Herkese selamlar. "TurkPwnTeam" olarak katıldığımız" HackIstanbul CTF Preselection" yani ön eleme aşamasında 20 soru içerisinde 15 soruyu doğru cevaplayarak güzel bir giriş yaptık. CTF içerisinde yaşanan aksiliklere rağmen güzel bir 12 saat geçirdik, yarışmadan sonra ise bu soruların çözümlerini sizinle de paylaşmak istedik. Buradan başta ekip liderimiz @ch_arli41 olmak üzere, değerli ekip arkadaşlarım, @goodshepherd ve @Rhotav ' a Yarışma sırasında gösterdikleri yoğun çabalardan ötürü çok Teşekkür ederim.
Soru-1 : Find The Secret Flag | @goodshepherd hint : "futureboy"
Basit bir soru , hintte de belirtildiği gibi resmi futureboy'a yüklediğimiz zaman ilk flagimiz ortaya çıkıyor : 1kn0w17551mpl3
Bu soru da bize bir .pcapng dosyası verilmiş ve her hangi bir hint bulunmamaktaydı. Dosyayı analiz için Wireshark ile açtığımızda KRB5 prokolü üzerinden yapılan bir trafik mevcuttu.
Dosya içerisinde çok fazla bir kayıt olmadığı için analizinin kolay olacağını düşünerek hızlı hızlı analiz etmeye başladık bir çok yerde geçen DENYDC.COM denedik ilk olarak ama yanlıştı, daha sonrasında 28 numaralı paket içerisinde bir comment olduğunu gördük.
Flag'e ulaşmıştık. Bir diğer yol ise dosyasın stringlerini de inceleyerek bulabilirdik.
Bir diğer yol ise, Burada ki adres üzerinde dosyası pcapng'den pcap dosyasına convert ederek value kısmında yine flag değerine ulaşabiliriz.
FLAG=easy_as_1_2_3
Soru-3 : Find The IP of Attacker | @goodshepherd hint:"reverseshell" Bu soruda bize dizinlerden birine reverse shell yüklenmiş bir "GreenCMS" uygulaması veriliyor ve bizden saldırıyı gerçekleştiren kişinin IP Adresini bulmamızı istiyor.Klasik web saldırılarını düşündüğümüz zaman ufak bir araştırmayla beraber saldırganın /Upload/ dizinine PHP diliyle yazılmış bir webshell atmış olduğunu görmekteyiz.İçini açıp okuduğumuz zaman flag yani saldırganın IP Adresini kolayca bulabiliyoruz Flag=10.10.10.62
Soru-4: Hint("debug or nay") | Birlikte çözdük
Soruda python kodu verilerek sonuca gitmemiz istenmişti.Kodu direkt çalıştırdığımızda except ' e giderek bize "What did you expect a flag" diyordu. Bu kod ile çözüldü :
Soru-5: `` | @Rhotav Bunu ilk başta CrackMe zannetmiştik. Ancak öyle olmadığını Detect It Easy ile taratınca gördük. İçerisini HxD programı ile açtıktan sonra karşımıza sha1 türünde olan bir hash çıktı. https://hashtoolkit.com/reverse-hash/ Bu siteyi kullanarak flagı yakaladık. Flag = flag{HelloIGotThflag3} Soru-6: Find the Secret Flag | @RTFM
Soruda bize bir png dosyası verilmişti ve her hangi bir hint yoktu. İlk önce dosyasın file komutu ile png dosyası olduğunu kesinleştirdik. Ardından exif bilgilerine bakalım dedik.
Buradan bir şey çıkmadı. Daha sonrasında Burada bulunan online araç üzerinde inceleme gerçekleştirdik ama buradan da bir şey elde edemedik.
Araştırmalarımız sonunda açık kaynak bir png&bmp analiz aracı bulduk. Araca Buradan ulaşabilirsiniz. Dosyayı bu araç ile analiz ettiğimizde ise flag çıkmış olacaktı.
Yine birtakım anlamsız harfler çıkıyor.Farklı şifreleme yöntemleri denedikten sonra "Ceazar Cipher" olduğuna kanaat getiriyoruz
ve flagimiz ortaya çıkıyor
Flag=FLAGHERE
Soru-8 : aHR0cHM6Ly9pbWd1ci5jb20vYS90UkJCaDFF | @goodshepherd Hint : .fr
Bu soruda sadece B64 ile encodelanmış bir imgur linki buluyoruz. Linke gittiğimizde birtakım dans eden adamlar görüyoruz .
Hint'ide baz alarak araştırdığımız zaman : https://www.dcode.fr/dancing-men-cipher
Buradan çözdüğümüzde flag bize "dancewithme" olarak dönüyor. Flag=dancewithme
Soru-9 `` | @Rhotav hint:"Rockyo" Bu soruda bize verilen ek dosya bir zip dosyasıydı ancak şifreliydi. "Rockyou" kelimesini google üzerinde arattıktan sonra aldığımız sonuç 133MB bir wordlist frackzip üzerinde rockyou txt'sini açtığımız zaman aldığımız sonuç :
İçerisinden çıkan queen.mp3 ses dosyasının stringlerine baktığımızda aldığımız sonuç :
Soru-11: meim.jpg | @goodshepherd Yine bir stego sorusu ile karşılaşıyoruz ve bilinen toollar ile resim içerisinde flag aramaya başlıyoruz ancak çabalarımız sonuçsuz kalıyor.Parola korumalı olduğunu anladığımız resme bruteforce saldırısı düzenliyoruz ancak yinede sonuç alamıyoruz.CTF nin bitmesine yakın "hackistanbul" parolasını rastgele deneyerek flag'e erişim sağlıyoruz.Soru kalitesi tartışılır.
Flag : {G00dAndW3lcomeToHa3kIstanbul}
Soru-13:Find the Secret Flag | @goodshepherd Tersten verilmiş hex leri çevire çevire B64 lere ulaşıyoruz ve birtakım decode işlemleri sonucunda flag'e ulaşıyoruz
Bu soruda indirdiğimiz dosyası file komut ile incelediğimiz zaman bir ELF dosyası olduğunu gördük. Daha sonrasında stringlere baktığımızda işimize yarar her hangi bir şey çıkmadı.
Dosyayı IDA ile açtığımızda sol tarafta bulunan fonksiyonlardan heyMan ve DumpMe fonksiyonları dikkatimi çekmişti hemen.
En son aklıma gelebilecek yer olan comment üzerinde yukarıdan aşağıya doğru yazılmıştı flag.
Bu soruda yine dosyanın ELF dosyası olduğunu anladık ve string vs hiç bir şeyle uğraşmadan direkt olarak IDA ile analiz etmeye başladık.
Bir önceki soruyla aynı formatta olduğunu sol taraftaki fonksiyonlarda yine heyMan ve DumpMe isimlerini görmemiz yetmişti. heyMan fonksiyonuna giderek yine comment satırında yukarıdan aşağıya doğru yazılmış flag'i bulmuş olduk.
Bu soruda bize bir pcap dosyası verildi. İlk olarak WireShark ile analiz etmek için dosyayı açtık.
Biraz incelendiğinde TCP akışları göze çarpıyor aslında SMPT üzerinden geçen mailler görülüyor. Burada çok fazla bir prokocol olmadığı için TCP stream'leri follow ettiğimiz zaman biraz aşağıda flag çıkacaktı.
Bir diğer yol ise stringlerine bakıldığında ise yine flag çıkmış olacaktı.
FLAG = flag-hack-istanbul-ctf
---------------------
Vatan ne Türkiye'dir Türklere ne Türkistan/Vatan, büyük ve müebbet bir ülkedir Türklere Turan
Konu RTFM tarafından (25-08-2019 20:18 Saat 20:18 ) değiştirilmiştir.
Arkadaşlar tekrar tebrikler. 20'de 15 güzel. Writeup yazdığınız da iyi olmuş. Ancak sizden ricam, biraz daha açıklayıcı ve tane tane yazmaya çalışın. Bir de filigran olarak THT logoları görsellere atmışsınız ama görseller anlaşılmaz hale gelmiş. Şunu belli belirsiz hale getirseniz daha güzel olur. Bazı soruları hiç okuyamadım. Fotoğraf analizine logoyu koymayın ki daha net algılayabilelim. İstisna olabilirdi onda. Bu iki detaya dikkat ederseniz çok güzel olur. Elinize sağlık.