Soru Metni:
Sisteme sızan bir saldırganın veri kaçırdığını farkettik. Ekteki ağ trafik kaydını inceleyerek, kaçırılan veriyi bulmakta bize yardımcı olur musun?
41795a29a6d369da13d9bbc086008ca1.zip
Zip dosyasını açtığımızda karşımıza bir pcapng dosyası çıkıyor.
Bu pcapng uzantılı dosyayı wireshark ile inceliyoruz..
DNS protokolündeki subdomainlerin değişik simgelerle ifade edildiği görülüyor.Bu dns 'leri incelemek için Wireshark'ın terminal üzerinden çalışan versiyonu olan tshark ı açıyoruz.Böylece belirli kriterlerde rahatça arama yapabiliriz..
Burada da bütün DNS 'leri alıp bir txt dosyasına atıyoruz.
tshark -n -r karakoy.pcapng -Y 'dns' > dns.txt komudu ile.
cat dns.txt | grep '213.74.41.50' | cut -d' ' -f14 > dns2.txt komudu ile.
Test dosyasındaki “.” karakterleri çıkarıyoruz.
tr -d '.' < dns2.txt > dns3.txt komudu ile.
Daha sonra test dosyasındaki boşluklar kaldırılır.
tr -d '\n' < dns3.txt > dns4.txt komudu ile.
Ve en son da çıkan karakter analiz edildiğinde base 16 formatında encode edildiği anlaşılır.Biz de bunu base 16 formatında decode ettiğimizde...
mutlu sonla flag gelir ...:)
0 yorum:
Yorum Gönder