2025第三届盘古石杯初赛wp

Meteor_Kai

2025-05-17

电子取证

取证

1 2	VR容器密码：9f8L2kP7mQv3RzX1tB5n6yH4CwJp9TqEa2rF1xSbD0LcKjZ 容器密码：01tn0GdE0]BF00pT0T&f00&u0k-q0Up41UhA00N,0\-L0kRr0j-p0T&R1F&=0\Ni1GR]

VR场景如下：

手机

T1

分析安卓手机检材，手机的IMSI是？

1	460036641292715

T2

养鱼诈骗投资1000，五天后收益是？

T3

分析苹果手机检材，手机的IDFA是?

1	E477D4C7-BD02-4979-BC9D-5C5DE7BD1F17

T4

Telegram应用的卸载时间是？

1	2025-04-17-10:51:39

T5

机主hotmail邮箱地址是？

1	hostsixer@hotmail.com

T6

苹果电脑开机密码是？

藏在系统截屏里！

12345678

T7

Telegram加密通讯中，加密聊天信息用到的第二个解密载体是？ [答案格式：123.zip]

在苹果手机的截屏里有涉及，看着像，但是不能完全确定。

但当我们看mac镜像的时候，就会发现：

2.mp4

T8

贾韦码的内部代号是？

贾韦码是被清理的那个，也就是代号48.

T9

特快专递的收货地址是？[标准格式：老牛市快速路11号ADE公司] What is the delivery address for the express package? [Answer format: 老牛市快速路11号ADE公司]

1	西红市中山路35号PGS健身房

app

T1

分析安卓检材，远控工具包名是？

这个银联会议下下来是一个RustDesk，是一个远控软件。

1	com.carriez.flutter_hbb

T2

远控工具中继服务器IP是？

1	59.110.10.229

T3

远控工具ID服务器端口是？

T4

远控工具中继服务器Key是？

1	WIUqzRq1Ocx4QNnsF26dZQijKdyd2L9OfaT55hDlQCI=

T5

远控工具中收藏的远程ID是？

1	1807892422

T6

远程控制该手机的手机型号是？

1	google-Pixel

T7

监听工具包名是？

存在录制音频的权限，且通过源码看出其开机自启动：

package com.example.liekai;

import android.content.BroadcastReceiver;
import android.content.Context;
import android.content.Intent;

/* loaded from: classes.dex */
public class BootReceiver extends BroadcastReceiver {
    @Override // android.content.BroadcastReceiver
    public final void onReceive(Context context, Intent intent) {
        if ("android.intent.action.BOOT_COMPLETED".equals(intent.getAction())) {
            Intent intent2 = new Intent(context, MainActivity.class);
            intent2.addFlags(268435456);
            context.startActivity(intent2);
        }
    }
}

1	com.example.liekai

T8

监听工具代码主入口是？

1	com.example.liekai.MainActivity

T9

监听工具的签名算法是？

1	SHA256-RSA

T10

监听工具运行多少秒后会跳转成黑色幕布？[标准格式：3.000]

猜测。。。直接打开liekai工具数一下。。

1.000

T11

监听工具运行后，黑色幕布上字符串是？[标准格式：aes取证平台]

我们看apk源码的时候发现了这个apk的相关框架特征：

应该是属于flutter框架的。

在这个jadx的源码中我们没有发现任何线索，那么想办法逆向一下flutter框架。

利用 Flutter 框架开发的 app，打包后，会将代码打包成 so，而且会将接口请求添加证书校验，防止中间人攻击，普通方法是抓不到包的。无形中增加了逆向的难度，说句题外话，用 Flutter 框架开发，不仅可以跨平台，还增加了安全性👍。 Flutter 框架开发的项目，打包后会生成两个 so，分别是 libapp.so和 libflutter.so，前者是业务相关的，后者是 Flutter 引擎用到的。用 IDA 打开libapp.so，会发现函数名都被混淆了，这时就要借助开源框架Blutter来还原混淆的函数名了。

https://github.com/worawit/blutter

好像只有linux能成功，那么我们放vps上试试

git clone https://github.com/worawit/blutter --depth=1

apt install python3-pyelftools python3-requests git cmake ninja-build \
    build-essential pkg-config libicu-dev libcapstone-dev
    
python3 blutter.py /root/arm64-v8a/ out_dir

获得out_dir后，打开libapp.so后运行输出文件夹中的IDApython脚本ida_script/addNames.py,符号就被全部恢复出来啦

去看一下跑出来的 asm 那个文件夹，liekai 里面有一个 screens 文件夹，里面有一个 dart 写的 black_overlay.dart，这个就是和黑色幕布相关的东西。

pgs比武专用

T12

监听工具检测到多少分贝开始录音？[标准格式：30]

打开工具后它会显示一秒，趁机给他截个屏！

T13

监听工具录音连续几秒没有检测到声音停止录音？[标准格式：3]

T14

监听工具保存文件存储路径的数据库名称是？

1	recordings.db

T15

监听工具保存录像文件的文件夹是？

保存的录像文件，应该是在storage文件夹下，我们跟进去找一下发现recording。

recording

T16

监听工具数据库中保存音视频文件的路径使用什么加密？[标准格式：Rsa]

对应上了

Salsa20

T17

录音的文件采用什么加密方式？[标准格式：RC4-123]

录音文件，我们可以根据英文翻译来找相关的函数

AES，那么是哪种AES呢？跟进看看

密钥长度32位，那就是AES-256

AES-256

T18

录像文件加密秘钥的最后一位是？[标准格式：0x6A]

录像文件，那就是video

0x9A

T19

原始文件md5为3b4d****55ae的创建时间是？[标准格式：2024-2-14-16:32:8]

不会。

计算机

T1

分析贾韦码计算机检材，计算机系统Build版本为？[标准格式：19000]

T2

计算机最后一次正常关机的时间为？UTC +0 [标准格式：2025-05-06 09:00:00]

注意检材的时区是 UTC+8，答案要求 UTC+0，需要减去 8 小时。

1	2025-04-18 3:20:54

T3

计算机网卡的MAC地址为？[标准格式：00-0B-00-A0-00-00]

1	00-0C-29-0F-69-00

T4

计算机用户“贾韦码” 安全标识符SID为？[标准格式：S-X-X-X-X-X-X-X]

1	S-1-5-21-3733482367-3411043098-2536183883-1001

T5

计算机默认浏览器为？[标准格式：Mozilla Firefox]

1	Google Chrome

T6

计算机默认浏览器版本为？[标准格式：000.0.0000.00]

1	135.0.7049.96

T7

机主通过浏览器搜索国外社交软件为？[标准格式：Whatsapp]

Telegram

T8

机主的邮箱账号为？[标准格式：pgscup@pgs.com]

1	tqmdavidjohnson300@gmail.com

T9

计算机装过一款反取证软件为？[标准格式：EnCrypt.exe]

1	VeraCrypt.exe

T10

计算机通过Xshell远程连接的ip地址为？[标准格式：127.0.0.1]

1	192.168.56.129

T11

机主曾买过一个美国的TG账号，请给该账号的原两步验证密码？[标准格式：8位数字]

13770603

T12

给出其电脑内加密容器的解密密码？[标准格式：Abc@123]

确实是存在加密容器的

记得之前VR场景的纸条吗？有容器以及vmx加密规则

用passwareKit爆破一下？

这个爆破速度有点破防。。。

感觉是因为我的笔记本电脑太垃圾了。。。。。。生气！！

直接给出密码吧

1	Pgs8521d3j

T13

给出其电脑内加密容器挂载的盘符？[标准格式：C]

仿真后我们是知道文件系统只有C盘的，而这里存在F盘的访问路径，那么加密容器挂载的就是F盘

T14

给出其电脑内存放了多少张伪造身份证？[标准格式：10]

先挂载加密容器，发现里面的output文件夹其实就是伪造的身份证。

原以为是1024，但是最后一个是一个excel表，因此就是1023张。

T15

找出任敏的身份证编号？[标准格式：18位]

1	430529195112085460

T16

找出其电脑内存放的密钥文件，计算其MD5? [标准格式：字母小写]

发现了一个可疑的文件，但是找不到源文件。源文件是一个快捷方式。。

尝试在火眼爆搜，但是搜不出来。那么用xways搜一下？直接爆搜十六进制文件头

1	526172211A070100

1	1022cc083a4a5a9e2036065e2822c48e

T17

找出其电脑内存放的密钥文件，解密此密钥文件，给出其内容？[标准格式：第3届pgscup]

一眼base64

1	zfs加密pool密钥文件

T18

对macOS系统进行解析，登陆的电子邮件服务是谁提供的？[标准格式:pgscup]

Outlook

T19

系统备忘录的包名是什么？[标准格式:com.dfefef.note]

1	com.apple.Notes

T20

图片中隐藏的内容是什么？[标准格式：隐藏内容厨子戏子痞子]

密语规则中有一个png图片，不出意外就是隐写了一些东西。

red plane0通道有一个二维码

解码后如下：

1	位移加密正向位移操作

T21

被加密文件的扩展名是什么？[标准格式：123]

存在一个文件加密器app和一个资料文件，一眼加密过的

enc

T22

被加密的文件总共有几个？[标准格式：5]

应该只有一个，其他不是，因为这个加密的话是在整个文件名（包括后缀）后加上.enc的。

T23

贾韦码家使用的智能门锁品牌型号是什么？[标准格式：小米X号]

这应该是需要解密jwm的资料了。我们可以先看苹果应用取证。

文件加密的逻辑如下：

def encrypt_file(self, input_file, output_file=None):
    if not output_file:
        output_file = input_file + '.enc'
    try:
        cipher = AES.new(self.enhanced_key, AES.MODE_CBC)
        iv = cipher.iv
        with open(input_file, 'rb') as f:
            file_data = f.read()
        padded_data = self.pad_data(file_data)
        encrypted_data = cipher.encrypt(padded_data)
        with open(output_file, 'wb') as f:
            f.write(iv + encrypted_data)
        return (True, output_file)
    except Exception as e:
        return (False, str(e))

我们不知道enhanced_key是什么，尝试直接在加密的时候输出它。

iv为文件的前 16 个字节，接下来用cyberchef解密

1 2	a78ea9f73a9d69af44e014943ed38dd1 2cd7460b2f7fd3c26c86c81a9adc27ca

金刚Ⅲ号

苹果应用取证

T1

对mac电脑中的加密程序进行分析，使用了一个特定的数作为密钥生成的种子，请问这个数是什么？[标准格式：1234]

尝试直接运行该加密程序的gui

找到这个模块，反编译后导入即可。

1	pycdc.exe C:\Users\TY\Desktop\encrypt_deobfuscated.pyc -o encrypt_deobfuscated.py

我们先找一下这段加密的逻辑，这个缺失的模块就很像。

T2

分析文件头部元素并确定它们的正确顺序。将字段名称按顺序连接并提交？[标准格式：字段1_字段2_字段3…]

这时，我发现在pycdc反编译出来的py文件中是没有这个答案的，答案是部分缺失的。

接下来用pylingual在线网站进行反编译。

# Decompiled with PyLingual (https://pylingual.io)
# Internal filename: encrypt_deobfuscated.pyc
# Bytecode version: 3.8.0rc1+ (3413)
# Source timestamp: 2025-04-17 01:58:27 UTC (1744855107)

import os
import sys
import tkinter as tk
from tkinter import filedialog, messagebox
from Crypto.Cipher import AES
import base64
import hashlib
import time
import random

class EncryptionTool:

    def __init__(self):
        self._generate_key()

    def _generate_key(self):
        seed_values = [(19, 7, 83), (5, 31, 69), (13, 11, 86), (41, 3, 76), (2, 57, 55), (23, 5, 96), (17, 13, 58), (29, 7, 94), (11, 19, 102), (7, 17, 42), (43, 3, 48), (37, 11, 51), (3, 43, 52), (59, 7, 53), (47, 5, 54)]
        key_parts = []
        for a, b, base in seed_values:
            val = (a * b % 60 + base) % 256
            if val % 2 == 0:
                val = (val + 13) % 256
            else:
                val = (val + 7) % 256
            key_parts.append(chr(val))
        scrambled = []
        indices = [3, 7, 2, 12, 0, 11, 5, 14, 9, 1, 6, 4, 10, 8, 13]
        for idx in indices:
            scrambled.append(key_parts[idx])
        raw_key = ''.join(scrambled)
        timestamp = int(time.time()) % 1000
        random_val = random.randint(1, 255)
        entropy = chr(timestamp % 256) + chr(random_val)
        temp_key = hashlib.sha256((raw_key + entropy).encode()).digest()
        self._descramble_key(temp_key)

    def _descramble_key(self, temp_key):
        mixed_base = b''.join([bytes([b ^ 42]) for b in temp_key[:10]])
        actual_key = 'SecureKey123456'
        self.enhanced_key = self.enhance_key(actual_key)

    def enhance_key(self, key):
        round1 = self._add_salt(key)
        round2 = self._ascii_transform(round1)
        round3 = self._xor_transform(round2)
        round4 = round3[::-1]
        final_key = hashlib.md5(round4.encode()).digest()
        return final_key

    def _add_salt(self, key):
        salt_components = ['salt', '_', 'value']
        return key + ''.join(salt_components)

    def _ascii_transform(self, text):
        result = ''
        for i in range(len(text)):
            ascii_val = ord(text[i])
            if i % 3 == 0:
                result += chr((ascii_val + 7) % 256)
            elif i % 3 == 1:
                result += chr((ascii_val ^ 15) % 256)
            else:
                result += chr(ascii_val * 5 % 256)
        return result

    def _xor_transform(self, text):
        xor_keys = ['XorKey123456789', 'AnotherKey987654']
        result = text
        for xor_key in xor_keys:
            temp = ''
            for i in range(len(result)):
                temp += chr(ord(result[i]) ^ ord(xor_key[i % len(xor_key)]))
            result = temp
        return result

    def pad_data(self, data):
        block_size = AES.block_size
        padding_length = block_size - len(data) % block_size
        padding = bytes([padding_length]) * padding_length
        return data + padding

    def unpad_data(self, data):
        padding_length = data[-1]
        return data[:-padding_length]

    def encrypt_file(self, input_file, output_file=None):
        if not output_file:
            output_file = input_file + '.enc'
        try:
            cipher = AES.new(self.enhanced_key, AES.MODE_CBC)
            iv = cipher.iv
            with open(input_file, 'rb') as f:
                file_data = f.read()
            padded_data = self.pad_data(file_data)
            encrypted_data = cipher.encrypt(padded_data)
            with open(output_file, 'wb') as f:
                f.write(iv + encrypted_data)
            return (True, output_file)
        except Exception as e:
            return (False, str(e))

class EncryptionGUI:

    def __init__(self, root):
        self.root = root
        self.root.title('File Encryption Tool')
        self.root.geometry('500x300')
        self.root.resizable(False, False)
        self.encryptor = EncryptionTool()
        self.setup_ui()

    def setup_ui(self):
        file_frame = tk.Frame(self.root, pady=20)
        file_frame.pack(fill='x')
        tk.Label(file_frame, text='Select File to Encrypt:').pack(side='left', padx=10)
        self.file_path = tk.StringVar()
        tk.Entry(file_frame, textvariable=self.file_path, width=30).pack(side='left', padx=5)
        tk.Button(file_frame, text='Browse', command=self.browse_file).pack(side='left', padx=5)
        action_frame = tk.Frame(self.root, pady=20)
        action_frame.pack()
        tk.Button(action_frame, text='Encrypt File', command=self.encrypt_file, bg='#4CAF50', fg='white', width=15, height=2).pack(pady=10)
        status_frame = tk.Frame(self.root, pady=10)
        status_frame.pack(fill='x')
        self.status_var = tk.StringVar()
        self.status_var.set('Ready')
        tk.Label(status_frame, textvariable=self.status_var, bd=1, relief=tk.SUNKEN, anchor=tk.W).pack(fill='x', padx=10)

    def browse_file(self):
        filename = filedialog.askopenfilename(title='Select File to Encrypt')
        if filename:
            self.file_path.set(filename)

    def encrypt_file(self):
        file_path = self.file_path.get()
        if not file_path:
            messagebox.showerror('Error', 'Please select a file first!')
            return
        self.status_var.set('Encrypting...')
        self.root.update()
        success, result = self.encryptor.encrypt_file(file_path)
        if success:
            self.status_var.set(f'Encryption complete! Output: {result}')
            messagebox.showinfo('Success', f'File encrypted successfully!\nOutput: {result}')
        else:
            self.status_var.set(f'Encryption failed: {result}')
            messagebox.showerror('Error', f'Encryption failed: {result}')

def main():
    root = tk.Tk()
    app = EncryptionGUI(root)
    root.mainloop()
if __name__ == '__main__':
    main()