- 22 Nis 2019
- 174
- 8
Herkese selamlar. "TurkPwnTeam" olarak katıldığımız" HackIstanbul CTF Preselection" yani ön eleme aşamasında 20 soru içerisinde 15 soruyu doğru cevaplayarak güzel bir giriş yaptık. CTF içerisinde yaşanan aksiliklere rağmen güzel bir 12 saat geçirdik, yarışmadan sonra ise bu soruların çözümlerini sizinle de paylaşmak istedik. Buradan başta ekip liderimiz @ch_arli41 olmak üzere, değerli ekip arkadaşlarım, @goodshepherd ve @Rhotav ' a Yarışma sırasında gösterdikleri yoğun çabalardan ötürü çok Teşekkür ederim.
Soru-1 : Find The Secret Flag | goodshepherd
hint : "futureboy"
Basit bir soru , hintte de belirtildiği gibi resmi futureboy'a yüklediğimiz zaman ilk flagimiz ortaya çıkıyor : 1kn0w17551mpl3
Soru-2: Find the Secret Flag | RTFM
Bu soru da bize bir .pcapng dosyası verilmiş ve her hangi bir hint bulunmamaktaydı. Dosyayı analiz için Wireshark ile açtığımızda KRB5 prokolü üzerinden yapılan bir trafik mevcuttu.
Dosya içerisinde çok fazla bir kayıt olmadığı için analizinin kolay olacağını düşünerek hızlı hızlı analiz etmeye başladık bir çok yerde geçen DENYDC.COM denedik ilk olarak ama yanlıştı, daha sonrasında 28 numaralı paket içerisinde bir comment olduğunu gördük.
Flag'e ulaşmıştık. Bir diğer yol ise dosyasın stringlerini de inceleyerek bulabilirdik.
Bir diğer yol ise, Burada ki adres üzerinde dosyası pcapng'den pcap dosyasına convert ederek value kısmında yine flag değerine ulaşabiliriz.
FLAG=easy_as_1_2_3
Soru-3 : Find The IP of Attacker | goodshepherd
hint:"reverseshell"
Bu soruda bize dizinlerden birine reverse shell yüklenmiş bir "GreenCMS" uygulaması veriliyor ve bizden saldırıyı gerçekleştiren kişinin IP Adresini bulmamızı istiyor.Klasik web saldırılarını düşündüğümüz zaman ufak bir araştırmayla beraber saldırganın /Upload/ dizinine PHP diliyle yazılmış bir webshell atmış olduğunu görmekteyiz.İçini açıp okuduğumuz zaman flag yani saldırganın IP Adresini kolayca bulabiliyoruz
Flag=10.10.10.62
Soru-4: Hint("debug or nay") | Birlikte çözdük
Soruda python kodu verilerek sonuca gitmemiz istenmişti.Kodu direkt çalıştırdığımızda except ' e giderek bize "What did you expect a flag" diyordu.
Bu kod ile çözüldü :
https://paste.ubuntu.com/p/ZMBCntQH5y/
FLAG={tamagotchi}
Soru-5: `` | Rhotav
Bunu ilk başta CrackMe zannetmiştik. Ancak öyle olmadığını Detect It Easy ile taratınca gördük.
İçerisini HxD programı ile açtıktan sonra karşımıza sha1 türünde olan bir hash çıktı.
https://hashtoolkit.com/reverse-hash/ Bu siteyi kullanarak flagı yakaladık.
Flag = flag{HelloIGotThflag3}
Soru-6: Find the Secret Flag | RTFM
Soruda bize bir png dosyası verilmişti ve her hangi bir hint yoktu. İlk önce dosyasın file komutu ile png dosyası olduğunu kesinleştirdik. Ardından exif bilgilerine bakalım dedik.
Buradan bir şey çıkmadı. Daha sonrasında Burada bulunan online araç üzerinde inceleme gerçekleştirdik ama buradan da bir şey elde edemedik.
Araştırmalarımız sonunda açık kaynak bir png&bmp analiz aracı bulduk. Araca Buradan ulaşabilirsiniz. Dosyayı bu araç ile analiz ettiğimizde ise flag çıkmış olacaktı.
FLAG=flag{h-19}
Soru-7 : Find the Secret Flag | goodshepherd
Bu soruda bize birtakım anlamsız karakterler verilmiş.Hemen bakıyoruz :
..... ..... ..... .!?!! .?... ..... ..... ...?. ?!.?. ..... ..... ..... ..... ..... ..!.. ..... ..... .!.?. ..... .!?!! .?!!! !!!?. ?!.?! !!!!. ..... ..... ..!.. .!.!! !!!!! .?... ....! ?!!.? ..... .?.?! .?... ..... !.?.. ..... !?!!. ?!!!! !!?.? !.?!! !!!!! !!.?.
"Ook cipher" (Ook şifrelemesi) 'ni tespit ettikten sonra şifreyi çözüyoruz -> https://www.dcode.fr/ook-language
Yine birtakım anlamsız harfler çıkıyor.Farklı şifreleme yöntemleri denedikten sonra "Ceazar Cipher" olduğuna kanaat getiriyoruz
ve flagimiz ortaya çıkıyor
Flag=FLAGHERE
Soru-8 : aHR0cHM6Ly9pbWd1ci5jb20vYS90UkJCaDFF | goodshepherd
Hint : .fr
Bu soruda sadece B64 ile encodelanmış bir imgur linki buluyoruz.
Linke gittiğimizde birtakım dans eden adamlar görüyoruz .
Hint'ide baz alarak araştırdığımız zaman :
https://www.dcode.fr/dancing-men-cipher
Buradan çözdüğümüzde flag bize "dancewithme" olarak dönüyor.
Flag=dancewithme
Soru-9 `` | Rhotav
hint:"Rockyo"
Bu soruda bize verilen ek dosya bir zip dosyasıydı ancak şifreliydi.
"Rockyou" kelimesini google üzerinde arattıktan sonra aldığımız sonuç 133MB bir wordlist frackzip üzerinde rockyou txt'sini açtığımız zaman aldığımız sonuç :
İçerisinden çıkan queen.mp3 ses dosyasının stringlerine baktığımızda aldığımız sonuç :
Soru-11: meim.jpg | goodshepherd
Yine bir stego sorusu ile karşılaşıyoruz ve bilinen toollar ile resim içerisinde flag aramaya başlıyoruz ancak çabalarımız sonuçsuz kalıyor.Parola korumalı olduğunu anladığımız resme bruteforce saldırısı düzenliyoruz ancak yinede sonuç alamıyoruz.CTF nin bitmesine yakın "hackistanbul" parolasını rastgele deneyerek flag'e erişim sağlıyoruz.Soru kalitesi tartışılır.
Flag : {G00dAndW3lcomeToHa3kIstanbul}
Soru-13:Find the Secret Flag | goodshepherd
Tersten verilmiş hex leri çevire çevire B64 lere ulaşıyoruz ve birtakım decode işlemleri sonucunda flag'e ulaşıyoruz
Flag : {its_something}
Soru-18: Flag1 | RTFM
Bu soruda indirdiğimiz dosyası file komut ile incelediğimiz zaman bir ELF dosyası olduğunu gördük. Daha sonrasında stringlere baktığımızda işimize yarar her hangi bir şey çıkmadı.
Dosyayı IDA ile açtığımızda sol tarafta bulunan fonksiyonlardan heyMan ve DumpMe fonksiyonları dikkatimi çekmişti hemen.
En son aklıma gelebilecek yer olan comment üzerinde yukarıdan aşağıya doğru yazılmıştı flag.
FLAG = {GettingTheFlagIsNotcool}
Soru-19: Flag2 | RTFM
Bu soruda yine dosyanın ELF dosyası olduğunu anladık ve string vs hiç bir şeyle uğraşmadan direkt olarak IDA ile analiz etmeye başladık.
Bir önceki soruyla aynı formatta olduğunu sol taraftaki fonksiyonlarda yine heyMan ve DumpMe isimlerini görmemiz yetmişti. heyMan fonksiyonuna giderek yine comment satırında yukarıdan aşağıya doğru yazılmış flag'i bulmuş olduk.
Puanlarına göre oldukça basit 2 soruydu bunlar.
FLAG = {lIKtotryhArderIAmCo0ool}
Soru-20 Find the Secret Flag | RTFM
Bu soruda bize bir pcap dosyası verildi. İlk olarak WireShark ile analiz etmek için dosyayı açtık.
Biraz incelendiğinde TCP akışları göze çarpıyor aslında SMPT üzerinden geçen mailler görülüyor. Burada çok fazla bir prokocol olmadığı için TCP stream'leri follow ettiğimiz zaman biraz aşağıda flag çıkacaktı.
Bir diğer yol ise stringlerine bakıldığında ise yine flag çıkmış olacaktı.
FLAG = flag-hack-istanbul-ctf
Soru-1 : Find The Secret Flag | goodshepherd
hint : "futureboy"
Basit bir soru , hintte de belirtildiği gibi resmi futureboy'a yüklediğimiz zaman ilk flagimiz ortaya çıkıyor : 1kn0w17551mpl3
Soru-2: Find the Secret Flag | RTFM
Bu soru da bize bir .pcapng dosyası verilmiş ve her hangi bir hint bulunmamaktaydı. Dosyayı analiz için Wireshark ile açtığımızda KRB5 prokolü üzerinden yapılan bir trafik mevcuttu.
Dosya içerisinde çok fazla bir kayıt olmadığı için analizinin kolay olacağını düşünerek hızlı hızlı analiz etmeye başladık bir çok yerde geçen DENYDC.COM denedik ilk olarak ama yanlıştı, daha sonrasında 28 numaralı paket içerisinde bir comment olduğunu gördük.
Flag'e ulaşmıştık. Bir diğer yol ise dosyasın stringlerini de inceleyerek bulabilirdik.
Bir diğer yol ise, Burada ki adres üzerinde dosyası pcapng'den pcap dosyasına convert ederek value kısmında yine flag değerine ulaşabiliriz.
FLAG=easy_as_1_2_3
Soru-3 : Find The IP of Attacker | goodshepherd
hint:"reverseshell"
Bu soruda bize dizinlerden birine reverse shell yüklenmiş bir "GreenCMS" uygulaması veriliyor ve bizden saldırıyı gerçekleştiren kişinin IP Adresini bulmamızı istiyor.Klasik web saldırılarını düşündüğümüz zaman ufak bir araştırmayla beraber saldırganın /Upload/ dizinine PHP diliyle yazılmış bir webshell atmış olduğunu görmekteyiz.İçini açıp okuduğumuz zaman flag yani saldırganın IP Adresini kolayca bulabiliyoruz
Flag=10.10.10.62
Soru-4: Hint("debug or nay") | Birlikte çözdük
Soruda python kodu verilerek sonuca gitmemiz istenmişti.Kodu direkt çalıştırdığımızda except ' e giderek bize "What did you expect a flag" diyordu.
Bu kod ile çözüldü :
https://paste.ubuntu.com/p/ZMBCntQH5y/
FLAG={tamagotchi}
Soru-5: `` | Rhotav
Bunu ilk başta CrackMe zannetmiştik. Ancak öyle olmadığını Detect It Easy ile taratınca gördük.
İçerisini HxD programı ile açtıktan sonra karşımıza sha1 türünde olan bir hash çıktı.
https://hashtoolkit.com/reverse-hash/ Bu siteyi kullanarak flagı yakaladık.
Flag = flag{HelloIGotThflag3}
Soru-6: Find the Secret Flag | RTFM
Soruda bize bir png dosyası verilmişti ve her hangi bir hint yoktu. İlk önce dosyasın file komutu ile png dosyası olduğunu kesinleştirdik. Ardından exif bilgilerine bakalım dedik.
Buradan bir şey çıkmadı. Daha sonrasında Burada bulunan online araç üzerinde inceleme gerçekleştirdik ama buradan da bir şey elde edemedik.
Araştırmalarımız sonunda açık kaynak bir png&bmp analiz aracı bulduk. Araca Buradan ulaşabilirsiniz. Dosyayı bu araç ile analiz ettiğimizde ise flag çıkmış olacaktı.
FLAG=flag{h-19}
Soru-7 : Find the Secret Flag | goodshepherd
Bu soruda bize birtakım anlamsız karakterler verilmiş.Hemen bakıyoruz :
..... ..... ..... .!?!! .?... ..... ..... ...?. ?!.?. ..... ..... ..... ..... ..... ..!.. ..... ..... .!.?. ..... .!?!! .?!!! !!!?. ?!.?! !!!!. ..... ..... ..!.. .!.!! !!!!! .?... ....! ?!!.? ..... .?.?! .?... ..... !.?.. ..... !?!!. ?!!!! !!?.? !.?!! !!!!! !!.?.
"Ook cipher" (Ook şifrelemesi) 'ni tespit ettikten sonra şifreyi çözüyoruz -> https://www.dcode.fr/ook-language
Kod:
NTIOPMZM
ve flagimiz ortaya çıkıyor
Flag=FLAGHERE
Soru-8 : aHR0cHM6Ly9pbWd1ci5jb20vYS90UkJCaDFF | goodshepherd
Hint : .fr
Bu soruda sadece B64 ile encodelanmış bir imgur linki buluyoruz.
Linke gittiğimizde birtakım dans eden adamlar görüyoruz .
Hint'ide baz alarak araştırdığımız zaman :
https://www.dcode.fr/dancing-men-cipher
Buradan çözdüğümüzde flag bize "dancewithme" olarak dönüyor.
Flag=dancewithme
Soru-9 `` | Rhotav
hint:"Rockyo"
Bu soruda bize verilen ek dosya bir zip dosyasıydı ancak şifreliydi.
"Rockyou" kelimesini google üzerinde arattıktan sonra aldığımız sonuç 133MB bir wordlist frackzip üzerinde rockyou txt'sini açtığımız zaman aldığımız sonuç :
İçerisinden çıkan queen.mp3 ses dosyasının stringlerine baktığımızda aldığımız sonuç :
Soru-11: meim.jpg | goodshepherd
Yine bir stego sorusu ile karşılaşıyoruz ve bilinen toollar ile resim içerisinde flag aramaya başlıyoruz ancak çabalarımız sonuçsuz kalıyor.Parola korumalı olduğunu anladığımız resme bruteforce saldırısı düzenliyoruz ancak yinede sonuç alamıyoruz.CTF nin bitmesine yakın "hackistanbul" parolasını rastgele deneyerek flag'e erişim sağlıyoruz.Soru kalitesi tartışılır.
Flag : {G00dAndW3lcomeToHa3kIstanbul}
Soru-13:Find the Secret Flag | goodshepherd
Tersten verilmiş hex leri çevire çevire B64 lere ulaşıyoruz ve birtakım decode işlemleri sonucunda flag'e ulaşıyoruz
Flag : {its_something}
Soru-18: Flag1 | RTFM
Bu soruda indirdiğimiz dosyası file komut ile incelediğimiz zaman bir ELF dosyası olduğunu gördük. Daha sonrasında stringlere baktığımızda işimize yarar her hangi bir şey çıkmadı.
Dosyayı IDA ile açtığımızda sol tarafta bulunan fonksiyonlardan heyMan ve DumpMe fonksiyonları dikkatimi çekmişti hemen.
En son aklıma gelebilecek yer olan comment üzerinde yukarıdan aşağıya doğru yazılmıştı flag.
FLAG = {GettingTheFlagIsNotcool}
Soru-19: Flag2 | RTFM
Bu soruda yine dosyanın ELF dosyası olduğunu anladık ve string vs hiç bir şeyle uğraşmadan direkt olarak IDA ile analiz etmeye başladık.
Bir önceki soruyla aynı formatta olduğunu sol taraftaki fonksiyonlarda yine heyMan ve DumpMe isimlerini görmemiz yetmişti. heyMan fonksiyonuna giderek yine comment satırında yukarıdan aşağıya doğru yazılmış flag'i bulmuş olduk.
Puanlarına göre oldukça basit 2 soruydu bunlar.
FLAG = {lIKtotryhArderIAmCo0ool}
Soru-20 Find the Secret Flag | RTFM
Bu soruda bize bir pcap dosyası verildi. İlk olarak WireShark ile analiz etmek için dosyayı açtık.
Biraz incelendiğinde TCP akışları göze çarpıyor aslında SMPT üzerinden geçen mailler görülüyor. Burada çok fazla bir prokocol olmadığı için TCP stream'leri follow ettiğimiz zaman biraz aşağıda flag çıkacaktı.
Bir diğer yol ise stringlerine bakıldığında ise yine flag çıkmış olacaktı.
FLAG = flag-hack-istanbul-ctf
Son düzenleme: