1].split(',')dic[b]=aprint(dic)sum=0f2=open("2.txt")for i in f2:if "5,3" in i:t=i[:-1]for k in dic:if k in t:tmp=eval(calculation_money(t[-11:-3])+'*'+dic[k])sum+=tmpbreakprint(sum)