CTFLearn 356 - A CAPture of Flag Write Up

    


    Bu yazıda CTFLearn sitesinin 356 ID'li challenge'ı olan A CAPture of Flag'in çözümünü yapacağız. Soru Forensics kategorisinin Medium bölümünde yer alıyor. Öncelikle soruyu birlikte inceleyip soruya nasıl yaklaşacağımıza bakalım.

 

Sorunun Linki


Sorunun Görseli:


 

Linke girdiğinizde flag(4) isminde bir dosya karşınıza çıkıyor. Net bir şekilde hatırlamamakla beraber Windows'ta dosya uzantısız olarak iniyor olabilir. Böyle bir durumda sorudaki CAP vurgusu ve "You should check out WireShark." ibaresinden dosyanın .cap uzantılı olduğunu anlayabilirsiniz. Dosyayı WireShark'la inceleyelim. Dosyamızı WireShark ile açtığımızda gözüme ilk çarpan nokta http-post işlemleri oldu.



    Benim WireShark sorularına yaklaşımım genellikle hızlıca protokollerde göz gezdirip daha sonra http-request'leri ve DNS'leri incelemek şeklinde oluyor. Bu yüzden http-post işlemini görünce http-request'lerine bakma ihtiyacı duydum ve HTTP paketlerini filtreledim.


    

 247 No'lu satırda /msg?= komutu dikkatimi çekti. Site üzerinden get metoduyla mesaj sorgusu gönderilmiş. İlk başta paketi inceleyip bir site üzerinden bu linke girip flag'i bulacağımı düşündüm. Daha sonra mesajın sonundaki = işareti bunun encrypt edilmiş bir metin olacağı düşüncesini getirdi ve Base64 ile online bir decrypter aracılığıyla kırmaya çalıştım.

 


Decrypt işlemi başarıyla gerçekleştikten sonra flag{AFlagInPCAP} cevabına ulaştım.



Yorum Gönder

0 Yorumlar