İçeriğe geç

Aylar: Mayıs 2016

DKHo CTF Çözümleri

Merhabalar, Dünyayı Kurtaran Hacker’ın Oğlu (DHKo) CTF’i hakkında bir yazı yazmak istedim. 2012 nin aralık ayında (Bu mayalara göre kıyamet zamanları) düzenlenen ve benimde katıldığım yarışmanın 2. Sini düzenledik. Tabi bu yarışma benim için daha farklı şeyler ifade etmekte. İlkinde hayranı olduğum insanların düzenlediği bir yarışmaya lise yıllarımda girip elimden geleni yapmış, şimdiyse soru aynı yarışmada soru hazırlayan biri oldum. Bunun bana hissettirdiği duygu tabiki ayrı bir güzel.

2012 yılında dünyayı kurtaran abimizin birde oğlu varmış! Benim “İkinci Dalga DKH CTF’i” olarak adlandırdığım bu CTF’te de oğlunun hikayesini konu alıyoruz. DKH kaçırılmış ve oğlu DKH’ı, yani babasını arıyor. 7 kategori ve her kategoride 5 sorudan oluşan bu yarışmada bu şekilde başlamış oluyor. Ben siber istihbarat hakkındaki soruları Can hoca ile beraber hazırladım. Soruları hazırlarken olabildiğince “benzersiz”(uniq) olmasını istedik. Ve sanıyorumda bunu başardık. Benim en çok eğlendiğim kısım insanların gazeteyi bulmak için verdikleri o uğraş oldu. Kimisi çöpleri karıştırmış, kimisi komşuluk ilişkilerini tekrardan canlandırmış, birisi berbere mi gitsem diyordu. Bir kişide bayinin önünde bekliyordu.

Böyle bir CTF yaptığınız zaman beklediğiniz şeyde tabiki geri dönüşler oluyor. Sağ olsun arkadaşlar sürekli tweetleri ile bizi gülmekten kırdı geçirdi. Sanki herkes birbirini tanıyormuşta buluşup bir etkinlik yapmışız tadında bir CTF oldu diye düşünüyorum. Tekrar bütün o tweetleri atan arkadaşlara burdan teşekkürler! Bu CTF’in en kötü yanı, CTF bittikten sonra ki o boşluğa düşüş oldu. Bir kaç arkadaştanda gördüm ki aynı duyguları onlarda yaşamış. CTF bitti herkes “ee ne olacak şimdi? Ne yapacağım ben?” düşüncesine kapılmış. Ama her güzel şeyin malesef bir sonu vardır arkadaşlar.

Neyse daha fazla uzatmadan sorulara geçeyim.

The Good Old Days (100):

Soru: Evimizdeki boş bir kutuda babamın eski bir cep telefonunu buldum. İlginç olan cep telefonunda böyle bir fotoğrafın olması. Belki bu fotoğraf bir şeyleri açıklığa kavuşturur.

Not: Küçük harfler ile giriniz.

Çözüm: Verilen barkod fotoğrafında aşağıdaki rakamlar gözükmemekte. Bu yüzden çıplak gözle bu ürünün ne olduğunu anlamak imkansız. Ama yarışmacıların yapması gereken basitti ve bu barkodu online bir sitede (http://www.onlinebarcodereader.com/) taratıp rakamları elde edeceklerdi. Siteye fotoğrafı yüklediğinizde zaten direk “8690624303612” rakamlarına ulaşıyordunuz. Google babaya bu rakamları verdiğinizdede Çerezza süt mısırı 55gr çıkıyordu. Burada yazım sıkıntısı yaşanmasın diye cevabı “çerezza” yapmıştık. İlk “c” ile deyenler olmuş fakat sanıyorum ki ikinci denemede yapmışlardır. Sorunun adı nerden geliyor derseniz. EE hepimiz küçükken cips alıp yiyordu mahallede arkadaşlarla. Tatlı sert anılarımızda vardır. O yüzden böyle bir isim koyayım dedim.

The Perfect Choice (200):

Soru: Telefonu biraz daha kurcaladığımda mesajlarda bir evden bahsediliyor. “İkisi bu kadar mı denk gelir arkadaş hahaha” yazan bir mesaj var. Babamı takip eden ajanlar tarafından gizli kapaklı konuşulmuş. O ev her nerdeyse babama giden ipucu yakınlarında olmalı!
Not: Küçük harfler ile giriniz.

Çözüm: Sorunun bulunduğu sayfada steampunk temalı bir ev fotoğrafı bulunuyor. İlk başta arkadaşlar bu ev üzerinden denemeler yapmışlar fakat o fotoğrafın çözüm ile alakası yoktu. Sadece yarışmacıya “bir ev bulmalısın” demenin alternatif yoluydu. Ki bunuda soruda zaten belirttik. Her neyse soruda bir adet .kml dosyası vardı. Bilmeyenler için açıklıyayım .kml dosyası Google Maps için kullanılan bir format. Kişisel haritanızı (işaretlemeler, çizgiler vs.) oluşturmanızı ve bunu çevrimdışıda yanınızda taşıyabilmenizi sağlıyor.

.kml nin ne formatı olduğunu öğrenen/bilen herkesin işi Google haritalarda bu dosyayı açmak oldu. Fakat herkes açtığında çizilmiş bir kaç yoldan başka bir şey göremedi. Fakat sol tarafa baktığınızda Güzergah 1 in olup 2 nin olmadığını ama 3ün yine olduğunu ve bu şekilde gittiğini görmekteydiniz. Ee tabiki bir CTF’te bu yarışmacıları kıllandıran bir durumdur. Neden böyle eksik bu güzergahlar diye düşünürken tabiki arkadaşların aklına “bu dosyanın içeriğine birde yazı editörü ile bakalım ne varmış?” demek geldi. Dosyayı açtıklarında karışık bir format olmadığını dosyanın içerisinin XML formatında olduklarını gördü. İçerikte, bütün güzergahların (haritada gözükmeyenlerinde) olduğunu ve bu kordinatların yorum satırı ile pasifleştirildiğini fark ettiler. Yorum satırında çıkarıp tekrar haritalarda açtıklarında ise haritada “SİFTAH” yazdığını fark ettiler. Bazıları fark etmemiş ve çıkan tüm sokakları street view ile gezmiş. Onlara yazık olmuş cidden. Neyse devam etmem gerekirse iyide bu ne demek bu SİFTAH ?

Tabiki bu yazıyı bulan arkadaşlar “bu ne ya?” deyip direk yine Google Maps’te arattılar. Ve karşılarına Kadıköyde bulunan Siftah sokak çıktı.(Ne kadar ilginç değil mi?) Sorumuzda bir ev ve evin yanında ipucu olduğundan bahsediliyordu. Bu yüzden street view e geçip siftah sokağa inmek gerekiyordu. Siftah sokağa girdiğinizde “normal bir sokak işte” diyebilirsiniz fakat bu aşamada sorudaki “İkisi bu kadar mı denk gelir arkadaş hahaha” yazısını hatırlamanız gerekiyordu. Yani bu sokakta bir şeylerin denk gelmesi gerek. Elinizde zaten sadece “SİFTAH” yazısı olduğundan neyin denk gelmesi gerektiğinide fazla düşünmenize gerek yok. Tabiki Siftah apartmanı! Çoğu kişi buraya kadar gelmiş fakat etrafına iyice bir göz gezdirmemiş. Burada yarışmacılarımıza aslında önceden bir ipucu daha vermiştik. Oda sorunun başlığı olan “The Perfect Choice” du. Siftah apartmanının hemen yanında yer alan dükkanda bir reklam vardı ve o dükkandada “The Perfect Choice” yazıyordu. Altındada nemosub ile başlaya bir yazı. Fakat yazının devamı net gözükmediğinden dolayı flag olarak sadece “nemosub” u kullanmaya karar verdik.

Fight in the House (300):

Soru: Babamın tuttuğu eve girdiğimde her taraf darmadağandı. Belli ki bir boğuşma yaşanmış. Babam asla laptop’ını kitlemeden başından kalkmaz. Şimdiyse laptopında bu saçma video kanalı açık.
https://www.youtube.com/channel/UCBbJTI2j9-1Et-DYA1MoLBg

Çözüm: Soruda bir youtube kanalı verilmiş. İlgili linke girdiğimizde steampunk temalı bir profil bizi karşılıyor. Hacer Deniz adlı birinin profili ve 4 adet video beğenmiş. Bu videolarda dikkat edilmesi gereken pastebinin geçtiği videoydu. Ayrıca youtube kanalında “Davelerus” yazıyordu. Pastebin sitesine girip Hacer deniz ya da Davelerus yazıp arattığınızda karşınıza herhangi bir sonuç çıkmıyordu (ilk gün için) bunun için pastebin’in bir trick’ini bilmeniz gerekiyordu. Tıpkı sosyal medyada olduğu gibi pastebindede profil sayfası bulunmakta bunun için pastebin.com/u/Davelerus yazmanız gerekmekte. Pastebin ile haşır neşir olanlar bu ayrıntıyı bilecektir. Pastebinde ilgili sayfaya girdiğinizde “pastebin.com/KftAhUyk” sayfası ile karşılacaksınız.

Burada sözde bir hacker grubunun konuşması yer almakta. Konuşmalarda küfür kullandım çünkü küfür olaya gerçeklik katıyor. Konuşmayı okuduğunuzda bir telefon numarası ve bu telefon numarası ile açılmış bir sosyal medya hesabından bahsediliyor. Malum zaten 3-5 tane sosyal medya sitesi olduğundan hemen bu sitelerde ilgili numarayı aratmanız gerekiyor. Facebookta bu numarayı arattığınızda ya da kimbunumara.com da arattığınızda “Alara Difransiyaloğlu” adlı bir profil ile karşılaşıyorsunuz. Profilde herkese açık bir şekilde zaten flag yayınlanmış durumda. Not: Facebook hesabınız yok ise herkes ile paylaşsanız bile Facebook o kişinin paylaşımını göstermiyor.

Outside The Wire (400):

Soru: Davelerus un mail hesabına sızdım. Çoğu mail encrypted. Bir kaçı sadece okunabiliyor.
Onlarda şunlar:
“Oğlum bu iş bu kadar ciddi mi? Yani bunun için sahte kimlikle ev kiralamaya filan gerek var mı? Şu evin haline bak! Emlakçıda götün tekine benziyor zaten. Tek iyi yanı kendi netimizden çıkmıyoruz :D”
“Ben sana dedim AMK! O herife güven olmaz diye. Ne bok yicez şimdi? Mail’e bak! HER ŞEYİNİ WIPELA HER ŞEYİNİ ACİL!”
Bu herifleri bu kadar korkutan kişi kim olabilir ki? E-posta adresini bulup MD5’ini almam lazım …
NOT: md5 flag küçük harflerle yazılacaktır.

Çözüm: Soruyu okuduğunuzda zaten e-posta adresi bulmanız gerektiğini anlıyorsunuz. Soruda birde fotoğraf verilmiş. Fotoğrafın exif bilgilerine baktığınızda GPS kordinatları olduğunu hemen farkediyoruz. Bu kordinatlara gittiğimizde Gemlik Bursaya bağlı olan Küçük Kumla adlı ilçeyi görüyoruz. Google mapsten baktığınız zaman hemen o kordinatlarda Google maps üzerinde bir emlakçı ilanı olduğunu görmüşsünüzdür. Sorudaki emlakçı kelimesinden dolayıda çoğu kişi bu ilan üzerinden yollarına devam etmiş. Adamı telefondan arayan, pazarlık yapan vs bile olmuş. Hatta tesadüf eseri o kişinin paylaştığı ilginç bir kum sanatı ile ilgili fotoğrafta bulunması tabiki insanları kıllandıran bir farklı nokta olmuş. Fakat malesef doğru yol bu değildi. Sorudaki kilit cümle “Tek iyi yanı kendi netimizden çıkmıyoruz :D” cümlesiydi. Bu hacker grubu kendi adlarına internet kullanmıyorlar ise 2 ihtimal vardı. Ya açık hat üzerinden kendilerini hotspot açıp internete giriyorlardı. Ya da yakınlardaki bir WIFI noktası kullanıyorlardı. 3G den çıkılan hotspot noktasınıda yarışmacılar bulamayacağından dolayı tek mantıklı seçenek başkasının WIFInı kullanmaktı. Fakat çoğu arkadaş bu kilit cümleyi gözünden kaçırmış. Neyse kaldığımız yere geri dönecek olursak, bu hacker grubu kullandıkları WIFI ağını dünyadaki en popüler “Free WIFI” uygulaması olan https://play.google.com/store/apps/details?id=io.wifimap.wifimap&hl=tr adlı uygulamadan bulmuş olabilirlerdi. Bu uygulamayı telefonunuza kurduğunuzda size etrafınızdaki WIFI ağlarını göstermekte ya da kötü çalışan arama kısmını kullandırtmakta. Malesef o arama sonucu ilgili yeri bulmakta oldukça zor. Bu yüzden telefonunuzun GPS kordinatlarını değiştirebileceğiniz uygulamalardan birini kurup telefonunuzun GPS kordinatlarını değiştirmeniz gerekmekte. Değiştirip uygulamada WIFI’ları arattığınız zaman zaten 4 – 5 yer karışınıza çıkmakta. Bu yerlerden biri olan “Meltem Pansiyon” da ilginç bir yorum bulunmaktaydı. “Kervan Mimarlık” adlı bir şirket ev kiralamakta ve şirketin web sitesini vermekteydi. O sitede kervanmimarlik.com. Bu aşamadan sonra yarışmacılar e-posta arayacaklarını bildiklerinden dolayı direk iletişim sayfasındaki info@kervanmimarlik.com adresini girdiler ve flag doğru çıkmayıncada heralde yanlış yorum diyerek başka yollara gittiler. Tabiki bir takım arkadaş WHOIS bilgilerine bakıp ilginç bir şeyler var mı diye merak etti ve aradıklarını buldular. NSA’in bağcılar şubesi olan (şaka) nsa1971@yahoo.com e-posta adresini buldular.

Last Man Standing (500):

Soru: Babam dijital yaşama pek güvenmezdi. Bana bir keresinde açık kaynak istihbaratını öğretmek için şu yazıyı okutmuştu.
https://tr.wikipedia.org/wiki/A%C3%A7%C4%B1k_kaynak_istihbarat%C4%B1
O an anlamıştım …
Babamı bilgisayar başında oturarak bulamayacaktım. Sokağa çıkmam lazımdı.
Arayan numarayı not ettim ve koşarak sokağa fırladım…
0 (212) 505 65 37
İpucunu bulduğumda, ipucunun bulunduğu alanın başlığını (Galiba ‘Yİ’ ile bitiyordu) aralarında boşluk olmadan not etmem lazım.
Böylece ipucunun sonuna bu başlığı ekleyip, boşlukları temizleyip, komple büyük harf olarak not edersem babama ulaşabilirim.
NOT: flag içeriğinin tümü büyük harftir. İ, Ü vb harfler kullanılabilir.

Çözüm: Bu soru bizim için önemliydi. Bunun nedeni OSINT’in sadece internet üzerinden elde edilen bilgiler olduğunun düşünülmesi yaygın kanı. Ama adından belli olduğu üzere “açık kaynaklı” her türlü bilgi toplama alanı OSINT’in içerisine girmekte. Bu yüzden yarışmacılara farklı bir deneyim sunmak istedik. Günlerce bilgisayar başında oturan arkadaşları biraz bilgisayarlarının başından kaldırmak istedik ve öylede oldu. Bu soru ile ilgili çok güzel geri dönüşler aldığımızı düşünüyorum.

Soruda verilen numara Google’da aratıldığında Posta gazetesinin numarası olduğu görülmekteydi. Sorudada zaten “sokağa fırladım”, “bilgisayar başında oturarak bulamayacaktım” cümlelerinden bir Posta gazetesi alınması gerektiği anlaşılıyordu. Posta gazetesi alıp sayfalara incelediğinizde gözünüzden kaçmış olabilir. Malum babamızı arıyoruz bu yüzden kayıp ilanı olması muhtemeldi. Bu yüzden sarı ilanlar sayfasına girip flagı kolaylıkla bulabilirdiniz.

Bu sorunun cevabını gece farkedenler, bir sonraki gün gazeteler geri gönderileceğinden bayinin başında bekleyen arkadaşlar olmuş. Berbere gidip eski gazeteyi isteyenler, komşularına soranlar, bayideki çalışanlarla beraber flag arayanlar olmuş. Bu yorumlar bizi oldukça eğlendirdi ve mutlu etti. Bu sorudaki amacımıza ulaştığımızı düşünüyorum. Benim için oldukça keyifli bir CTF oldu. Genelde TR’deki CTFlerde konu olmuyor. Size bir IP, pcap exe vs veriliyor ve içinden flagi bulmanız isteniyor. Fakat DKH’ı diğer CTF’lerden ayıran özelliğinde bu olduğunu düşünüyorum. Soru bankasında çıkan soruları çözdürmüyor, bir hikayenin içine dahil ediyorsunuz. Buda katılımcıları daha farklı bir atmosferin içine sokuyor. Umarım çok daha güzelleri ile tekrar karşınızda olabiliriz. Son olarak Twitter’da eğlenen ve eğlendiren tüm arkadaşlara selam olsun. O tweetlerin yarışan arkadaşlara oldukça fazla moral verdiğini düşünüyorum. Kişisel olarak ben okurken oldukça eğlendim. O ince çizgiyi kaçırmadan süper bir şekilde noktaladık.

En son olarak siber güvenlik aleminden bazı kişiler CTF hakkında bir takım yorumlar yapmış. Gözümden kaçanlar olmuş olabilir. Bir kaç tanesini okudum. Eleştirilerin yapıcı ve mantıklı olduğunu düşünmediğimden dolayı tek söyleyeceğim şey canınız cehenneme! 🙂