Merhaba değerli THT Ailesi
Bugün sizlere CTF Academy - Network Forensics - CTF çözümünü göstereceğim (DETAYLI)
2 katmanlı bir CTF
1.Katman = Lideri Takip Edin
2.Katman = Samanlık
Yapımcıların bizden istedikleri:
(1.Katman) Bayrağın hangi protokol ile aktarıldığını bulmamızı.
Yakalama dosyasında bulunan işareti açıklamamızı.
(2.Katman) Paket yakalamadaki ilk bayrağın açıklamasını yapmamızı.
Paket yakalamada'ki ikinci bayrağı bulmamızı.
!!!CTF çözmemiz için dosyaları indirmemiz gerekiyor o dosyaları çözeceğiz!!!
1.Katman Dosyası : Tıkla
2.Katman Dosyası: Tıkla
Virus total:
1.
2.
İlk önce biraz bilgi öğrenelim CTF'i çözmek için:
Wireshark
Bilgisayar Ağları
Protokoller
Wireshark Nedir?
Wireshark bir ağ “koklayıcısıdır” paketleri kablodan yakalayan ve analiz eden bir araçtır. Wireshark burada listelenemeyecek kadar çok protokolün kodunu çözebilir.
Nasıl Kurulur?
Windows için: Tıklayın
Virus Total: Tıkla
Wireshark aracı ile CTF'i çözücez.
Bilgisayar Ağları Nedir?
Genel anlamda bir bilgisayar ağı, birbirine bağlı iki veya daha fazla bilgisayardan oluşur. Tipik bir bilgisayar ağı, bir modem, bir yönlendirici ve bazen uç noktalar olarak adlandırılan birkaç bilgisayardan oluşur. Modem, dahili ağ ile genel olarak İnternet arasındaki iletişimi destekleyen bir cihazdır. Yönlendirici, ağ üzerinden modeme ve uç noktalara veri gönderen bir cihazdır. Yönlendirici ayrıca verilerin uygun uç noktalara ulaştığından emin olmaya çalışır.
Protokoller nelerdir?
Ağ bileşenlerinin verilerin nereye ve nasıl gönderileceğini bilmesi için ağ protokolleri kullanılır. Protokoller, ağ üzerinden gönderilen bireysel veri parçaları olan ağ paketlerinin yapısını tanımlar. Protokole bağlı olarak, bir paket İnternet'teki bir web sayfasından veya bir dosya aktarımından gelen verileri içerebilir. Henüz bu protokollerin tam yapısını anlamak gerekli değildir, sadece farklı veri türlerinin farklı protokoller kullandığını bilin. Bu müfredat için bilinmesi gereken birkaç önemli protokol TCP ve HTTP'dir. İletim Kontrol Protokolü'nün kısaltması olan TCP, başka bir paket göndermeden önce bir paketin alıcı tarafından alınmasını sağlayan, yaygın olarak kullanılan bir ağ protokolüdür. Bu, şifreli mesajlar gibi doğru sırayla alınması gereken hassas veriler için çok önemli bir özelliktir. HTTP, veya Köprü Metni Aktarım Protokolü, web tarayıcıları aracılığıyla İnternet bağlantıları için kullanılan bir TCP alt protokolüdür. HTTP protokolü, verileri bir uç noktadan diğerine aktarmak için TCP kullanır, ancak veriler geldiğinde HTTP, İnternet tarayıcısı tarafından yorumlanır.
Evet şimdi neler bilmemiz gerektiğini anladıysak
şimdi uygulamaya geçelim
İlk önce Wireshark aracını çalıştıracağız
Linux'da:
Veya İndirdiğimiz dosyanın üstüne çift tıklayabiliriz.
Windows:
İndirdiğimiz dosyanın içinde bulunan WiresharkPortable.exe uygulamasından açıcaz
Uygulamayı açmaya çalıştığınızda böyle bir hata vericek:
Merak etmeyin ¨Yes¨ diyip geçebilirsiniz.
Uygulama açılacaktır.
Bugün sizlere CTF Academy - Network Forensics - CTF çözümünü göstereceğim (DETAYLI)
2 katmanlı bir CTF
1.Katman = Lideri Takip Edin
2.Katman = Samanlık
Yapımcıların bizden istedikleri:
(1.Katman) Bayrağın hangi protokol ile aktarıldığını bulmamızı.
Yakalama dosyasında bulunan işareti açıklamamızı.
(2.Katman) Paket yakalamadaki ilk bayrağın açıklamasını yapmamızı.
Paket yakalamada'ki ikinci bayrağı bulmamızı.
!!!CTF çözmemiz için dosyaları indirmemiz gerekiyor o dosyaları çözeceğiz!!!
1.Katman Dosyası : Tıkla
2.Katman Dosyası: Tıkla
Virus total:
1.
2.
İlk önce biraz bilgi öğrenelim CTF'i çözmek için:
Wireshark
Bilgisayar Ağları
Protokoller
Wireshark Nedir?
Wireshark bir ağ “koklayıcısıdır” paketleri kablodan yakalayan ve analiz eden bir araçtır. Wireshark burada listelenemeyecek kadar çok protokolün kodunu çözebilir.
Nasıl Kurulur?
Kod:
sudo apt install wireshark
Windows için: Tıklayın
Virus Total: Tıkla
Wireshark aracı ile CTF'i çözücez.
Bilgisayar Ağları Nedir?
Genel anlamda bir bilgisayar ağı, birbirine bağlı iki veya daha fazla bilgisayardan oluşur. Tipik bir bilgisayar ağı, bir modem, bir yönlendirici ve bazen uç noktalar olarak adlandırılan birkaç bilgisayardan oluşur. Modem, dahili ağ ile genel olarak İnternet arasındaki iletişimi destekleyen bir cihazdır. Yönlendirici, ağ üzerinden modeme ve uç noktalara veri gönderen bir cihazdır. Yönlendirici ayrıca verilerin uygun uç noktalara ulaştığından emin olmaya çalışır.
Protokoller nelerdir?
Ağ bileşenlerinin verilerin nereye ve nasıl gönderileceğini bilmesi için ağ protokolleri kullanılır. Protokoller, ağ üzerinden gönderilen bireysel veri parçaları olan ağ paketlerinin yapısını tanımlar. Protokole bağlı olarak, bir paket İnternet'teki bir web sayfasından veya bir dosya aktarımından gelen verileri içerebilir. Henüz bu protokollerin tam yapısını anlamak gerekli değildir, sadece farklı veri türlerinin farklı protokoller kullandığını bilin. Bu müfredat için bilinmesi gereken birkaç önemli protokol TCP ve HTTP'dir. İletim Kontrol Protokolü'nün kısaltması olan TCP, başka bir paket göndermeden önce bir paketin alıcı tarafından alınmasını sağlayan, yaygın olarak kullanılan bir ağ protokolüdür. Bu, şifreli mesajlar gibi doğru sırayla alınması gereken hassas veriler için çok önemli bir özelliktir. HTTP, veya Köprü Metni Aktarım Protokolü, web tarayıcıları aracılığıyla İnternet bağlantıları için kullanılan bir TCP alt protokolüdür. HTTP protokolü, verileri bir uç noktadan diğerine aktarmak için TCP kullanır, ancak veriler geldiğinde HTTP, İnternet tarayıcısı tarafından yorumlanır.
Evet şimdi neler bilmemiz gerektiğini anladıysak
şimdi uygulamaya geçelim
İlk önce Wireshark aracını çalıştıracağız
Linux'da:
Kod:
wireshark
Veya İndirdiğimiz dosyanın üstüne çift tıklayabiliriz.
Windows:
İndirdiğimiz dosyanın içinde bulunan WiresharkPortable.exe uygulamasından açıcaz
Uygulamayı açmaya çalıştığınızda böyle bir hata vericek:
Merak etmeyin ¨Yes¨ diyip geçebilirsiniz.
Uygulama açılacaktır.
ve bizi böyle bir ekran karşılıcak:
İndirmiş olduğumuz dosyalar'dan ilk önce 1. dosyayı açıyoruz açmak için'de sol üst file kısmın'dan open diyoruz ve 1.dosyamızı buluyoruz:
Not:
1.dosyamız FollowTheLeader.pcap
2.Dosyamız haystack.pcap
Ve dosyamızı seçtik şimdi gelelim esas işlemlere
1.Katmanı çözmekle başlayalım
Bu ekrana geldiğimizde bizi
Bilgisayar ağları
İndirmiş olduğumuz dosyalar'dan ilk önce 1. dosyayı açıyoruz açmak için'de sol üst file kısmın'dan open diyoruz ve 1.dosyamızı buluyoruz:
Not:
1.dosyamız FollowTheLeader.pcap
2.Dosyamız haystack.pcap
Ve dosyamızı seçtik şimdi gelelim esas işlemlere
1.Katmanı çözmekle başlayalım
Bu ekrana geldiğimizde bizi
Bilgisayar ağları
ve
protokollar
bekliyor olucak
e hadi o zaman gelin biraz uygulama içerisinde protokolleri araştıralım
işaretlemiş olduğum mor kalem içerisinde bilgiler yazıyor peki ne bilgileri bunlar
protokollerin TCP işaretleri
e hadi o zaman gelin biraz uygulama içerisinde protokolleri araştıralım
işaretlemiş olduğum mor kalem içerisinde bilgiler yazıyor peki ne bilgileri bunlar
protokollerin TCP işaretleri
ve görüyorsunuz bütün TCP portların'da
(SYN,ACK,PSH,FIN) işaretleri belirtiriliyor peki nedir bu işaretler?
amaçları nedir gelin biraz onlara bakalım
SYN: Bir bağlantı başlatır
ACK: Alınan verileri onaylar
FIN: Bağlantıyı kapatır.
PSH:
PSH bayrağının işlevini anlamak için önce TCP'nin verileri nasıl arabelleğe aldığını anlamamız gerekir. TCP, OSI modelinin dördüncü katmanında çalışır; üst katmanlara, paket tabanlı iletişimin karmaşıklığını maskeleyerek okunabilen ve üzerine yazılabilen basit bir soket sunar. Uygulamaların herhangi bir zamanda bu soketten okumasına ve bu sokete yazmasına izin vermek için, bir TCP bağlantısının her iki tarafında her iki yönde de arabellekler uygulanır.
Aşağıdaki şema, verilerin gönderilmeden önce gönderici tarafından ve alım sırasında alıcı tarafından nasıl ara belleğe alındığını gösterir.
Şimdi Protokollerde'ki TCP işaretlerini anladık
Peki HTTP protokolunu incelemedik neden HTTP protokulunde aynı işaretler yok?
Çünkü TCP:
TCP/IP protokol takımının aktarım katmanı protokollerinden birisidir. Gelişmiş bilgisayar ağlarında paket anahtarlamalı bilgisayar iletişiminde kayıpsız veri gönderimi sağlayabilmek için TCP protokolü yazılmıştır.
HTTP:
bir kaynaktan dağıtılan ve ortak kullanıma açık olan hiperortam bilgi sistemleri için uygulama seviyesinde bir iletişim protokolüdür.
TCP aktarım katmanı iken HTTP bir kaynaktan dağıtılan ve ortak kullanıma açık olan hiperortam bilgi sistemidir.
E hadi gelin biraz'da uygulama kısmın'dan HTTP protoklunu inceleyelim
Az önce gösterdiğim görseli tekrar gösteri amaçlı gösteriyorum..
HTTP protokollerini bi göz gezdirelim.. hoppala bir şey gördük dimi 2.HTTP protokulunun info kısmında bir text/html yazısını gördük
text/html yazısının HTTP protokulunu takip edicez içinde neler var onlara bir göz atalım.
Ve evet 1.katmanın 1. ve 2.sorusunu bulduk hemen cevabı ekleyelim = Bayrağın aktarıldığı protokol: HTTP
Bayrağın içeriği: ctfa{terrific_traffic}
Şimdi 2. Katman aşamasına geçelim
2.Katman için 2. indirdiğimiz dosyayı kullanıcaz.
Bu kısım biraz ukalalık ile dolu
wireshark uygulamasında 20 saniye sonra bazı protokoller siliniyor
Ama artık sorun yok kafamız karışmıcak çünkü bayrağın bir web dosyasında olduğunu biliyoruz buda demekki HTTP protokulunde saklanıyor
(SYN,ACK,PSH,FIN) işaretleri belirtiriliyor peki nedir bu işaretler?
amaçları nedir gelin biraz onlara bakalım
SYN: Bir bağlantı başlatır
ACK: Alınan verileri onaylar
FIN: Bağlantıyı kapatır.
PSH:
PSH bayrağının işlevini anlamak için önce TCP'nin verileri nasıl arabelleğe aldığını anlamamız gerekir. TCP, OSI modelinin dördüncü katmanında çalışır; üst katmanlara, paket tabanlı iletişimin karmaşıklığını maskeleyerek okunabilen ve üzerine yazılabilen basit bir soket sunar. Uygulamaların herhangi bir zamanda bu soketten okumasına ve bu sokete yazmasına izin vermek için, bir TCP bağlantısının her iki tarafında her iki yönde de arabellekler uygulanır.
Aşağıdaki şema, verilerin gönderilmeden önce gönderici tarafından ve alım sırasında alıcı tarafından nasıl ara belleğe alındığını gösterir.
Şimdi Protokollerde'ki TCP işaretlerini anladık
Peki HTTP protokolunu incelemedik neden HTTP protokulunde aynı işaretler yok?
Çünkü TCP:
TCP/IP protokol takımının aktarım katmanı protokollerinden birisidir. Gelişmiş bilgisayar ağlarında paket anahtarlamalı bilgisayar iletişiminde kayıpsız veri gönderimi sağlayabilmek için TCP protokolü yazılmıştır.
HTTP:
bir kaynaktan dağıtılan ve ortak kullanıma açık olan hiperortam bilgi sistemleri için uygulama seviyesinde bir iletişim protokolüdür.
TCP aktarım katmanı iken HTTP bir kaynaktan dağıtılan ve ortak kullanıma açık olan hiperortam bilgi sistemidir.
E hadi gelin biraz'da uygulama kısmın'dan HTTP protoklunu inceleyelim
Az önce gösterdiğim görseli tekrar gösteri amaçlı gösteriyorum..
HTTP protokollerini bi göz gezdirelim.. hoppala bir şey gördük dimi 2.HTTP protokulunun info kısmında bir text/html yazısını gördük
text/html yazısının HTTP protokulunu takip edicez içinde neler var onlara bir göz atalım.
Ve evet 1.katmanın 1. ve 2.sorusunu bulduk hemen cevabı ekleyelim = Bayrağın aktarıldığı protokol: HTTP
Bayrağın içeriği: ctfa{terrific_traffic}
Şimdi 2. Katman aşamasına geçelim
2.Katman için 2. indirdiğimiz dosyayı kullanıcaz.
Bu kısım biraz ukalalık ile dolu
wireshark uygulamasında 20 saniye sonra bazı protokoller siliniyor
Ama artık sorun yok kafamız karışmıcak çünkü bayrağın bir web dosyasında olduğunu biliyoruz buda demekki HTTP protokulunde saklanıyor
Şimdi TCP portları ile işimiz yok..
Sadece HTTP portları ile ilgilenicez
Hadi bir tanesine bakalım :=)
Tüh! bayrağımız burada değilmiş..
Neyse devam o bayrak buraya gelicek..
Neyse devam o bayrak buraya gelicek..
Ve evet bayrağımızı bulduk
1.Bayrağımızın ismi : ctfa{HTTP_FTW}
Peki 2.Bayrağımızın ismi?
Hadi 2.bayrağımızı bulalım
1.Bayrağımızın ismi : ctfa{HTTP_FTW}
Peki 2.Bayrağımızın ismi?
Hadi 2.bayrağımızı bulalım
:=(
Neyse devam 2. bayrağımızı bulucaz..
Neyse devam 2. bayrağımızı bulucaz..
Vee dostlar dediğim gibi o bayrağı bulucaz
CTF konumuz bu kadar'dı benim için eğlenceli bir örnek CTF konusu oldu
Umarım size yardımcı olabilmişimdir wireshark toolunu'da biraz'da olsa öğretebilmişimdir umarım..
CTF konumuz bu kadar'dı benim için eğlenceli bir örnek CTF konusu oldu
Umarım size yardımcı olabilmişimdir wireshark toolunu'da biraz'da olsa öğretebilmişimdir umarım..
Kendinize dikkat edin :=)