fbpx

ARİDOSHİKA

Ulaşabildiğin her yerde

MUCYB3R CTF (ÇÖZÜMLERİ)

7 min read

Mucyb3rlab   Geçtigimiz günlerde güzel ve çekişmeli bir ctf düzenledi (uzun zamandır gördüğüm en iyi ctflerden biriydi bilginin,eğlencenin,çekişmenin ve birazda nişastanın geçtiği bir ctf desek daha güzel olur )

Peki öncelikle nedir bu CTF ona bakalım :

CTF (Capture The Flag), geçmişi Roma dönemine dayanan uygulamalı, öğretici bir oyundur. Çeşitli tarih kitaplarında farklı milletlerin çocuklarını/gençlerini CTF oyunlarıyla savaşa hazırladıkları yazmaktadır. CTF‘de amaç öğrenilen savunma ve saldırı tekniklerini pratiğe dökmektir.

Artık sorulara geçelim bu yazıda 3 yazar bir olucak aridoshika,Bekir Doğan , Mustafa Yazıcı

CRYPTO
  1. soru her zaman favori sorumdur çok basittir. Yukarıda bulunan Flag’ı aynen alta yazıyoruz
Flag
mucyb3r_{FLAG}

Burada flag formatı verilir ve yarışmacılar buldukları cevabı bu FLAG kelimesinin oldugu alana yazıp doğru ise puan alırlar. İlk sorumuzu geçtikten sonra ikinci sorumuz

2. soru ” 2eb3ab7a66e08b7bfd84869eb758527c ” Burada bir MD5 hash’ı görmekteyiz bu hash değerini google amcada aratalım

Hashin h4ck3r karakterlerine denkgeldiğini görmekteyiz

Flag
mucyb3r_{h4ck3r}

3. sorumuz ki sabırlı bir insan değilseniz sizi çileden çıkartabilecek bir soru tarzı

Vm14a01GWXhTa2RYYkdSVVlrWktWVlp0ZUhkU2R6MDk  İpucu : Tekrar Tekrar Dene !

Burada bir base64 kriptolama görmekteyiz. bunu çözüm işlemine sokalım

Vm14a01GWXhTa2RYYkdSVVlrWktWVlp0ZUhkU2R6MDk     1
VmxkMFYxSkdXbGRUYkZKVVZteHdSdz09                                 2
Vld0V1JGWldTbFJUVmxwRw                                                        3
VWtWRFZWSlRTVlpG                                                                    4
UkVDVVJTSVZF                                                                               5
RECURSIVE

5 kez base64 decrypt işlemi uyguladık  ve RECURSIVE

Flag
mucyb3r_{RECURSIVE}

4. soru Zor Değil,”TEXT: upcpli_fl_omilgitl KEY: TECH”

Burada bizlere bir anahtar kelime verilmiş ( TECH )aklımıza ilk gelen şifreleme yöntemi vigenere hemen deneyelim

decrypt işleminden geçiriyoruz ve cevap ortaya çıkıyor

Flag
mucyb3r_{blaise_de_vigenere}

Çok mu hızlı gidiyoruz evet aslında yarışma esnasında bizde bu hisse kapıldık ama mucyb3r ekibi bizi ileriki sorularda firenlemeyi başardı 😀 (ama durduramadı ) devam …

5.soru  ZOR, {xor}NzAsODozOzYxNiU=  karşımızda güzel bir xor işlemi durmakta nedir bu xor işlemi diyenler için

Veri güvenliğinde kullanılan en basit şifreleme algoritmalarından birisidir. Şifreleme ailesi olarak blok şifreleme (Block Cipher) ailesinden simetrik şifreleme olarak kabul edilebilecek olan bu şifreleme algoritmasında mesaj önce verilen blok boyutunda parçalara bölünür. Ardından her parça anahtar ile Yahut (XOR) işlemine tabi tutulur. Çıkan sonuçlar birleştirilerek şifreli mesaj elde edilir.

bunuda xor decrypt işleminden geçirelim

 

Flag
mucyb3r_{hosgeldiniz}

6.Soru NTLM– 7E33E1B58AD9088FA1FE34985462B83B
Soru başlığında da anlaşıldığı gibi NTLM ile şifreleme kullanılmış. Aşağıda gösterildiği gibi decode edildiğinde flag formatı elde ediliyor.

Flag
mucyb3r_{yeni_basliyoruz}

Bu cevaplar ile Crypto kısmını bitirip 600 puanı elde edecektiniz.

THEORY

Başlıktan da anlaşılacağı gibi burada sorulan sorular teorik bilgilerinizi sınama yönünde olacaktır. Vereceğiniz cevabı flag formatı( mucyb3r_{flag} ) içerisine yazdığınız zaman puanınızı alacaktınız.

1.Soru EXE —Linux altında çalıştırılabilir dosyaların formatı
Sorumuzun cevabı “ELF” olacaktı. Flag formatında yazarsak;

Flag
mucyb3r_{ELF}

2.Soru GNU  —GNU/Linux işletim sisteminin debugger programı
Sorumuzun cevabı “gdb”  olacaktı. Flag formatında yazarsak;

Flag
mucyb3r_{gdb}

3.Soru Sub  —192.168.20.0 networkunde toplam 32 ip olsun istiyorum subnetini kaç ayarlamalıyım?
Sorumuzun cevabı “26” olacaktı. Flag formatında yazarsak;

Flag
mucyb3r_{26}

4.Soru Wi-Fi –Kablosuz ağ kartımızı yapılandırmak amacıyla kullandığımız Linux komutunun adı nedir?
Sorumuzun cevabı “iwconfig” olacaktı. Flag formatında yazarsak;

Flag
mucyb3r_{iwconfig}

5.Soru Arch  —Güvenlik uzmanları için özel olarak geliştirilmiş Arch tabanlı dağıtım
Sorumuzun cevabı “blackarch” olacaktı. Flag formatında yazarsak;

Flag
mucyb3r_{blackarch}

Bu cevaplar ile Theory kısmını bitirip 550 puanı elde edecektiniz.

FORENSİC
1.Soru Log
Soruda bize mucyber.log şeklinde bir txt dosyası verilmişti. Dosyayı açtığımızda içerisinde bir çok kayıt olduğunu gördük. CTRL+F kombinasyonu ile “mucyb3r” kelimesini arattığımızda  aşağıdaki gibi flag formatını bulacaktık.

Flag
mucyb3r_{learn_searching}

2. Soru Hacker Okan

Soruda bizi aşağıdaki gibi bir resim karşılıyordu.

Resim dosyasını indirip kali komut satırında “strings”  komutu ile açtığımızda karşımıza bXVjeWIzcl97w7ZwX2VsaW1pfQ== metinini görecektik.

Base64 ile decode ettiğimizde flag formatını elde etmiş olacaktık.

Flag
mucyb3r_{öp_elimi}

3.Soru DigitalWorld
Soruda bize iyibakiyi.txt  şeklinde bir txt dosyası verilmişti. Dosyayı açtığımızda içerisinde bir çok binary crypto olduğunu gördük. Gözleriniz iyiyse kodların sürekli tekrarlandığını anlayabilirdiniz. Gözümüze kestirdiğimiz bir kodu decode ettiğimizde boş döndü demekki farklı bir şey vardı. İyi bak iyi başlığından da anlaşılacağı gibi 10010 ‘ların arasına harfler gizlenmişti. Harfleri bulup birleştirdikten sonra flag formatını elde etmiş olacaktık.

Flag
mucyb3r_{köroldum}

4.Soru GİT

Soruda bizi bir aşağıdaki gibi bir github adresine yönlendiriyordu.

Mouse ile işaretlediğim “delete flag” kısmına tıkladığımızda flag formatına ulaşacaktık.

Flag
mucyb3r_{taktigin_iyi}

5.Soru Use Calc
Soruda bizi  ses dosyası karşılıyordu. Dinlediğimizde telefon tuş seslerinden başka bir şey yoktu. Bu tarz soruda tek yöntem DTMF Tones ile ses dosyasını analiz edip hangi tuşlara basıldığını öğrenmek. Aşağıda analizin sonucunu görüyoruz.

317537 sayısını bizde sizler gibi flag formatı olarak düşünüp denedik ama yalnış çıktı. Soruda sorun olup olmadığını sorduk yetkili kişilere ve devamının olduğunu söylediler. Ordan yola çıkarak 317537 sayısını googleden arattığımızda aşağıdaki gibi bir sonuç bulduk.

Sitenin içerisine girdiğimizde alttaki gibir bir metin ile karşılaştık;

boy: “i typed in 317537 in my calculator just for you, Leslie
Leslie: 🙂
Burdan da anladık ki flag formatımız “Leslie”

Flag
mucyb3r_{Leslie}

Bu cevaplar ile Forensic  kısmını bitirip 1150 puanı elde edecektiniz.

STEGANO
  1. Soru  Hack İşlemi Başlatılmıştır,https://drive.google.com/open?id=0B4bwSgGkRLouUHZQSjU3LXJqUXc

Soruyu açtığımızda resimde saklanmış bir mesaj vardı. Steganography ile saklanmış mesajı açığa çıkartabiliriz. Bunun için http://incoherency.co.uk/image-steganography/#unhide aracını kullanarak cevabı mucyb3r_(Turkey) olarak buluyoruz.

 

2. Soru   Kul Hakkı,https://drive.google.com/open?id=0B4bwSgGkRLouSGpsU0VwYUw2bXc

Bu soruda verilen jpg’yi “strings” komutunu kullanarak flag e ulaşıyoruz.

Flag
mucyb3r_{hak_yeme_hack_ye}

3. Soru ScreenShot,”nick: mucyb3rctf
Ekle beni!”

Bu karekodu herhangi bir karekod okuyucu ile okutunca flag e ulaşıyoruz.

Flag
mucyb3r_{do_you_like_me}

4.  Who is this guy?,”Sınıfa geldim ve garip bir adamın kimya veya ekonomi gibi şeylerden bahsettiğini gördüm… Güzel fikirler icat ettiğini söyledi.
Kim olduğunu biliyor musun?
https://drive.google.com/open?id=1z5RFlEDhrEPm2LSeNHQ1siFPmwsqucg_

Verilen fotoğraftaki dosyanın adı blockchain speech ile alakalıydı. Google Görseller’ de blockchain speech diye arattığımızda ilk fotoğraftaki adamın bizim adamımızla aynı adam olduğunu görüyoruz.

Bu adamın adı ise Vitalik Buterin.

Flag
mucyb3r_{vitalik_buterin}

5. 24 Kasım,”https://drive.google.com/open?id=17S0Gf0qA_PCOsnkZi3v-cAzYUxWb-1Mu
Virüs yememek için sanal makinede açınız.”

     
Isass.DMP dosyasını kaydedildiği dizinden alıp, Mimikatz’ın bulunduğu dizine kopyalıyoruz. Biz 64 bit sistemi destekleyen kısmı çalıştıracağımız için 64 yazsan klasörün içine atıyoruz.
Bu işlemin ardından Mimikatz’I yönetici olarak çalıştırıyoruz.
Mimikatz’I yönetici olarak çalıştırdıktan sonra “privilege::debug” komutu ile programı debug moda alıyoruz.
sekurlsa::minidump lsass.DMP” komutu ile programa bir dump dosyası vereceğimizi ve o dump dosyası içerisinden salt şifreleri çıkarmasını istiyoruz. lsass.DMP yerine başka bir dizinde bulunan DMP dosyasının yolunu da girebilirsiniz.
Şimdi “lgo sifreler.txt” komutunu girerek bir sonraki adımdaki çıktıyı bir metin belgesine kaydederek daha basit bir şekilde çıktı ekranın gözlem yapabiliriz.
Son olarakta “sekurlsa::logonpasswords” komutu ile dump içerisinde bulunan salt şifreler çözülebilir.
Şimdi aynı klasör içinde mevcut olan sifreler metin dosyasının içinde flagımızı görmüş olacağız.
Flag
mucyb3r_{başöğretmen_ATATÜRK}
MİXED

 

1 Dosya analizi : https://drive.google.com/file/d/1xQMJWVQQV-9tcSxJPgWw7uuKUCHXtQ0w/view

Evet elimizde bir görsel var öncelikle strings komutu ile bir kontrol yapalım

 

Strings komutu ile görseli açtıgımızda içerisinde doğru olmayan bir takım yazılar oldugunu görüyoruz

binary kodları verilmiş hemen decode ediyoruz

Binary kodunu decode ettiğimizde nur topu gibi bir link geliyor.

https://drive.google.com/file/d/19PVx9HTSGiAJb_b6oEZRgKC8-qAMiirX/view?usp=sharing

linkte bir QR kod gördük hemen sevindik bitti diye fakat birde ne görelim

E ozaman devam tekrar strings komutu ile QR kodu incelemeye başlıyoruz

 

Bir dosya daha (Vurdu gol oldu ) az biraz sinirlensekte devam ediyoruz

https://drive.google.com/file/d/10hywt38RdTc5pkLhOmBXvVSaPM5pLFyq/view?usp=sharing

İçinden bir dosya çıkıyor adı ” fifi ” fifi içerisinde 1 png 1 pdf 1 pcap olmak üzere 3 dosya mevcut

png dosyası içerisinde RAW bölümde gördüğümüz binary kodlarını decode ediyoruz

Flag
mucyb3r_{stuxnet}

2.soru /

Bu sorumuzda verilen c.cpp adlı dosyamız her ne kadar C dili ile yazımış gibi görünse de bu dosyamızın yazıldığı dil White Space dilidir.

Bu linkten verilen kodu yapıştırdığımızda flag değeri gayet ne bir şekilde görülebiliyordu.

Flag
mucyb3r_{WpUAItsadmhak}

 

CTF Soruları Bu şekilde çözülmektedir Network ve Joy Kategorileri en kısa zamanda eklenicektir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.