​
首先对这次初赛发表一下自己的看法：
感觉这次的蓝帽杯出题说实话跟五月份盘古石杯的出题思路差不多QAQ（指的是答案抽象程度等，但是有些题目还是出的挺好的）
由于本人的其他两位队友比赛时都有事情在忙，答题时间比较短，所以基本算是本人一个人打出来的（当然不是说队友没打，他们做出来好几道正确答案捏QAQ）
还有就是，半决赛去不了了wuwuwu~

接下来就进入复盘吧

com.vestas.app

0x563b45ca

2147483647

反编译后使用jadx查看源码中AndroidManifest.xml文件查找DCLOUD_AD_ID即可!

https://vip.licai.com
抓包查看，去掉端口即可

io.dcloud.PandoraEntry
主入口就是主activity

雷电模拟器
看日志文件

与你

com.uneed.yuni

5万

华哥

23f861b2e9c5ce9135afc520cbd849677522f54c

pgs

http://global.bing.com/?scope=web&mkt=en-US&FORM=QBRE
仿真起来直接打开IE看

yang88/3w.qax.com

2023春季更新(14309)
仿真起来看

24cfcfdf1fa894244f904067838e7e01e28ff450
在这个E01镜像里面是查不到这个文件的

去仿真看一下，发现D盘有个disk.img的镜像，于是取证软件导出

跑出来发现确有该文件，计算即可

3w.qax.com!!@@
搜密码就出来个txt，就出来了QAQ

3261

user/panguite.com
在这个界面里面可以看到用户名是user

但是密码是不知道的，于是想到去找配置文件去。很巧在C:Program FilesStarWind SoftwareStarWind目录下找到了StarWind.cfg这个文件，肯定是配置文件了，打开搜索user即可

1019
对刚找到的disk.img镜像分析，发现里面有一个2G大小的txt文档，打开发现为乱码，结合上面题目找VC容器密码，判断其为VC容器，密码即为17题答案，发现正确，打开发现提现记录.xlsx文件。

2023-06-21 01:02:27
imageinfo命令（volatility）

3w.qax.com
弘连有

2023-06-21 01:01:25

aad3b435b51404eeaad3b435b51404ee
hashdump命令，显示的第一个哈希值是LMHASH,第二个是HTLMHASH

2023-06-21 00:29:16
mftparser命令

2023-06-21 00:47:41
pslist命令

2
火眼直接看

2456
还是pslist命令（前面一个是pid，后面是ppid）

3.10.0-957.el7.x86_64

ff1d923939ca2dcf
已知该服务器使用宝塔搭建网站，登录宝塔查看配置文件去

pc-uf6mmj68r91f78hkj.rwlb.rds.aliyuncs.com
看宝塔面板日志即可

5.7.40
阿里调证文件夹里有个xb文件，使用notepad++打开查看最后显示日志名

69
这里需要我们重构网站哩
借用一下网上的做法
首先，我们要先还原数据库
参考文章：
https://blog.csdn.net/weixin_40230682/article/details/118703478

安装xtrabackup

使用xftp把.xb数据库传到服务器上，再

解压完后进入/www/server/data进行解压，进行下面操作的时候会报错，但是不要紧

修改mysql配置文件

重启MySQL服务

登录数据库，这里也可以发现版本是5.7.40，同时可以看到数据库被成功重构

这时候一定给网站添加现在的IP为域名（一开始只有下面两个！！！）

进入网站但是报错了

但是我们在分析计算机镜像时发现后台管理网址为
http://vip.licai.com:8083/AdminV9YY/Login
试一下在ip后面加AdminV9YY/Login，成功了

我们知道用户名为root，密码猜测123456，发现连不上，显示是没连接上数据库

于是继续更改.env文件，将数据库的DB_HOST改为localhost就可以连接上了，此时输入密码发现密码不正确

这时我们需要找到控制登录的文件，修改登录策略，这样任何密码都能进去
修改前：

修改后：

这样任何密码就都可以进去了

这里因为本人没注意要更改.env文件内容，重新仿真一次，虚拟机的IP有更改QAQ
这样就可以可视化数据查询了

admin
使用navicat连接数据库，查看到root是超级管理，但是admin是后台管理

与此同时后台账号管理发现admin是超级管理，所以应该是admin

4.00%

183.160.76.194

20

2
这里在后台不好显示，我们使用navicat连接数据库，发现viplicai数据库中的member表为会员表，使用SQL查询语句即可

其中bankaddress表示开卡行地址，amount指账户余额

128457.00
见33题图QAQ

17
文字游戏哈，受害人的上线就是嫌疑人，嫌疑人的ID为513935
构造SQL查询语句

其中inviter为推荐人即上线，而且字段设定为int不是char或者varchar

60
SQL语句查询，下线>2就是推荐人ID>2，使用SQL语句查询即可

这里右下角有总计数，为60个

骆潇原
把上面查询进行倒序排序，发现ID为617624的人有最多的22个下线
使用SQL语句查询即可

这里invicode为本人ID

15,078,796.38
计算哩QAQ，但是不是完全的计算。因为数据库里面的moneylog表记录着网站每一笔收入和支出。收入的话money_status这一列的值就为“+”，反之即为“-”。

那就SQL语句继续查询吧

    以上就是本篇文章【2023蓝帽杯初赛--取证部分】的全部内容了，欢迎阅览 ！ 文章地址：http://dfvalve.xrbh.cn/news/7745.html 
     资讯      企业新闻      行情      企业黄页      同类资讯      首页      网站地图      返回首页 迅博思语资讯移动站 http://keant.xrbh.cn/ , 查看更多