Merhaba. Bu yazımda https://www.siberyildiz.com/ adresinden kayıt olunabilen Siber Yıldız CTF yarışmasında yarışma öncesi çözülerek CTF içerisindeki mantığın kavranması amacıyla hazırlanan Zararlı Gibiyim isimli hazırlık sorusunun çözümünü yapacağım. Bu soruların (hazırlık soruları) çözülüp paylaşılmasında bir yasak olmadığı fakat CTF içerisinde yer alan asıl soruların cevaplarının sızdırılması ve paylaşılmasının yasak olduğu belirtilmiştir.
Ben Siber Yıldız CTF için hazırlık sorusu olarak verilen Zararlı Gibiyim isimli soruda verilen çalıştırılabilir dosyanın çözümünü paylaşacağım. İlk olarak sorunun yer aldığı sayfada bulunan linkten Zararligibiyimm.exe isimli dosyayı indiriyorum. Ayrıca burada bize Flag için yeniden buraya gelmemiz gerektiği söylenmektedir. Bu bilgiyi unutmadan devam edelim.
Daha sonra dosyayı PEStudio ile açarak inceliyorum.
PEStudio ile açtıktan sonra dosya içerisinde yer alan stringleri inceliyorum ve stringler içerisinde bir web adresine ulaşıyorum.
http[:]//ti[.]siberyildiz[.]com/ti[.]php
Keşfettiğim bu bağlantıyı ziyaret ettiğimde karşıma base64 ile şifrelenmiş başka bir web adresi gelmekte.
Base64 ile şifreli veriyi terminal üzerinden decode ediyorum.
Veriyi decode ettikten sonra başka bir adres karşımıza çıkmakta.
https[://]ghostbin[.]co/paste/mvfq7/raw
Elde ettiğim bu adresi ziyaret ettiğimde başka bir base64 ile şifreli metin elde ediyorum.
Aynı şekilde bu şifreli metini de decode edelim.
Decode işleminden sonra karşımıza bir dosya yolu verilmekte. Bu uzantıyı açabilmemiz için başında bir domain gerekli. Sorunun çözümünde en başta bize verilen bir bilgi vardı. Flag için tekrar oraya dönmemiz gerekiyordu. O halde en başa dönüp elde ettiğimiz dosya yolunu url adresine ekleyelim.
Evet dosya yolunu url önüne eklediğimizde flagi elde ederek sorunun çözümünü bitirmiş oluyoruz. Kolay bir çözüm olmasına karşın oldukça zevkliydi. Siber Yıldız CTF yarışmasına katılacak olan herkese başarılar diliyorum.
Başka yazılarda görüşmek üzere.
