25
Mar
2019

Easy Trade Forensic CTF Writeup Pcap Analizi

Sanırım Securinet ctfinin en kolay ikinci sorusuydu. Ancak yine de fena bir soru değil.

Easy Trade
200
We just intercepted some newbies trying to trade flags.
Author: bibiwars

Öncelikle pcap dosyasını wireshark ile açıyoruz. Genellikle ctflerde görmeye alışık olduğumuz kalabalık bir trafik yok. Fazla trafik olmadığı için filtrelemeye gerek duymadan hızlıca bakıyoruz.

ctf pcap analizi

Key’i istediğini görüyoruz ve devam ediyoruz.

pcap analizi

Cevap olarak 4444 portunu dinle diyor bundan sonra bu port üzerinden bir şeyler geleceğini anlayabiliriz. Biraz daha aşağıya iniyoruz.

pcap analizi

Ayrıca böyle bir şey gelmiş. Burada ctfin adı geçiyor ama nedeni belli değil devam ediyoruz.

wireshark export rar

Evet 4444 nolu porttan flag.txt içeren bir şey gelmiş. Ancak plain text olarak bakınca bir şey yok. PK’yi bir yerden hatırlıyorum ama nereden. Magic headerdan dosyanın tipini öğrenmek için
wikipediadan ilgili adrese gidiyoruz. Dosyamız sıkıştırılmış bir dosyaymış. Bu noktada hex editör ile üstteki ekran görüntüsünde seçili bölümü kopyalarak yeni bir dosya oluşturuyoruz.

hex editor ile dosya oluşturma

Dosyayı kaydediyoruz. Uzantısını rar yapıyoruz. Rar dosyasını açmaya çalıştığımızda parola soruyor. Hemen üstte tespit ettiğimiz securinet XD’yi yazıyoruz. Boşluksuz bir şekilde girdiğimizde kabul ediyor. Flag.txt dosyayı açılıyor.

base64 encoded flag

Flag base64’e benziyor. Windows ortamında olduğum için hemen online bir tool aracılığıyla base64 ü decode ediyoruz ve flag karşımızda.

Base64 Decode

Bu ctf sorusundan ne öğrendik. Trafikte gelen anlamsız gibi gözüken dataların mutlaka magic headerlarını kontrol etmeliyiz. Ayrıca anlamsız gibi gözüken şeyler aslında birer ipucu olabilir. Pcap dosyasını isteyenlere analiz etmesi için mail ile gönderebilirim. Yorum yapmanız yeterli.

Share

You may also like...

2 Responses

  1. Nusret Onur Ayduman dedi ki:

    Respect +

  2. Furkan Yücebaş dedi ki:

    Respect++

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir