24 Aralık 2012 Pazartesi

DKH-Kripto Analiz Bizim İşimiz- Soru:16

Kripto Analiz Bizim İşimiz


tekrar eden karakterlere dikkat edin...aklıma önce Vigenere geldi ama anahtar olmayınca direk ROT-13 deneyeyim ki ROT için 13 anahtar sayılır...neyse baktım ROT-13 değil ROT-19 kullanıldığını tespit ettim. ROT'ta ısrar edeceksin demek ki :))

JVTWHUPLZ THF WBYJOHZL AOL ILZA ZLJBYPAF ALJOUVSVNPLZ AOHA TVULF JHU IBF, AYHPU
AOLPY WLVWSL ZV DLSS AOHA AOLF SVJR BW HSS AOLPY ZLJYLAZ ILMVYL NVPUN OVTL HA
UPNOA, HUK OPYL IBPSKPUN NBHYKZ MYVT AOL ILZA ZLJBYPAF MPYT PU AOL IBZPULZZ.
AOHA JVTWHUF PZ ZAPSS CBSULYHISL. PUKPCPKBHSZ THF MVSSVD LCLYF ILZA ZLJBYPAF
WYHJAPJL YLJVTTLUKLK IF AOL LEWLYAZ, ZSHCPZOSF PUZAHSS LCLYF YLJVTTLUKLK
ZLJBYPAF WYVKBJA, HUK IL AOVYVBNOSF CPNPSHUA HIVBA WYVWLY ZFZALT JVUMPNBYHAPVU
HUK HWWSFPUN ZLJBYPAF WHAJOLZ. AOVZL PUKPCPKBHSZ HYL ZAPSS JVTWSLALSF
CBSULYHISL. MSHN PZ RLCPUTPAUPJR.

evet girelim şu siteye ne kadar ROT varsa denesin:http://www.mobilefish.com/services/rot13/rot13.php
ROT19
===========================================================
COMPANIES MAY PURCHASE THE BEST SECURITY TECHNOLOGIES THAT MONEY CAN BUY, TRAIN
THEIR PEOPLE SO WELL THAT THEY LOCK UP ALL THEIR SECRETS BEFORE GOING HOME AT
NIGHT, AND HIRE BUILDING GUARDS FROM THE BEST SECURITY FIRM IN THE BUSINESS.
THAT COMPANY IS STILL VULNERABLE. INDIVIDUALS MAY FOLLOW EVERY BEST SECURITY
PRACTICE RECOMMENDED BY THE EXPERTS, SLAVISHLY INSTALL EVERY RECOMMENDED
SECURITY PRODUCT, AND BE THOROUGHLY VIGILANT ABOUT PROPER SYSTEM CONFIGURATION
AND APPLYING SECURITY PATCHES. THOSE INDIVIDUALS ARE STILL COMPLETELY
VULNERABLE. FLAG IS KEVINMITNICK.

Dünyayı Kurtaran Hacker-Hafıza Kaybı Soru-22

Soru-22:

Karşı gezegenden bir hacker'ın evine yapılan baskında ele geçirilen bilgi sadece bir hafıza kaydı idi.
Ama planlarını öğrenmek için bize bu hacker'ın şifresi gerekiyor.
Cevap: memory dump içerisinden bizden parola bulmamız isteniyor. Facedeki ipucunu görmüşsünüzdür . neydi ipucu SAM...
demek ki bir NT Hash & LM Hash arayacağız. Bunun için kullandığım tool Volatility Windows versiyonu....

Önce Volatility nin help"ine bi bakalım

komuts satınıdan:

volatility --help
evet şimdi memory dump"ın alındığı sistemi öğrenelim.

volatility_imageinfo



WindowsXP SP3 olarak görünüyor. Şimdi yapacağımız şeay şu. SAM ve SYSTEM key regisitryde şifrelenmiş olarak saklanıyor. Dolayısıyla memory dump
içinde bulunan Registry Hive'leri bulmamazı lazım.

volatility_hivelist

evet SAM ve SYSTEM key'in sanal adreslerine ulaştık. Şimde bu  adreslerdeki (y ve s parametrelerine dikkat..y sistem için, s ise sam için) hash verilerini dump edelim. Ekranda da görelim dosyaya da yazdıralım kafamıza göre takılalım :)

volatility_hashdump

evet bingo..her şey yolunda gitti.

Flag:1003:08199a0517978363aad3b435b51404ee:daebaf71adf849c287c91cf8b8dc42d7:::
parola:h4d1b3

parola kırmak için kullandığım web sitesi:www.objectif-securite.ch

yok ben kıracağım diyosanız Rainbow Table oluşturun derim.

23 Aralık 2012 Pazar

DKH - pkzip encryption sorusu (soru-13)

Dünyayı kurtaran hacker yarışmasından sorulan 13. sorusunda pkzip formatından kaynaklanan bir açıktan kaynaklanan bir durum söz konusuydu. şöyleki Winzip 7.0 ile parola korumalı olan dosyanın isimlerini görüyorduk. burda önemli olan parola korumlaı zip dosyasının içeindeki bilindik.jpg isimli dosyanın CRC değeri ile aynı değere sahip ama parola korumasız bir jpg uzantılı resim dosyası bulmaktı. tabi ben daha önce incelediğim imaj dosyaları içerisinde bunu aratmayı biliyordum. Zaten siz de aratabilirsiniz. Tek yapacağını CRC değerlerini hesaplayıp parola korumlaı dosya içindeki CRC ile karşılaştırmak . dikkat edilecek birinci husus bu.

biliinmedik_crc32

bilindik_crc

 

evet bakıyoruz..bilinmedik.zip dosyasındaki bilindik.jpg ile örnek olarak sunulan(tabi bu dosyanın sunulup sunulmadıpğını anlamak size kalmış) bilindik.jpg isimli dosyanın CRC değerleri aynı. bilindik.zip dosyasnı biz oluşturcağız.aşağıda anlatacağım.
bilindik.jpg dosyası sorunun bulunduğu sayfadaki resim dosyası arkadaşlar.
bilindik

 

evet şimdi napacaz..Winzip 7.0 bilgisayara kuracağız. zaten ipucu olarak verilmiş ve winzipler aynı versiyon olmalı(bikaç versiyon istisna olabilir.). Sonra siteye koyulan bilindik.jpg dosyasını biz de Winzip 7.0 ile arşivleyerek bilindik.zip isimli bir dosya oluşturacağız. Parola filan koymuyoruz. skıştırma ayarlarını varsayılan olarak yaptım. sonucu bulmasaydım bilinmedik.zip'in ayarlarına göre yapacaktım.

evet şimdi napıyoruz. hiç öyle ticari program filan aramayın. Elcomsoftu, AccessDatayı, Passware bilirim. Ama gerek yok.  http://www.unix-ag.uni-kl.de/~conrad/krypto/pkcrack/download2.html sitesine bir girin sonra indirin.

şimdi şifre kırma işlemine başlayacağız.
evet programımız pkcrack...alacağımız parametreler(büyük-küçük harfe dikkat)
C: parola korumalı zip dosyası--->bilinmedik.zip
c: parola korumalı zip dosya içerisinde bulunan ve bizimde elimizde bir örneği olan (CRC si aynı olan dosya...sorunun olduğu sayfadaki resimle aynı isimdeki dosya)-->bilindik.jpg

P: bizim Winzip 7.0 kullanarak oluşturduğumuz ve içinde bilindik.jpg (sorunun olduğu sayfadaki resim) olan ve adı bilindik.zip olan (adını farklı yapı bi deneyin isterseniz...şu an zamanım yok bunu denemeye:))
p:bilindik.jpg dosyası(sorunun bulunduğu sayfadaki resim dosyası)

evet şimdi gelelim programı çalıştırmaya. ben programı sanal XP'de çalıştırdım. Vista ve 7 sorun çıkardı. Linuxta denemedim.

pkcrack -P bilnimedik.zip -p bilindik.jpg -C bilindik.zip -biilndik.jpg -d sonuc.zip -a   (szi bunu yazın)

ya da

pkcrack -P bilnimedik.zip -p bilindik.jpg -C bilindik.zip -bilindik.jpg -o
pcrack

 

 

 

 

 

 

 

 

 

 

 

 

 

evet sonuçta sonuc.zip isimli bir dosya oluşacak ve dosyada plain-text yani şifresiz olarak z1plenenz1pleyenindir flagini göreceksiniz.

-o parametresi ile de programın çıktısına bakarsanız en alt satırlarda zip dosyasının parolasını da görceksiniz. Parola: ZoR!!*1%

22 Aralık 2012 Cumartesi

Dünyayı Kurtaran Hacker-DKH-fırından taze poğaça

Soru:
Suyunuzu aldınız, şimdide karnınızı doyurma vakti.
Sunucuya giden parolayı bulmanız gerekmekte.
ftp.zip

Cevap:Wireshark ne güne duruyor? Follow TCP Stream...
pogaca

Dünyayı Kurtaran Hacker-DKH-Bombalara Hayır

Soru-3:

Bir gezegenin saldırı sistemlerine sızan bir hacker dünyayı hedef aldı.
Bu bombalar arasında en güçlüsü XF-23321 şu anda dünyaya geliyor.
Bu bombayı imha etmelisin!
Boom
İpucu: Resimde birşeyler gizli olabilir.

Cevap:istersenix hex editor programı ile bakabilirsiniz ya da bir Exif programı ile. ya da sağ clik yapın ve ayrıntılara bakın sadece :)

H311NoToWoMD

boom

Dünyayı Kurtaran Hacker-DKH-Hackatolia

Soru-2: soru aynen söyle....
Ağızdan ağıza dolaşırdı bu hikaye. Sadece hackerların yaşadığı topraklar.
Ancak kim bulmuştu, nedir bu hackatolia bilinmez.

Cevap: Tabi bu sorudan pek bi şey çıkaramadım. Taa ki facebook'taki ipucu verilene kadar.

Whois hackatolia..yani whois sorgusuna bakılacak..Aslında ingilizceye çevirilince whatis hackatolia gibi çıkıyor :)

neyse ipucu whois olunca bir who is sorgusu yaptım ve cevap....
brav0bulduns0nund4


hackatolia

Dünyayı Kurtaran Hacker-DKH-Su vereydi iyiydi

Soru-1:
Gezegenlerde susuzluk başladı.
Buna bir çare bulman gerekiyor.
Ekteki dosyada suyu bulabilirsin.

Su deposu

Not: Mouse hareketini sakladigindan bazi antivirusler dosyayi virus olarak gormektedir

Cevap: önce resourceHacker ile baktım exe dosyaya..fakat zaman alınca doğrudan exe'yi çalıştırmayı düşündüm. tabi işkillenmedim de değil :) Aklıma pratik bir çözüm geldi. AutoIt programını daha önce kullanmıştım. Su.exe dosyasını çalıştırdıktan sonra windows'taki büyüteç programı ve WindowInfo Tool ile kovanın sapının :) koordinatlarını buldum. sonra AutoIt'de bir tane MouseClickDrag scripti yazdım ve çalıştırdım. noldu..kovanın sapını tutup çekmiş oldum. Sonra da bir mesaj kutusu geldi.

SuV3r3yd11y1yd1

su

Dünyayı Kurtaran Hacker-DKH

dkhyarışmada herhangi bir iddiam yoktu. zaten yarışacak ne hal vardı ne zaman..Evli ve çocuklu bir adam için zaman çabuk geçiyor. Yoğun mesai de cabası..ama ben yine de bi kaç gece uykusuz kalmayı tercih ettim. nası olsa kahve uykumu açardı. sorular mizahi bir içerik taşıyordu. bilgi ve hayalgücü bir araya getirilmişti. Yarışmayı CF_Guney adıyla 54.sırada bitirdim.

dediğim gibi iddiam yoktu çünkü zamanım yoktu..yetmedi de..ipuçları verildikten sonra 5 gün daha olsa işimi görürdü. en azından ilk 10'da olacağımı düşünüyorum.

Ben buradan yarışmayı hazırlayan Can YILDIZLI ve www.prodaft.com ekibine teşekkür ediyorum. Çözdüğüm soruları yayınlayacağım. Çözemediklerimi de ya da bakamadıklarımı ya da sonraya bıraktıklarımın da çözümlerini burdan yayımlamayı düşünüyorum.

Soru-1:
Gezegenlerde susuzluk başladı.
Buna bir çare bulman gerekiyor.
Ekteki dosyada suyu bulabilirsin.

Su deposu

Not: Mouse hareketini sakladigindan bazi antivirusler dosyayi virus olarak gormektedir

Cevap: önce resourceHacker ile baktım exe dosyaya..fakat zaman alınca doğrudan exe'yi çalıştırmayı düşündüm. tabi işkillenmedim de değil :) Aklıma pratik bir çözüm geldi. AutoIt programını daha önce kullanmıştım. Su.exe dosyasını çalıştırdıktan sonra windows'taki büyüteç programı ve WindowInfo Tool ile kovanın sapının :) koordinatlarını buldum. sonra AutoIt'de bir tane MouseClickDrag scripti yazdım ve çalıştırdım. noldu..kovanın sapını tutup çekmiş oldum. Sonra da bir mesaj kutusu geldi.

SuV3r3yd11y1yd1

su

Soru-2: soru aynen söyle....
Ağızdan ağıza dolaşırdı bu hikaye. Sadece hackerların yaşadığı topraklar.
Ancak kim bulmuştu, nedir bu hackatolia bilinmez.

Cevap: Tabi bu sorudan pek bi şey çıkaramadım. Taa ki facebook'taki ipucu verilene kadar.

Whois hackatolia..yani whois sorgusuna bakılacak..Aslında ingilizceye çevirilince whatis hackatolia gibi çıkıyor :)

neyse ipucu whois olunca bir who is sorgusu yaptım ve cevap....
brav0bulduns0nund4

hackatolia

Soru-3:

Bir gezegenin saldırı sistemlerine sızan bir hacker dünyayı hedef aldı.
Bu bombalar arasında en güçlüsü XF-23321 şu anda dünyaya geliyor.
Bu bombayı imha etmelisin!
Boom

İpucu: Resimde birşeyler gizli olabilir.

Cevap:istersenix hex editor programı ile bakabilirsiniz ya da bir Exif programı ile. ya da sağ clik yapın ve ayrıntılara bakın sadece :)

boom

H311NoToWoMD

Soru-4:

Suyunuzu aldınız, şimdide karnınızı doyurma vakti.
Sunucuya giden parolayı bulmanız gerekmekte.

ftp.zip

Cevap:Wireshark ne güne duruyor? Follow TCP Stream...and then USER and PASS
pogaca

Soru-5
Bekleme yapma, daha çok görevin var!
ist-1

Cevap:yukarıda resimdeki görülen sayfanın kaynak koduna bakılınca bir md5 dğeri hasap eden javascript kodu görünüyor.
kodda dikkat edilecek husus öncelikle myFunction isimli fonksiyon. tabi ben önce reverse md5 ile uğraştım. facebooktaki ipucunu gördükten vazgeçtim. zaten zaman kısıtılıydı ...reverse hash ile uğraştırmazlardı soruları hazrlayanlar.netekim öyle oldu..

google'da "javascript beautify" aratınca bu kodu http://jsbeautifier.org/ sitesine kopyalayıp güzelleştirelim ve sonuç.

function myFunction() {
var variable = document.forms.myForm.key.value;
var hash = calcMD5("chA&a4R!nu");
if (calcMD5(variable) == hash) {
document.write("Success, send key chA&a4R!nu")
} else {
document.write("Fail")
};
}


buradan md5'i hesaplanan değerin ve dolayısıyla submit edilen değerin yani cevabın "chA&a4R!nu" olduğu görülecektir.

Soru-6:
Not almak guzeldir
noted

 

Cevap: bildiğiniz yap-boz...
Flag şifreni unutma V2atifC3h

soru-7: Hacker sepetinden Alışveriş
Karışıklıktan istifade tüm insanlar online alışverişe saldırdı.
Cevap:500 Dolar paramız var. Dünya yok olmak üzere. malum nükleer savaş. tabiki Gaz Maskesi alacağız. hayat memat meselesi ancak Gaz maskesinin fiyatı 20000 Dolar...tabi karaborsaya düşmüş...e napacaz...manipülasyon yapacaz.

ben Firefox'a TamperData eklentisini ekledim. Sonra Start tamper yaparak.
tamper

kaynak kodunda "product_name" alanında ürün isimlerinin md5 hash değerinin olduğunu görüyoruz.

Örneğin:
md5("Laptop Charger")=> product_name="f78263cad6675bac9515919ffa4b1353" olarak görülüyor.

yapacağımız şey: önce price değerine 500 dolar veya daha az bir değer yazmak, product_name alanına ise Gas Mask'ın product_name alanına "Gas Mask" stringinin md5 değeri ile post etmek.

md5("Gas Mask")=ff17e6433b3bf9548a6ef169892a81e9

price alanına da 100 yazalım.
sonra da submit yapalım....
tamper2

 

Tebrikler gaz maskesini aldiniz, artik yarismaya canli olarak devam edebilirsiniz
5b92efb5cc86781e04e31910e56e3ba5


Soru-8:
bi kaç denemede tutturdum zamanı...
tam_zamanı

 

çıkan sonuç:
y3t1st1my3t1st1m

Soru-9:

Bu soruyu çözmeyip sonraya bırakmıştım. tabi sonra yetiştiremedim...çözümü Birinci olan ex kod adlı yarışmacının bloguna göre yaptım.

Hackerlar duydukları garip seslere uyandılar.

Cevap:paketi wiresharkta açıyoruz. sessiz oyun, voooiii dosya adına bakarak bu paketlerin voip paketleri olduğunu varsayarak önce UDP paketleri RTP olarak decode ediyoruz. sonra Telephony menüsünden RTP-->StreamAnalysis ve sonra da payload "au" audio formatında kaydedelim. sonra da vlc ile dinleyelim. şifreyi küçük harflerle kodlandığını duyacaksınız....
sesvar

şifre: sesvargoruntuyok

(DEVAM EDECEK...........................................................)

21 Aralık 2012 Cuma

Dünyayı Kurtaran Hacker

https://fbcdn-sphotos-c-a.akamaihd.net/hphotos-ak-snc7/602361_559080037451362_1090386837_n.png