昨天做了一天也没做出来的取证。题目形式还是比较新颖,附件只提供了一个文件夹,推测是拷贝了系统过来。

比赛时的思路

主要讲比赛时我的想法,仅供参考

文件夹里的线索

粗略浏览文件夹可以发现存在phpstudyFirefoxmailixshellnotepad++等程序

一开始的时候我觉得最有疑点的是phpstudy,因为这肯定不是系统自带的,经过分析可以发现源码是织梦的cms

浏览器历史记录中的线索

但是根据取证软件,我们还是能分析到一些蛛丝马迹。比如IE的,众所周知,Windows系统预装的肯定是IE浏览器,如果需要使用其他浏览器也必须要通过IE浏览器下载,所以我们能看到在这里他下载了xshell等其他工具,还有访问了本地的源码

访问的127.0.0.1应该就是部署好的博客页面,可以看出他访问了如下页面

http://127.0.0.1/dede/a/Blog/2019/1130/4.html

得到的信息应该是AES或者DES

U2FsdGVkX1+z9Q5Yznug4MiYfkWZNHWTOt1nIUllLgNXSKQxIiF8zmWz2cdmmPxm
QkeQ/uF3INEXBZlhruUFJg==

其他有的页面是管理页面,不过不知道密码我进不去后台,听其他师傅说貌似是admin账户被置空了。修改数据库应该也可以,但是我没找到phpMyAdmin 的地址,所以没有获得密码。

查看Firefox的历史记录,我们除了垃圾新闻外可以找到一些有意义的网站,比如下图中高亮的

访问可以发现是一种emoji加密,但是这些加密是无法输入加密字符来直接进行解密的,只能使用官方分享的短链接。

https://mzl.la/37QeQ4v

点击decipher it可以进行消息解密,但是根据网站提示我们知道需要有一个emoji表情作为解密密钥,这里的密钥是🐉(纯粹是试出来的,但是你试到✌也可以解密出来,虽然字符的间距有点问题,这里不要搞错了)

不过官方正经的提示了一下密钥,在浏览记录中可以发现搜索🐉emoji的网页

https://emojipedia.org/dragon/

说回我们上面得到的短链接,通过在线短链接还原原始链接可以发现构造如下

https://codemoji.org/share.html?data=eyJtZXNzYWdlIjoi8J%2BamvCfjbfwn5qa8J%2BNt/CfjZ4g8J%2BPgPCfj4fwn5iGIPCfmIbwn46hIPCfj6vwn4238J%2BPgCDwn4%2Br8J%2BamvCfjbfwn5SW8J%2BRkSIsImtleSI6IvCfkIkifQ%3D%3D

先把链接进行url解码,然后再对data=后base64解密可得

所以可知,codemoji加密分享链接其实自带了密钥。通过这种方式也可以反向构造url实现任意codemoji解密。出题人可能是没有想到这一层,所以才提示了密钥。

需要注意的是,base64替换回url不能直接使用url编码,要手动把base64中的+换成%2b
——root师傅

电子邮件中的线索

可以得到几条codemoji分享的url,密钥都是🐉

https://mzl.la/37QeQ4v
#haha, now we can chat!
https://mzl.la/2L5ZfnD
#yeah, maybe... let me think ...
https://mzl.la/2svfAf5
#aha, this way is safe!Remember my real name!

划重点,最后一句提到的真名

但是从这一条开始,多了很多直接显示的emoji,前面提到了codemoji是不支持直接解密emoji的,而且我们发现,构造出的url也不能对这个进行解密,尝试了所有的key,都无法正确解密,所以推测这里不是codemoji加密了

codemoji爆破脚本

我们还可以找到另一种关于emoji的加密方式,emoji-aes

https://aghorler.github.io/emoji-aes/

但是也需要密钥,这个密钥不支持emoji输入,所以肯定不是🐉了

其他线索

我们可以发现一个sdcard文件夹,下面有一个.com.taobao.dp
如果使用过手机U盘或者SD卡的都知道,这个是安卓系统运行的缓存。
可惜比赛中我忽略了这个关键点。

比赛中我就完成到这一步

以上全部线索使用取证大师也可以获得,但是因为新版的取证大师莫名的在阅览邮件的时候会闪退,所以我这道题就没怎么使用。取证大师能够提供的线索会更多一点,比如win10时间轴之类的信息。

复现思路

前文提到了两个关键信息,一是真名,二是sdcard
以上两点我们能联想到什么?当然是手机通讯录
这里脑洞还是有点大,当时完全没联系到一起

手机通讯录文件是vcf格式

在电脑上查看编辑VCF通讯录-百度经验
在电脑上查看编辑VCF通讯录,手机通讯录联系人越来越多,从手机上整理比较慢,本文将介绍如何通过电脑端查看或编辑通讯录。

可以在通讯录找到对应的real name,因为这里只有这一个用户拥有邮箱信息,而且还是邮件中出现过的

这个软件用法自己看使用说明

所以密钥就是matachuan

使用上文提到的emoji-aes解密网站进行解密

GxD1r就是之前我们在博客中得到的AES的密钥

flag{3e5923d2-c31c-49cd-bfa3-e366a1a59c4d}