Post

magic CTF: Özümün hazırladığı CTF

Posted
Preview Image
By Rafig Zarbaliyev
2 min read

Hal-hazırda sizə özümün hazırladığı CTF-i göstərirəm.

Yükləmə linki: Download Link

Aşağıda CTF-in həll yolu, yəni write-up-ı var

Əlimizdə bir ədəd .exe PE faylı var, flaqı buradan çıxarmalıyıq.

SS

Faylı Detect It Easy (DIE) proqramı ilə analiz edərək onun tam növünü və hansı proqramlaşdırma dilində yazıldığını müəyyən edə bilərik

SS

Amma DIE bizə qəribə bir çıxdı verdi burada faylın MS-DOS formatında olduğu görünür və əlavə olaraq heç bir proqramlaşdırma dili və ya digər məlumat təqdim olunmayıb.

Digər exe fayllarda DIE-nin verdiyi çıxış isə belə olur.

SS

Nəysə, faylın MS-DOS olduğunu gördük, yəni bu bir PE faylıdır. Gəlin, bunu runlayaq, görək nə olur.

SS

Belə bir xəta aldım, exe fayli acilmir.

Artıq EXE faylını hex editor-da açıb içini görmək vaxtıdır.

SS

Burada görürük ki, əslində bu bir EXE yox, bir PCAP faylıdır.

İndi isə EXE uzantısını PCAP ilə dəyişək və faylı açmağa cəhd edək.

SS

SS

Burada bir qəribəlik olduğunu görürük. Faylın bir PCAP faylı olduğunu bildiyimiz halda, wireshark bizə “fayl formatı xətası” verdi. Yenidən hex editor-a qayıdaq.

SS

Burada görürük ki, faylın headerinde 4D 5A yazilib , yəni MS-DOS kimi qeyd olunub. Bu da Wireshark’ın bu faylı PCAP yox, hələ də EXE kimi başa düşməsinə səbəb olur və buna görə də error alırıq.

Gəlin, indi PCAP faylının header hex codesini öyrənmək üçün fayl signature listinə nəzər salaq.

SS

Buradakı hex kodlarnan bizim fayldakı hex kodunu uyğunlaşdırmağa çalışaq.

SS

Burada görürük ki, bizim fayldakı ilk 4 kod dəyişdirilib və yerinə 4D 5A, yəni MS-DOS-un ilk 4 hex kodu yazılıb. Buna görə də proqramlar bizim faylı xətalı və ya bir EXE faylı kimi görür.

indi isə, düzəlişlər edək.

SS

Artıq faylın header-i ilə pcapng formatını uyğunlaşdırdığımıza görə, faylımız problemsiz şəkildə Wireshark-da açılacaq. Bu arada görürük ki, faylımız tam olaraq bir PCAP deyil, bir PCAPNG faylıdır. Bu da o deməkdir ki, fayl Wireshark və ya yeni nəsil şəbəkə trafiki analiz proqramı tərəfindən dump olunub.

SS

SS

PCAPNG faylımız xətasız formada Wireshark-da açıldı. İndi isə gəlin flaqı tapmağa çalışaq.

SS

Şəbəkə trafikinə baxdım, amma maraqlı bir şey yoxdur. Əlimizdə olan yeganə şey HTTP sorğularıdır. Gəlin, onlara baxmaq üçün filterdən istifadə edək.

SS

Burada HTTP-yə aid çoxlu GET və POST metodları var. Bizə lazım olan POST metodudur, çünki istifadəçi sayta nəsə göndərəndə POST metodundan istifadə edir.

SS

Lazım olan metodu tapmaq üçün uyğun filtr tətbiq etdik və burada istifadəçinin sayta ad və kod verdiyini görürük. Verilən kod Base64 ilə şifrələnib. Gəlin, bu şifrəni decode edək.

SS

Və flaqı tapırıq! ✅

AZ
CTF
This post is licensed under CC BY 4.0 by the author.