Yusuf Can Çakır tarafından yazılmıştır.
Merhabalar herkese, bu yazımda sizlere TryHackMe’de bulunan CTF Collection Vol.1 isimli odanın nasıl çözüldüğünü anlatacağım. İyi okumalar dilerim.
Oda İsmi: CTF Collection Vol.1
Zorluk Derecesi: Kolay
Odanın Linki: https://tryhackme.com/room/ctfcollectionvol1
Odadan bizlere birazcık bahsetmiş ve flag türünün ne olduğunu göstermiş. İlk soruyu direk işaretleyebiliriz.
Soru: Can you decode the following?
VEhNe2p1NTdfZDNjMGQzXzdoM19iNDUzfQ==
Task2 İlk Görsel
Bizlere bir encoding edilmiş veri vermiş. Tecrübelerime dayanarak base64 türü bir şifreleme kullanıldığını düşündüm ve haklı çıktım. Şifrelenmiş veriyi decode etmek için kullandığım sitenin ismi CyberChef. Bu sitedeki güzel bir araç olan Magic‘i bana gösteren Buğra Ünver’e teşekkürler
Task2 İkinci Görsel
Gördüğünüz gibi şifrelenmiş verimiz decode edildi.
Soru: Meta! meta! meta! meta...................................
Bu soruda bizlere bir görsel verilmiş. Görseli indirip baktığımda görünürde bir şey yoktu.
Task3 İlk Görsel
Fakat resmin okunabilir değerlerine baktığımda flag karşıma çıktı.
Task3 İkinci Görsel
Soru: Something is hiding. That's all you need to know.
Bu soruda bir şeyin saklandığını dair ipucu vermiş bizlere ve bir adet resim vermiş.
Task4 İlk Görsel
Resme ilk baktığımda tabi ki bir şey bulamadım. Daha sonrasında bir veri gizlendiğini söylediği için steghide aracını kullanıp, içerisine gizlenmiş txt’yi çıkarttım. Txt’de flag’değeri vardı.
Task4 İkinci Görsel
Soru: Huh, where is the flag?
Açıkçası ilk baktığımda “flag nerede yahu?” demiştim. Sonrasında soruya iki kere tıkladığımda flag değerine ulaştım.
Task5 İlk Görsel
Soru: Such technology is quite reliable.
Başlıktan da anlaşılacağı gibi QR kod işin içinde. Bizlere bir QR kod vermiş odayı oluşturan kişi.
Task6 İlk Görsel
Bunu herhangi bir QR Code Scanner aracına attığınızda cevabı alabilirsiniz.
Task6 İkinci Görsel
Soru: Both works, it's all up to you.
Buradaki olayı aslında kolay. Bizlere bir dosya türü belli olmayan bir dosya vermiş. İlk bunun dosya türünü öğrenmek için file komutunu kullandım. Bunun bir ELF türünde dosya olduğunu anladım.
Task 7 İlk Görsel
Ardından okunabilir değerlerine bakmak için strings aracını kullandım ve flag’i aldım.
Task7 İkinci Görsel
Bizlere bir şifrelenmiş veri verilmiş.
Soru: Can you decode it?
3agrSy1CewF9v8ukcSkPSYm3oKUoByUpKG4L
Task8 İlk Görsel
Bu şifrelenmiş verinin türünü bilmediğim için tarayıcıya Hash identifier online yazıp bir siteye girdim. Bunun bir Bitcoin Public Address şifrelenmiş verisi olduğunu öğrendim.
Task8 İkinci Görsel
Biraz araştırma yapıp decode yapan bir site buldum.
Task8 Üçüncü Görsel
Soru: Left, right, left, right... Rot 13 is too mainstream. Solve this
MAF{atbe_max_vtxltk}
Bizlere encode edilmiş veri veri verildi yine. Bunu da biraz araştırdıktan sonra bunun bir Caesar şifrelemesini olduğunu öğrendim.
Task9 İlk Görüntü
Soru: No downloadable file, no ciphered or encoded text. Huh .......
İlkte hiçbir anlam ifade etmese de sonradan kafamda dank etti. Sayfanın kaynak kodlarına baktığımda comment olarak flag değeri bulunmaktaydı.
Task10 İlk Görsel
Soru: I accidentally messed up with this PNG file. Can you help me fix it? Thanks, ^^
What is the content?
Bunu düzeltebilir misin diyor ve bizlere bir png vermiş. PNG’yi açmaya çalıştığımda dosyanın bozuk olduğunu bana söylüyor. Aklıma hemen hex header’ının değiştirilmiş olduğu geldi.
Task11 İlk Görsel
Normalde bunu bir hexeditor ile açabilirsiniz veya benim gibi online editor’de açabilirsiniz. Açtıktan sonra ilk header verisinin değiştirildiğini fark ettim.
Task11 PNG hex header
Daha sonrasında bu header verisini değiştirip dosyayı export ettim.
Task11 Export İşlemi
Task11 Flag
Soru: Some hidden flag inside Tryhackme social account.
Did you found the hidden flag?
Bu soruda hint kullanmak durumunda kaldım çünkü pek bir şey anlamadım. Sosyal medya hesaplarına baktıktan sonra reddit ipucunu aldım ve Yandex’te tryhackme rooms reddit yazdığımda New Room Coming Soon linkine tıkladım ve flag’i aldım.
Task12 İlk Görsel
Hehe en sevdiğim brain f*ck
What is this?
++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>>++++++++++++++.------------.+++++.>+++++++++++++++++++++++.<<++++++++++++++++++.>>-------------------.---------.++++++++++++++.++++++++++++.<++++++++++++++++++.+++++++++.<+++.+.>----.>++++.
Task13 İlk Görsel
Exclusive strings for everyone!
S1: 44585d6b2368737c65252166234f20626d
S2: 1010101010101010101010101010101010
Buradaki soruda S1 ve S2 verilerini vermiş ve S2 verisi binary değerde. Bunu ben kendim XOR çalışırken öğrenmiştim ve aklıma direk XOR geldi. XOR calculator yazdım Google’a ve herhangi bir siteye girip değeri hesaplattırdım.
Task14 XOR
Soru: Please exfiltrate my file
Bir dosya verilmiş ve sorunun başlığından da anlaşılacağı gibi binwalk işlemini yapacağız.
Task15 binwalk
İçerisinden bir txt çıktı ve flag’imizi aldım.
Task15 flag
Soru: There is something lurking in the dark.
Bizlere siyah bir fotoğraf vermiş. Bunu bir CTF yarışmasında gördüğüm için direk çözdüm. Bundaki mantık şudur, arka plan genel olarak siyah oluyor ve hex değeri #000000 olur. Üstüne #000001 hex kodu ile bir şeyler yazarsanız bunu insan gözü fark edemez ve güzel bir soru olur.
Task16 İlk Görsel
Task16 – 2
Task 16 – 3
Soru:How good is your listening skill?
P/S: The flag formatted as THM{Listened Flag}, the flag should be in All CAPS
Bizlere bir QR kod vermiş. Bu QR kodunu scanner aracılığıyla tarattığımızda sound cloud linki verdi bana.
Task 17 – 1
Task17 – 2
Buradaki ses kaydında ise flag’i bizlere veriyor.
Task 17 – 3
Eğer bunu benim gibi anlayamazsanız bunun çözümü de tarayıcınıza speech to text mp3 yazarak çözebilirsiniz.
Task 17 – 4
Soru:Sometimes we need a 'machine' to dig the past
Targetted website: https://www.embeddedhacker.com/
Targetted time: 2 January 2020
Bizlere bir link vermiş ve eski bir tarihteki veriyi bulmamızı istiyor. Aklıma direk wayback machine geldi.
Task18 wayback machine
Soru: Can you solve the following? By the way, I lost the key. Sorry >.<
MYKAHODTQ{RVG_YVGGK_FAL_WXF}
Flag format: TRYHACKME{FLAG IN ALL CAP}
Bunda baya uğraştım doğrusu. Biraz araştırdıktan sonra Vingere ile şifrelenmiş olduğunu fark ettim. Şifreyi ilk başta TRYHACKME dedim fakat tam olarak şifre çıkmadı.
Task19 -1
Sonrasında şifreyi THMTHMTHM yaptım ve flag’i aldım.
Task19 – 2
Soru.Decode the following text.
581695969015253365094191591547859387620042736036246486373595515576333693
Bunu da bir CTF yarışmasında görmüştüm. İlk başta decimal veriyi hex formatına çeviriyoruz.
Task20 – 1
Ardından bunu da ascii formatına dönüştürüp flag’i alıyoruz.
Task20 -2
Soru:I just hacked my neighbor's WiFi and try to capture some packet. He must be up to no good. Help me find it.
Did you captured my neighbor's flag?
Son sorumuza geldik çok şükür. Bu soruda arkadaşımız komşusunun WiFi’sini kırmak için denemeler yapmış.Bize bir pcap dosyası vermiş ve bunu incelediğimde flag.txt isimli bir dosya dikkatimi çekti.
Task21 – 1
Bu packet’e sağ tıklayıp > follow > HTTP dediğimde flag’i aldım.
Task21 – 2
Bu oda bu kadardı, okuduğunuz için teşekkür ederim, başka write-up’larda görüşmek üzere sağlıcakla…
[TR] CTF collection Vol.1 Write-up
Merhabalar herkese, bu yazımda sizlere TryHackMe’de bulunan CTF Collection Vol.1 isimli odanın nasıl çözüldüğünü anlatacağım. İyi okumalar dilerim.
Oda İsmi: CTF Collection Vol.1
Zorluk Derecesi: Kolay
Odanın Linki: https://tryhackme.com/room/ctfcollectionvol1
[Task 1] Author Note
Odadan bizlere birazcık bahsetmiş ve flag türünün ne olduğunu göstermiş. İlk soruyu direk işaretleyebiliriz.
[Task 2] What does the base said?
Soru: Can you decode the following?
VEhNe2p1NTdfZDNjMGQzXzdoM19iNDUzfQ==
Task2 İlk Görsel
Bizlere bir encoding edilmiş veri vermiş. Tecrübelerime dayanarak base64 türü bir şifreleme kullanıldığını düşündüm ve haklı çıktım. Şifrelenmiş veriyi decode etmek için kullandığım sitenin ismi CyberChef. Bu sitedeki güzel bir araç olan Magic‘i bana gösteren Buğra Ünver’e teşekkürler
Task2 İkinci Görsel
Gördüğünüz gibi şifrelenmiş verimiz decode edildi.
[Task 3] Meta Meta
Soru: Meta! meta! meta! meta...................................
Bu soruda bizlere bir görsel verilmiş. Görseli indirip baktığımda görünürde bir şey yoktu.
Task3 İlk Görsel
Fakat resmin okunabilir değerlerine baktığımda flag karşıma çıktı.
Task3 İkinci Görsel
[Task 4] Mon, are we going to be okay?
Soru: Something is hiding. That's all you need to know.
Bu soruda bir şeyin saklandığını dair ipucu vermiş bizlere ve bir adet resim vermiş.
Task4 İlk Görsel
Resme ilk baktığımda tabi ki bir şey bulamadım. Daha sonrasında bir veri gizlendiğini söylediği için steghide aracını kullanıp, içerisine gizlenmiş txt’yi çıkarttım. Txt’de flag’değeri vardı.
Task4 İkinci Görsel
[Task 5] Erm……Magick
Soru: Huh, where is the flag?
Açıkçası ilk baktığımda “flag nerede yahu?” demiştim. Sonrasında soruya iki kere tıkladığımda flag değerine ulaştım.
Task5 İlk Görsel
[Task 6] QRrrrr
Soru: Such technology is quite reliable.
Başlıktan da anlaşılacağı gibi QR kod işin içinde. Bizlere bir QR kod vermiş odayı oluşturan kişi.
Task6 İlk Görsel
Bunu herhangi bir QR Code Scanner aracına attığınızda cevabı alabilirsiniz.
Task6 İkinci Görsel
[Task 7] Reverse it or read it?
Soru: Both works, it's all up to you.
Buradaki olayı aslında kolay. Bizlere bir dosya türü belli olmayan bir dosya vermiş. İlk bunun dosya türünü öğrenmek için file komutunu kullandım. Bunun bir ELF türünde dosya olduğunu anladım.
Task 7 İlk Görsel
Ardından okunabilir değerlerine bakmak için strings aracını kullandım ve flag’i aldım.
Task7 İkinci Görsel
[Task 8] Another decoding stuff
Bizlere bir şifrelenmiş veri verilmiş.
Soru: Can you decode it?
3agrSy1CewF9v8ukcSkPSYm3oKUoByUpKG4L
Task8 İlk Görsel
Bu şifrelenmiş verinin türünü bilmediğim için tarayıcıya Hash identifier online yazıp bir siteye girdim. Bunun bir Bitcoin Public Address şifrelenmiş verisi olduğunu öğrendim.
Task8 İkinci Görsel
Biraz araştırma yapıp decode yapan bir site buldum.
Task8 Üçüncü Görsel
[Task 9] Left or right
Soru: Left, right, left, right... Rot 13 is too mainstream. Solve this
MAF{atbe_max_vtxltk}
Bizlere encode edilmiş veri veri verildi yine. Bunu da biraz araştırdıktan sonra bunun bir Caesar şifrelemesini olduğunu öğrendim.
Task9 İlk Görüntü
[Task 10] Make a comment
Soru: No downloadable file, no ciphered or encoded text. Huh .......
İlkte hiçbir anlam ifade etmese de sonradan kafamda dank etti. Sayfanın kaynak kodlarına baktığımda comment olarak flag değeri bulunmaktaydı.
Task10 İlk Görsel
[Task 11] Can you fix it?
Soru: I accidentally messed up with this PNG file. Can you help me fix it? Thanks, ^^
What is the content?
Bunu düzeltebilir misin diyor ve bizlere bir png vermiş. PNG’yi açmaya çalıştığımda dosyanın bozuk olduğunu bana söylüyor. Aklıma hemen hex header’ının değiştirilmiş olduğu geldi.
Task11 İlk Görsel
Normalde bunu bir hexeditor ile açabilirsiniz veya benim gibi online editor’de açabilirsiniz. Açtıktan sonra ilk header verisinin değiştirildiğini fark ettim.
Task11 PNG hex header
Daha sonrasında bu header verisini değiştirip dosyayı export ettim.
Task11 Export İşlemi
Task11 Flag
[Task 12] Read it
Soru: Some hidden flag inside Tryhackme social account.
Did you found the hidden flag?
Bu soruda hint kullanmak durumunda kaldım çünkü pek bir şey anlamadım. Sosyal medya hesaplarına baktıktan sonra reddit ipucunu aldım ve Yandex’te tryhackme rooms reddit yazdığımda New Room Coming Soon linkine tıkladım ve flag’i aldım.
Task12 İlk Görsel
[Task 13] Spin my head
Hehe en sevdiğim brain f*ck
What is this?
++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>>++++++++++++++.------------.+++++.>+++++++++++++++++++++++.<<++++++++++++++++++.>>-------------------.---------.++++++++++++++.++++++++++++.<++++++++++++++++++.+++++++++.<+++.+.>----.>++++.
Task13 İlk Görsel
[Task 14] An exclusive!
Exclusive strings for everyone!
S1: 44585d6b2368737c65252166234f20626d
S2: 1010101010101010101010101010101010
Buradaki soruda S1 ve S2 verilerini vermiş ve S2 verisi binary değerde. Bunu ben kendim XOR çalışırken öğrenmiştim ve aklıma direk XOR geldi. XOR calculator yazdım Google’a ve herhangi bir siteye girip değeri hesaplattırdım.
Task14 XOR
[Task 15] Binary walk
Soru: Please exfiltrate my file
Bir dosya verilmiş ve sorunun başlığından da anlaşılacağı gibi binwalk işlemini yapacağız.
Task15 binwalk
İçerisinden bir txt çıktı ve flag’imizi aldım.
Task15 flag
[Task 16] Darkness
Soru: There is something lurking in the dark.
Bizlere siyah bir fotoğraf vermiş. Bunu bir CTF yarışmasında gördüğüm için direk çözdüm. Bundaki mantık şudur, arka plan genel olarak siyah oluyor ve hex değeri #000000 olur. Üstüne #000001 hex kodu ile bir şeyler yazarsanız bunu insan gözü fark edemez ve güzel bir soru olur.
Task16 İlk Görsel
Task16 – 2
Task 16 – 3
[Task 17] A sounding QR
Soru:How good is your listening skill?
P/S: The flag formatted as THM{Listened Flag}, the flag should be in All CAPS
Bizlere bir QR kod vermiş. Bu QR kodunu scanner aracılığıyla tarattığımızda sound cloud linki verdi bana.
Task 17 – 1
Task17 – 2
Buradaki ses kaydında ise flag’i bizlere veriyor.
Task 17 – 3
Eğer bunu benim gibi anlayamazsanız bunun çözümü de tarayıcınıza speech to text mp3 yazarak çözebilirsiniz.
Task 17 – 4
[Task 18] Dig up the past
Soru:Sometimes we need a 'machine' to dig the past
Targetted website: https://www.embeddedhacker.com/
Targetted time: 2 January 2020
Bizlere bir link vermiş ve eski bir tarihteki veriyi bulmamızı istiyor. Aklıma direk wayback machine geldi.
Task18 wayback machine
[Task 19] Uncrackable!
Soru: Can you solve the following? By the way, I lost the key. Sorry >.<
MYKAHODTQ{RVG_YVGGK_FAL_WXF}
Flag format: TRYHACKME{FLAG IN ALL CAP}
Bunda baya uğraştım doğrusu. Biraz araştırdıktan sonra Vingere ile şifrelenmiş olduğunu fark ettim. Şifreyi ilk başta TRYHACKME dedim fakat tam olarak şifre çıkmadı.
Task19 -1
Sonrasında şifreyi THMTHMTHM yaptım ve flag’i aldım.
Task19 – 2
[Task 20] Small bases
Soru.Decode the following text.
581695969015253365094191591547859387620042736036246486373595515576333693
Bunu da bir CTF yarışmasında görmüştüm. İlk başta decimal veriyi hex formatına çeviriyoruz.
Task20 – 1
Ardından bunu da ascii formatına dönüştürüp flag’i alıyoruz.
Task20 -2
[Task 21] Read the packet
Soru:I just hacked my neighbor's WiFi and try to capture some packet. He must be up to no good. Help me find it.
Did you captured my neighbor's flag?
Son sorumuza geldik çok şükür. Bu soruda arkadaşımız komşusunun WiFi’sini kırmak için denemeler yapmış.Bize bir pcap dosyası vermiş ve bunu incelediğimde flag.txt isimli bir dosya dikkatimi çekti.
Task21 – 1
Bu packet’e sağ tıklayıp > follow > HTTP dediğimde flag’i aldım.
Task21 – 2
Bu oda bu kadardı, okuduğunuz için teşekkür ederim, başka write-up’larda görüşmek üzere sağlıcakla…
Moderatör tarafında düzenlendi: