STMCTF'17 CRYPTO ŞA the DARKNIGHT

Soru Metni:

Alfred Batman’e ulaştırmak istediği dosyaları ziplerek saklıyormuş. Ama kendisi akıllı olduğu için flag.zip parolasını en az 60 karakter falan vermiş. Verilen .mpeg dosyasının içindeki bilgiler bilmediğimiz bir şifreleme yöntemiyle kriptolanmış ve/veya içinde bilgi kodlanmıştır. Pes etme ve içerdiği mesajı bul. 439eec60a5ce2520a4078dac350c6e4b.zip flag.zip

Zip'in içinden çıkan darknight.mpeg dosyasını cat ile terminalde açıyoruz.

İçinden çıkan 1 ve 0'lar bana binary formatını hatırlatıyor.Bunu binary den string e çevirmeyi deneyelim.

Çıkan sonuç da base 64 formatında.Bunu da online base 64 decoder ile deneyelim bakalım sonuç ne olacak?

Elde edilen sonuç bu :

"çok yaklaştın.flag doyasinin kok parolası BatmanveRobin"

O zaman BatmanveRobin 'in sha256 değerini bulalım.

 Yeap! şimdi de flag.zip imize gidelim ve flag.txt nin parolasına bu değeri girelim..

Veee STMCTF{Gotham_artik_daha_guvenli!}---->md5'leyelim:

FLAG: eef1795a3a93f66aebc067880783b1fb

Devamı..

STMCTF'17 CRYPTO Disk Yuvarlak Kod Kare

Soru İsmi: Disk Yuvarlak - Kod Kare

Soru Metni:

Verilen zip dosyası şifreli açabilmek için bir şifreye ihtiyaç var.Neyse ilk olarak karekodumuzu okutalım..

Burada bir yerlerden şifre gelmesi lazım ama nereden?Gözüme ilk çarpan şey numara bununu üstünden gitmeyeli deneyelim.

Hexadecimal değil , base64 hiç değil binary zaten olamaz derken ..https://www.asciitohex.com/  şu sitedeki decimal formatında denedim.Tabi bunu yaparken formatta uygun olarak 2'li 2'li ayırmayı unutmadan, daha sonra da karşıma gelen USEMAIL ile zip in şifresine mail adresini gireceğim aklıma geldi.

zipin şifresi girildiğinde bizi yine bir dizi dosya karşılıyordu.

txt dosyasından çıkanlar:

jpg dosyasından çıkanlar:

Bunu şöyle bir sitede  https://goto.pachanka.org/crypto/alberti-cipher-disk decipher yaptığımızda:

STMCTF{DEREAEDIFICATORIA} ---->md5'leyelim:

FLAG: 0d6c1aea74d30fdb5fb488f08d3e3375

Devamı..

STMCTF'17 CRYPTO ATBAŞI Gidiyorlardı

Soru Metni:

Xlp lmvnor lowftfmf wfhfmwftfnfa yri plmfhnzbr gvohraov pzbwvggrp znz rhrm rxrmwvm xrpznrblifa. Fx ilgliof yri nzprmvwvm yzshvwrbliozi. Rop ilgli klarhblmoziı hrizhrboz W Z ev X. Yriyrirmv yztor sziuovi wv ZY ev IF. Bzpzozwrtrnra nvhzq rhv SYXDFQ{GTSAACELFTEKNEBILMJCS}

ATBASH kripto sisteminden yaralanarak soru metninde verilenleri decode edelim.  https://www.dcode.fr/atbash-mirror-cipher

3 rotorlu makine ile search tool kısmında aratınca enigma toolunu buluyoruz.Buraya da atbash ile decode ettiğimiz mesajı yazıp decode ediyoruz..

Ama burdaki tool işimize yaramıyor ama hangi tool olduğunu öğrendğimiz için de içimiz rahatlıyor ve nette arıyoruz.Baya bi aradıktan sonra..  http://enigmaco.de/enigma/enigma.html  bu site karşımıza geliyor ve:

STMCTF{ENIGMAYIKIRDINBRAVO} ---> md5 'leyelim:

FLAG: a59f8b06dd35eab52c8a90998ad4c7d7

Devamı..

STMCTF'17 FOR Karaköy Muhallebicisi

Soru Metni:

Sisteme sızan bir saldırganın veri kaçırdığını farkettik. Ekteki ağ trafik kaydını inceleyerek, kaçırılan veriyi bulmakta bize yardımcı olur musun?

41795a29a6d369da13d9bbc086008ca1.zip

Zip dosyasını açtığımızda karşımıza bir pcapng dosyası çıkıyor.

Bu pcapng uzantılı dosyayı wireshark ile inceliyoruz..

DNS protokolündeki subdomainlerin değişik simgelerle ifade edildiği görülüyor.Bu dns 'leri incelemek için Wireshark'ın terminal üzerinden çalışan versiyonu olan tshark ı açıyoruz.Böylece belirli kriterlerde rahatça arama yapabiliriz..

Burada da bütün DNS 'leri alıp bir txt dosyasına atıyoruz.

tshark -n -r karakoy.pcapng -Y 'dns' > dns.txt   komudu ile.

Sonrasında dns.txt'iyi açıp bakıyoruz.Burada şüpheli ıp adresini de filtreleyip tekrar bir text oluşturup buna dns2.txt diyoruz.
cat dns.txt | grep '213.74.41.50' | cut -d' ' -f14 > dns2.txt   komudu ile.

Test dosyasındaki “.” karakterleri çıkarıyoruz.

tr -d '.' < dns2.txt > dns3.txt komudu ile.

Daha sonra test dosyasındaki boşluklar kaldırılır.

tr -d '\n' < dns3.txt > dns4.txt komudu ile.

Ve en son da çıkan karakter analiz edildiğinde base 16 formatında encode edildiği anlaşılır.Biz de bunu base 16 formatında decode ettiğimizde...

mutlu sonla flag gelir ...:)




Devamı..

STMCTF'17 FOR Farkı Bul

Soru Metni: Flag resmin içinde. Kendi kendine kilitlenip açılan killit buldum.

c214364ee8d366a4170337c5216f498c.zip

Zip i açtığımızda karşımıza çıkan dosyalar:

lock-a ve lock-b resimlerini açtığımızda karşımıza aynı boyutlarda aynı resim çıkıyor.Sonuçta aynı resmi 2 kere verecek değiller ya diyip farkını alıyoruz.

Bunu da compare lock-a.png lock-b.png dıff.png ile yapıyoruz...Oluşan diff.png :

Sonrasında index.html de ne varmış diye bakıyoruz hatta lock.png de de aynı içerik mevcut:

Hexadecimal formatında verilmiş 0'lar var elimizde şimdi de..

Neyse lock-a.png ve lock-b.png dosyalarımıza dönüp bir exiftool diyelim de içinde neler varmış bakalım...

-lock-a.png nin exifttoolundan çıkan comment satırındaki hexadecimal formatındaki içerik:

lock-b.png nin exiftoolundan çıkan comment satırındaki hexadecimal formatındaki içerik:

Şuana kadar elde ettiğimiz tüm bilgileri lock.png deki iv(hex) değeri ile decryption işlemi yapalım...

Devamı..

TURKCELL CYBER CAMP'19 WRUTEUP

 MATRUŞKA

Çekirdek gibi bir kere başlayınca bırakamayacaksın :)
Flag_nerde.zip
parola.txt

Soruda bize şifreli bir zip ve txt dosyası verilmiş.Bu zip dosyasının şifresini fcrackzip toolu ile parola.txt dosyasını kullanarak kırmayı deneyelim.

Zipin şifresi tokyoymuş.Açıp bakalım bakalım zipin içerisinde neler varmış..

İyi gidiyormuşuz sevindim :)

Verilen ip adresine gitmeyi deneyelim..

Peki vazgeçer mi anadolu çocuğu ?-HAYIR..

Bunu gördüysek eksik bir dizin falan  vardır dirb toolunu kullanalım da görelim bakalım ne eksikmiş?

Bulunan linke gittiğimizde..

Elimizde bir password:h@nc0ck olarak vardı bunları zipleri bilgisayarımıza indirip deneyelim.

Elimizde flag.txt.zip ve hero.zip olarak 2 zip dosyası vardı ama şifremizle sadece hero.zip açıldı.hero.zip in içinden de x_dosya ve y_dosya adlı 2 dosya çıktı.Bundan sonrasında size 2 tane çözüm göstereceğim...

-Birinci yol: Online bir zip şifre kırıcıda flag.txt.zip in şifresini kırmaya çalışmak.

Flag{Cakma_r0lex_Ama_bire_b1r}

-İkinci yol: John tool 'u ,bunu kullanmak için 2 dosyayı tek dosya halinde birleştirip tek bir dosya yapmaktır.

x dosyası password, y shadow dosyasıdır.Bunları john toolunda kullanmak için tek bir dosya şeklinde olması gerekir.Bunun için:

Ve buradan da john toolu ile şifre rolex çıkar,bunu da flag.txt.zip de cat lersek:

:))

Devamı..

TURKCELL CYBER CAMP'19 WRITEUP

                 

Link: https://mega.nz/#!2WIlhaRL!od3eaJNQngSqZ0v_oyGZAwJ86eKSQlyl5U-M381i098

Alternatif: https://download.cybercamp2019.com/cybercamp_mem

Soruda bize bir .mem uzantılı bir imaj dosyası veriliyor ve cyber camp kullanıcısının parolası soruluyor.Bunun için volatility toolunu kullanmamız gerekir.

Burada ilk olarak Win7SP1x64 işletim sistemi verilmiş.Yani memory dump'ın(bellek dökümünün) buradan alınmış olma ihtimali çok yüksek.O yüzden ilk başta bu işletim sisteminden yola çıkarak analiz yapalım...
Windowsta kullanıcı parolaları NTLM hash şeklinde SAM dosyasında saklanır.Profili hashdump uzantısıyla çalıştırırsak NTLM hashlerinin bulunduğu SAM dosyalarına erişebiliriz..

Tatammm!! cybercamp kullanıcısı tam da karşımızda ..
Kullanıcının hash değeri de verilmiş bunubir NTLM hash kırıcısı ile kırarsak..

Cybercamp kullanıcısının parolası Aa123456 imiş.
Flag{ Aa123456 }

Devamı..

TURKCELL CYBER CAMP'19 WRITEUP

WEB

Web100–75Points

Link: https://challenge1.cybercamp2019.com/

Verilen linke gittiğimizde..

Sağ tıkla incele diyelim bakalım.Ordan Network e gidelim gelen sayfada  ctrl+r yapınca böyle bir yer geliyor karşımıza ..

En baştan girip baktığımızda karşımıza çıkan...

Ve mutlu son.. Flag{k1m_k0ydu_l4n_bunu_bur4y4}

Devamı..

TURKCELL CYBER CAMP'19 WRITEUP

Bize bir rar dosyası vermişlerdi.İçini açınca da bir txt dosyası bizi karşılıyordu..

Ctrl+Ctrl+v google search..  ---> Buradan sözü Atatürk'ün söylediği anlaşılıyor.Burada Atatürk'le ilgili olabilecek her şeyi flag içine yazıp denedim.İşte Mustafa_Kemal_Atatürk,ATATURK falan filan..

Ama adamlar bize feyk atıp zip adını md5 'le decode edince çıkan bir flag yapmışlar...

952fe65eab236e7e209a2eb993a26d69 'ı md5 leyelim!!!

Flag{Bas@ril@r}

Devamı..

TURKCELL CYBER CAMP'19 WRITEUP

CRYPTO 100

Soruda s6r4.txt dosyası verilmişti ve ipucu olarak:

İçinden de şu çıkıyor:

Bunu ilk gördüğümde şu rxms{.....} şeye benzemiyo mu ya Flag Formatına? Neyse yukardaki cümleyi artatınca sezarın hakkı sezara tanrının hakkı tanrıya gibi bir şey çıkıyordu.Buradan flag e benzettiğim kısı alıp bir sezar decoder aradım.

Ve flagimize ulaştık :)))

Devamı..