İPUCU

Capture The Flag Vulnerable VM Walkthrough & Capture The Flag Writeup Yazabileceğiniz Bölüm

Seçenekler

HackIstanbul 2019 Preselection Writeup

RTFM - ait Kullanıcı Resmi (Avatar)
Pentester
Üyelik tarihi:
04/2019
Mesajlar:
160
Konular:
38
Teşekkür (Etti):
55
Teşekkür (Aldı):
129
Ticaret:
(0) %
3 Hafta önce
#1
HackIstanbul 2019 Preselection Writeup
Herkese selamlar. "TurkPwnTeam" olarak katıldığımız" HackIstanbul CTF Preselection" yani ön eleme aşamasında 20 soru içerisinde 15 soruyu doğru cevaplayarak güzel bir giriş yaptık. CTF içerisinde yaşanan aksiliklere rağmen güzel bir 12 saat geçirdik, yarışmadan sonra ise bu soruların çözümlerini sizinle de paylaşmak istedik. Buradan başta ekip liderimiz @ch_arli41 olmak üzere, değerli ekip arkadaşlarım, @goodshepherd ve @Rhotav ' a Yarışma sırasında gösterdikleri yoğun çabalardan ötürü çok Teşekkür ederim.


Soru-1 : Find The Secret Flag | @goodshepherd
hint : "futureboy"





Basit bir soru , hintte de belirtildiği gibi resmi futureboy'a yüklediğimiz zaman ilk flagimiz ortaya çıkıyor : 1kn0w17551mpl3

Soru-2: Find the Secret Flag | @RTFM

Bu soru da bize bir .pcapng dosyası verilmiş ve her hangi bir hint bulunmamaktaydı. Dosyayı analiz için Wireshark ile açtığımızda KRB5 prokolü üzerinden yapılan bir trafik mevcuttu.



Dosya içerisinde çok fazla bir kayıt olmadığı için analizinin kolay olacağını düşünerek hızlı hızlı analiz etmeye başladık bir çok yerde geçen DENYDC.COM denedik ilk olarak ama yanlıştı, daha sonrasında 28 numaralı paket içerisinde bir comment olduğunu gördük.



Flag'e ulaşmıştık. Bir diğer yol ise dosyasın stringlerini de inceleyerek bulabilirdik.



Bir diğer yol ise, Burada ki adres üzerinde dosyası pcapng'den pcap dosyasına convert ederek value kısmında yine flag değerine ulaşabiliriz.




FLAG=easy_as_1_2_3



Soru-3 : Find The IP of Attacker | @goodshepherd
hint:"reverseshell"
Bu soruda bize dizinlerden birine reverse shell yüklenmiş bir "GreenCMS" uygulaması veriliyor ve bizden saldırıyı gerçekleştiren kişinin IP Adresini bulmamızı istiyor.Klasik web saldırılarını düşündüğümüz zaman ufak bir araştırmayla beraber saldırganın /Upload/ dizinine PHP diliyle yazılmış bir webshell atmış olduğunu görmekteyiz.İçini açıp okuduğumuz zaman flag yani saldırganın IP Adresini kolayca bulabiliyoruz
Flag=10.10.10.62









Soru-4: Hint("debug or nay") | Birlikte çözdük

Soruda python kodu verilerek sonuca gitmemiz istenmişti.Kodu direkt çalıştırdığımızda except ' e giderek bize "What did you expect a flag" diyordu.
Bu kod ile çözüldü :

https://paste.ubuntu.com/p/ZMBCntQH5y/

FLAG={tamagotchi}


Soru-5: `` | @Rhotav
Bunu ilk başta CrackMe zannetmiştik. Ancak öyle olmadığını Detect It Easy ile taratınca gördük.

İçerisini HxD programı ile açtıktan sonra karşımıza sha1 türünde olan bir hash çıktı.

https://hashtoolkit.com/reverse-hash/ Bu siteyi kullanarak flagı yakaladık.

Flag = flag{HelloIGotThflag3}
Soru-6: Find the Secret Flag | @RTFM



Soruda bize bir png dosyası verilmişti ve her hangi bir hint yoktu. İlk önce dosyasın file komutu ile png dosyası olduğunu kesinleştirdik. Ardından exif bilgilerine bakalım dedik.



Buradan bir şey çıkmadı. Daha sonrasında Burada bulunan online araç üzerinde inceleme gerçekleştirdik ama buradan da bir şey elde edemedik.



Araştırmalarımız sonunda açık kaynak bir png&bmp analiz aracı bulduk. Araca Buradan ulaşabilirsiniz. Dosyayı bu araç ile analiz ettiğimizde ise flag çıkmış olacaktı.



FLAG=flag{h-19}

Soru-7 : Find the Secret Flag | @goodshepherd

Bu soruda bize birtakım anlamsız karakterler verilmiş.Hemen bakıyoruz :
..... ..... ..... .!?!! .?... ..... ..... ...?. ?!.?. ..... ..... ..... ..... ..... ..!.. ..... ..... .!.?. ..... .!?!! .?!!! !!!?. ?!.?! !!!!. ..... ..... ..!.. .!.!! !!!!! .?... ....! ?!!.? ..... .?.?! .?... ..... !.?.. ..... !?!!. ?!!!! !!?.? !.?!! !!!!! !!.?.

"Ook cipher" (Ook şifrelemesi) 'ni tespit ettikten sonra şifreyi çözüyoruz -> https://www.dcode.fr/ook-language
Kod:
NTIOPMZM
Yine birtakım anlamsız harfler çıkıyor.Farklı şifreleme yöntemleri denedikten sonra "Ceazar Cipher" olduğuna kanaat getiriyoruz
ve flagimiz ortaya çıkıyor

Flag=FLAGHERE


Soru-8 : aHR0cHM6Ly9pbWd1ci5jb20vYS90UkJCaDFF | @goodshepherd
Hint : .fr

Bu soruda sadece B64 ile encodelanmış bir imgur linki buluyoruz.
Linke gittiğimizde birtakım dans eden adamlar görüyoruz .







Hint'ide baz alarak araştırdığımız zaman :
https://www.dcode.fr/dancing-men-cipher
Buradan çözdüğümüzde flag bize "dancewithme" olarak dönüyor.

Flag=dancewithme


Soru-9 `` | @Rhotav
hint:"Rockyo"
Bu soruda bize verilen ek dosya bir zip dosyasıydı ancak şifreliydi.
"Rockyou" kelimesini google üzerinde arattıktan sonra aldığımız sonuç 133MB bir wordlist frackzip üzerinde rockyou txt'sini açtığımız zaman aldığımız sonuç :


İçerisinden çıkan queen.mp3 ses dosyasının stringlerine baktığımızda aldığımız sonuç :





Soru-11: meim.jpg | @goodshepherd
Yine bir stego sorusu ile karşılaşıyoruz ve bilinen toollar ile resim içerisinde flag aramaya başlıyoruz ancak çabalarımız sonuçsuz kalıyor.Parola korumalı olduğunu anladığımız resme bruteforce saldırısı düzenliyoruz ancak yinede sonuç alamıyoruz.CTF nin bitmesine yakın "hackistanbul" parolasını rastgele deneyerek flag'e erişim sağlıyoruz.Soru kalitesi tartışılır.

Flag : {G00dAndW3lcomeToHa3kIstanbul}

Soru-13:Find the Secret Flag | @goodshepherd
Tersten verilmiş hex leri çevire çevire B64 lere ulaşıyoruz ve birtakım decode işlemleri sonucunda flag'e ulaşıyoruz









Flag : {its_something}


Soru-18: Flag1 | @RTFM

Bu soruda indirdiğimiz dosyası file komut ile incelediğimiz zaman bir ELF dosyası olduğunu gördük. Daha sonrasında stringlere baktığımızda işimize yarar her hangi bir şey çıkmadı.



Dosyayı IDA ile açtığımızda sol tarafta bulunan fonksiyonlardan heyMan ve DumpMe fonksiyonları dikkatimi çekmişti hemen.



En son aklıma gelebilecek yer olan comment üzerinde yukarıdan aşağıya doğru yazılmıştı flag.




FLAG = {GettingTheFlagIsNotcool}



Soru-19: Flag2 | @RTFM

Bu soruda yine dosyanın ELF dosyası olduğunu anladık ve string vs hiç bir şeyle uğraşmadan direkt olarak IDA ile analiz etmeye başladık.



Bir önceki soruyla aynı formatta olduğunu sol taraftaki fonksiyonlarda yine heyMan ve DumpMe isimlerini görmemiz yetmişti. heyMan fonksiyonuna giderek yine comment satırında yukarıdan aşağıya doğru yazılmış flag'i bulmuş olduk.



Puanlarına göre oldukça basit 2 soruydu bunlar.

FLAG = {lIKtotryhArderIAmCo0ool}


Soru-20 Find the Secret Flag | @RTFM

Bu soruda bize bir pcap dosyası verildi. İlk olarak WireShark ile analiz etmek için dosyayı açtık.



Biraz incelendiğinde TCP akışları göze çarpıyor aslında SMPT üzerinden geçen mailler görülüyor. Burada çok fazla bir prokocol olmadığı için TCP stream'leri follow ettiğimiz zaman biraz aşağıda flag çıkacaktı.



Bir diğer yol ise stringlerine bakıldığında ise yine flag çıkmış olacaktı.



FLAG = flag-hack-istanbul-ctf


---------------------
Vatan ne Türkiye'dir Türklere ne Türkistan/Vatan, büyük ve müebbet bir ülkedir Türklere Turan
Konu RTFM tarafından ( 3 Hafta önce Saat 20:18 ) değiştirilmiştir.
'Adige - ait Kullanıcı Resmi (Avatar)
Kulüpler Genel Sorumlusu
Üyelik tarihi:
10/2012
Nereden:
Secure Shell
Yaş:
25
Mesajlar:
8.430
Konular:
530
Teşekkür (Etti):
770
Teşekkür (Aldı):
1074
Ticaret:
(0) %
3 Hafta önce
#2
Güzel paylaşım için teşekkürler emeğinize sağlık
---------------------
"Kendinizi geliştirmeye o kadar çok zaman harcayın ki Başkalarının yaptıklarıyla ilgilenmeye ve onları eleştirmeye vaktiniz olmasın"
Rhotav, RTFM, goodshepherd, Mstrach04 Teşekkür etti.
H A
H A - ait Kullanıcı Resmi (Avatar)
Tamamen Forumdan Uzaklaştırıldı
Üyelik tarihi:
07/2019
Nereden:
Bug
Yaş:
17
Mesajlar:
385
Konular:
15
Teşekkür (Etti):
0
Teşekkür (Aldı):
158
Ticaret:
(0) %
3 Hafta önce
#3
İnşallah dereceye girmeniz dileğiyle.
goodshepherd, Rhotav, RTFM Teşekkür etti.
cewl - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2017
Nereden:
Merdekan
Yaş:
24
Mesajlar:
2.768
Konular:
178
Teşekkür (Etti):
0
Teşekkür (Aldı):
756
Ticaret:
(0) %
3 Hafta önce
#4
cok guzel isler cikarmissiniz Masallah (:
Rhotav, RTFM Teşekkür etti.
AhmetKaan46 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
02/2019
Nereden:
Türkiye
Yaş:
25
Mesajlar:
467
Konular:
115
Teşekkür (Etti):
84
Teşekkür (Aldı):
121
Ticaret:
(0) %
3 Hafta önce
#5
ThT Nin Gücü Adına 💪
---------------------
Taktir Ediliyorsan Degil, Taklit Ediliyorsan Başarmıssın Demektir
Rhotav, RTFM Teşekkür etti.
The CrueL - ait Kullanıcı Resmi (Avatar)
Sosyal Medya Tim Lider Yardımcısı
Üyelik tarihi:
09/2013
Nereden:
Ahıska
Mesajlar:
4.313
Konular:
252
Teşekkür (Etti):
3958
Teşekkür (Aldı):
2217
Ticaret:
(0) %
3 Hafta önce
#6
Ellerinize emeğinize sağlık arkadaşlar. Tebrikler..
---------------------

Bize yalnız dans etmesini, iyi giyinmesini, kur yapmasını ve aşık olmasını bilen gencin lüzumu yoktur.
Bize bugün mesleğinde usanmadan çalışacak, yarın hudutta göz kırpmadan ölebilecek genç lazımdır.
Bize bir gençlik lazımdır. Temelinde cehalet, duvarlarında riya, tavanlarında dalkavukluk bulunmasın.


Rhotav, RTFM Teşekkür etti.
Hé-ll - ait Kullanıcı Resmi (Avatar)
Moderatör
Üyelik tarihi:
09/2018
Nereden:
Darkness
Mesajlar:
1.895
Konular:
333
Teşekkür (Etti):
602
Teşekkür (Aldı):
290
Ticaret:
(0) %
3 Hafta önce
#7
Harika bir iş, elinize kolunuza sağlık, 20 soru içinde 15 çok güzel bir rakam, full çekmeniz dileklerimle... Tebrikler.
---------------------
PALA
Liserjik
"Ben bir Türk'üm, dinim cinsim uludur!..."
Stajyer Asistan Kulübü



Rhotav, RTFM Teşekkür etti.
Topal Timur - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2019
Mesajlar:
47
Konular:
10
Teşekkür (Etti):
58
Teşekkür (Aldı):
5
Ticaret:
(0) %
3 Hafta önce
#8
nerede olacak 3. HAVA LİMANI MI ? ... : )
"PurpposoLes - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
09/2016
Nereden:
DataBase
Mesajlar:
3.261
Konular:
264
Teşekkür (Etti):
915
Teşekkür (Aldı):
1071
Ticaret:
(0) %
3 Hafta önce
#9
Alıntı:
Topal Timur´isimli üyeden Alıntı Mesajı göster
nerede olacak 3. HAVA LİMANI MI ? ... : )
Atatürk Havalimanı.
---------------------
ɱყ ŋąɱɛ ıʂ "℘ųཞ℘℘ơʂơƖɛʂ
ı'ɱ ą ცƖąƈƙ ɧąɬ

Öʅüɱʂüȥ αşƙʅαɾ ʋαɾԃα, öʅɱҽყҽɳ αşıƙ ʋαɾ ɱı?

єѕкι αηкα тιмι αѕιѕтαηı..

@the_purpp
HydraThalles, Mstrach04 Teşekkür etti.
DeneyimsizDenek - ait Kullanıcı Resmi (Avatar)
İstihbarat Ekibi Co-Admin
Üyelik tarihi:
02/2011
Nereden:
Gökyüzü
Yaş:
29
Mesajlar:
12.127
Konular:
2306
Teşekkür (Etti):
2190
Teşekkür (Aldı):
8465
Ticaret:
(0) %
3 Hafta önce
#10
Arkadaşlar tekrar tebrikler. 20'de 15 güzel. Writeup yazdığınız da iyi olmuş. Ancak sizden ricam, biraz daha açıklayıcı ve tane tane yazmaya çalışın. Bir de filigran olarak THT logoları görsellere atmışsınız ama görseller anlaşılmaz hale gelmiş. Şunu belli belirsiz hale getirseniz daha güzel olur. Bazı soruları hiç okuyamadım. Fotoğraf analizine logoyu koymayın ki daha net algılayabilelim. İstisna olabilirdi onda. Bu iki detaya dikkat ederseniz çok güzel olur. Elinize sağlık.
---------------------

ATATÜRK'LE KALIN...

CUMHURİYETLE KALIN...
SAĞLICAKLA KALIN...



BLOGUMA GİTMEK İÇİN TIKLA!
info@caglar-celik.com
Twitter : @ddenekk


Rhotav, goodshepherd, RTFM Teşekkür etti.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı