İçeriğe geç

HackingWars – Cyber Intelligence Çözümleri

Öncelikle CTF e katılan ve emek gösteren tüm arkadaşlara teşekkürler. Umarım güzel ve eğlenceli bir yarışma olmuştur. Geçen seneden biraz farklı olaran Twitter üzerinden troll tweetler atamadık. Bunun nedeni ülkemizde üzücü haberlerin olması. Dilerim bu terör belasından en kısa zamanda kurtuluruz. Bu soruları tek başıma hazırlamadım. Bana yardım eden gizli bir arkadaş var. Onun emeğide oldukça fazla.

1-) Watch (100 Puan): 

Soruda bir adet saatlerden oluşan fotoğraf ve BEATLES grubunun HELP! (https://en.wikipedia.org/wiki/Help!_(album)) albümünden “The Night Before” adlı şarkı vardı. Ve tabi ki bu ikisi arasında bir ilişki. Şarkıyı Shazam vb. uygulamalar ile dinlettiğinizde ismini bulabilirdiniz. İlk olarak şarkı sözlerine bakmak aklınıza gelecektir. Oradan bir sonuç alamayınca albüme bakacaktınız. Albüm kapağında zaten Flag Semaphore (https://en.wikipedia.org/wiki/Flag_semaphore) kullanıldığını fark etmeniz gerekiyordu. Fotoğraftaki bazı saatlerde akrep ve yelkovan yoktu. Bunları kenara attığınızda geri kalan saatlerde rakamların olmadığını göreceksiniz. 1 den 6 ya kadar rakamlar farklı farklı saatlerde kayboluyor. Bu harflerin sırasını belirtmekte. Flag semaphore a göre tek tek harfleri çıkardığınızda “kansha” yazacak. Bunuda Flag formatına uygun hale getirdiğinizde 1. soruyu çözmüş oluyorsunuz.

2-) Two e-face (200 Puan):

 Soruda üstteki fotoğraf bulunmakta. Fotoğraftan exif bilgileri (Oradada bir şey yok.) dışında çıkarılabilecek tek bilgi bir e-posta adresi olan “quirtyer@hotmail.com”. Malum günümüz dünyasında her şey sosyal medya demek. Elinizde böyle bir e-posta olduğunda herhangi bir sosyal medya hesabı var mı? ya da bir yerde leak olmuş mu diye bakarsınız. Bir yerde leak olmadığını gördüğümüzde “Quirtyer” kelimesini Twitterda aratıyoruz. Arattığımızda karşımıza aşağıdaki hesap çıkıyor. (Sorunun adıda bu profil fotoğrafından geliyordu)

Bu hesabı incelediğimizde hakkında kısmında “Brena Scanlon” yazdığını ve beğendiği gönderilerde LinkedIn e ait bir paylaşımın olduğunu görmekteyiz.

Bu iki bilgiye istinaden LinkedIn sitesinde bu şahsı aradığımızda sözde Yale üniversitesinde okuyan bir profil buluyoruz. Kolaylık olması açısından bu profilin desteklediği organizasyonlar arasında “dump” ve “leak” anahtar kelimeleri bulunuyor. Aynı sayfada “aidenmcnamara@gmail.com” e-posta adreside bulunmakta. Bu e-postaya ait bir veri sızıntısı var mı diye kontrol ettiğinizde “hercules” parolasına sahip bir sızıntı buluyorsunuz. Bu sorunun cevabıda hercules in flag formatına sokulmuş haliydi.

3-) Deep Space (300 Puan):

Bu soruda bir adet QR kod verilmekteydi. Bir QR kod ile yapabileceğiniz tek şeyde QR kodda bulunan adrese gitmektir. QR kodu bir kamera vasıtasıyla okutup, “https://archive.org/details/@danielrivera” adresine gitmeniz gerekiyor. Bu adrese gittiğinizde “DanielRivera” adlı bir kişinin archive.org profili ile karşılaşmaktasınız. Bu profilde bir adet fotoğraf ve “programmer, open source” anahtar kelimeleri bulunmakta. Adreste bulunan fotoğraf aşağıdaki şekilde.

Fotoğrafa bakan ve bilgisayar oyunlarına meraklı tüm arkadaşlar “Vault 101” kelimesinden direk olarak Fallout serisine gönderme yaptığımı göreceklerdir. (Buradan tüm Fallout dünyasına selamlar olsun.) İlgili sayfadaki anahtar kelimeleri ve fotoğraftaki “Nerenyum Project” i birleştirdiğinizde bu projeyi Githubda araştırmanız gerektiğini fark edecektiniz. Arattığınızda aşağıdaki gibi bir ekran ile karşılaşmaktasınız. İlgili projede zaten tek bir cpp dosyası mevcut.

Bu dosyanın içindeki kodları okumaya başladığınızda bir yorum satırında Youtube linki bulunduğunu göreceksiniz. Bu Youtube videosunu açtığınızda aktif olmadığını, açıklama kısmındaki yeni linki görecektiniz. O linke gittiğinizde NASA nın canlı olarak Youtube üzerinden yayınladığı yayını görecektiniz. Bu sorunun flagi ise belli zaman aralıkları ile bu videonun chat kısmında paylaşılmakta. Desem inanırdınız. Maalesef acı gerçek ile tanışmanın vakti geldi. Aslında bu sorunun adının deep space olmasının nedeni sizi uzay boşluğuna atması. Düzgün bir şekilde OSINT yapmazsanız kendinizi bulacağınız o dipsiz kuyu, uzay boşluğu. Kim bilir bu youtube linkinden yarışmacılar daha nerelere nerelere gittiler. Fakat flag size verilen ilk QR kodunun içerisinde gizliydi. QR kodu notepad++ vb programlar ile açtığınızda “descc” kısmında base64 ile encode edilmiş bir şekilde sizi beklemekteydi : ) (Bu blog yazısındaki fotoğrafta bulamazsınız.)

4-) Find this guy please (400 Puan): Bu soruyu ben hazırlamadığım için anlatmayı uygun görmedim. Fakat Githubdaki flag.txt içerisinde gizli değildi onu belirtmek istiyorum.

5-) The Witcher (500 Puan): 

Bu soruda yine yarışmacılara bir ekran görüntüsü verildi. Ekran görüntüsü Telegram adlı bir konuşma uygulamasına ait. İlgili görselde Steam indirim günlerinin geri sayımını yapan bir link ve Tenkirty takma ismi bulunmaktaydı. Burada da yine iki parçayı birleştirdiğinizde Tenkirty takma ismini Steam üzerinde aramız gerektiğini anlıyordunuz. İlgili profile girdiğinizde aşağıdaki sayfa ile karşılaşıyordunuz. Bu sayfada hack, game ve live channel anahtar kelimelerinizdi. Ayrıca Steam kötü özelliklerinden (bana göre) biriside eski takma isimlerinizin silinmemesi. Takma ismin yanındaki aşağıya bakan ok a tıkladığınızda eski takma isimleri göstermekte.

Eski takma ismi ve “live channel” anahtar kelimelerini birleştirdiğinizde günümüzde çok popüler olan Youtube veya Twitch gibi oyun severlerin uğrak mekanlarından olan platformlarda bu eski takma ismi aratmanız gerekmekteydi. Youtubedan bir şey çıkmayınca, Twitch de arattığınızda https://www.twitch.tv/kultying/v/94149960 adresini buluyordunuz. Mafia3 oynanan bir video. Videonun 3:10 saniyesinde oyun kapanıp, ekranda bir not defteri belgesi beliriyor.

Not defterindeki adrese gittiğinizde “zombie_pc_list” adlı bir dosya indirmektesiniz. Bu dosya bir Truecrpyt containerı. Bu dosyayı açmak için bir parolaya ihtiyacınız var. Rockyou.txt gibi sözlüklerle kırabileceğiniz bir şifre değil. Sorunun başında verilen Telegram konuşmasının exif bilgilerinde parola bulunmaktaydı. Bu parola ile Truecrypt containerını açtığınızda içindeki .txt belgesinde flag bulunmaktaydı.

Umarım soruları beğenmişsinizdir. Başka bir zaman, başka bir CTF de görüşmek dileğiyle!

Tarih:Uncategorized