Hackİstanbul'21 WriteUp
Hackİstanbul'21 Çözdügüm sorular ve çözemedigim birkaç soruyu içeren WriteUp'ım
Sorumuzda Detailed_Search.VT.txt uzantılı bir metin belgesi verilmekte metin belgesini açtıgımızda
Şeklinde bir Sha-256 Şifrelemesi çıkıyor ilk başta şifrelemeyi kırmaya çalıştım kıramayacagımı anlayınca kırılmıyacak şifreyi vermezler herhalde diyerek bu işte bir iş var dedim googleda hash'i arattıgımda iexplorer.exe isimli dosyaya ait oldugunu fark ettim. farklı virüs tarama sitelerinde dosya mevcuttu Sonrasında .txt uzantılı dosyamızın adında geçen VT sözcüğü dikkatimi çekti ve virüs totalden bahsettigini anladım.
Virüsü Totalde hash'i arattıgımda community kısmındaki yorum bizi bir pastebin linkine götürüyor. linkten çıkan base64 tarzındaki şifreyi kırdıgımızda ise Flag'i ele geçiriyoruz.
Sorumuzda listen_Well.wav uzantılı ses dosyası verilmiş sesi dinledigimizde Mors alfabesi oldugunu anlıyoruz. Online Mors Decoder ile decode ettigimizde Flag Karşımızda
Sorumuzda vail.txt uzantılı bir dosya içerisinde yine mors alfabesi ile yazılmış bir yazı görüyoruz.
Online Araçlar ile decode ettigimizde Flag karşımızda çıkıyor
Sorumuzda Şifreli zip arşivimiz ve Hist.wav uzantılı bir ses dosyamız var dinledigimizde anlamsız sesler oldugunu fark ediyoruz. Aklımıza hemen Audio Stenegraph için sonicvisualizer'i açmak geliyor.Biraz karıştırdıgımızda ise sonuç
Ses dosyamızdaki metni Şifreli zip arşivimize giriyoruz hist.flag uzantılı dosyamızı metin belgesiyle açtıgımızda flag karşımızda
Sorumuzda bir .png uzantılı resim veriliyor string ettigimizde içinde gömülü bir dosya barındırdıgına dair ipuçları görüyoruz binwalk -e komutumuz ile extract ettigimizde çıkan dosya içinde flag'imizi buluyoruz. (Affola Detayları unuttum) Sorumuzda zipped_flag.zip adında birbiri içine arşivlenmiş arşivler verilmiş string ettigimizde 2021 tane arşiv bulundugunu görüyoruz basit bir bash kodu ile#!/bin/bash
unzip zipped_flag.zip
for ((direct=1; direct>=1; direct++))
do
read -r side < direction.txt
unzip -o "$direct$side.zip"
done
arşivleri açtıgımızda hex.zip isimli son bir zip ve içinden flag.exe isimli bir dosya çıkıyor
string ettigimizde hexadecimal türünde verilen hash'imizi kırıyoruz ve flage ulaşıyoruz.
Sorumuzda bir restorantın önüne ait resim verilmiş açıklamada ise belki yorumlar yardımcı olur yazılmıştı dogal olarak google görsel arama yaptıgımızda resimdeki restorant'ın
internetten satış yaptıgı sayfasına ulaşıyoruz restorant yorumlarında ise flag'imiz bizi bekliyor ama biraz manipule edilmiş ve birde ipucu dilenilmiş şekilde :D
Sorumuzda yine birbiri içine gömülmüş bu sefer .tar uzantılı arşivlere rastlıyoruz yine basit bir bash betiği ile dosyaları açmaya başlıyoruz dosyaları açtıgımızda bir adet .gpg dosyası ve A-B-C-D şeklinde her klasörde bu seferde iç içe zip dosyalarına rastlıyoruz.
Klasörlerdeki arşivleri açtıgımızda F Klasörü içinde flag.exe uzantılı bir dosyanın arşive şifrelendigini görüyoruz ben buraya kadar gelebildim burdan ilerisinde ne bir ipucu ne bir şifre bulamadım soruyu çözemedim.
Sorumuzda katar uçagına ait bir resim veriliyor açıklamaya resimdeki uçagın hangi havalimanına indigini ögrenmek isteyen bir muhabir oldugu söyleniyor google görsel aramalar ile uçagı buldugumuzda farklı haber sitelerinde Şanlıurfa havalimanına indigi söyleniyor şanlıurfa havalimanının ismini hiçbir şekilde flag olarak kabul etmedi haber sitelerini tek tek gezerek yorumlarda ipuçları bulmaya çalışsamda birşey bulamadım bu soruyuda çözemedim.