Siber Yıldız 2020 Write-Up Hazırlık Sorusu Zararlı Gibiyim

Selamlar, bu yazımda Siber Yıldız 2020 yarışması öncesinde sorulan Zararlı Gibiyim isimli hazırlık sorusunun çözümünü anlatacağım.

Soru dosyası : Zararligibiyimm.exe.zip

Soruda Zararligibiyimm.exe isminde windows ortamında çalıştırılabilir bir dosya verilmiş.

Öncelikle statik olarak inceleme yapalım ve stringlerine bakalım. Dosyaya ait stringlere baktığımızda bir GET isteği olduğunu farkediyoruz.

kali@kali:~/siberyildiz2020/hazirlik$ strings Zararligibiyimm.exe

Sayfayı ziyaret ettiğimizde(http://ti.siberyildiz.com/ti.php) karşımıza encoded bir data çıkıyor.

Karakter setini incelediğimizde ve sonundaki padding karakteri olan “=” işaretini dikkate aldığımızda base64 ile encode edildiğini farkediyoruz. Base64 decode işlemini yapalım ve sonucu inceleyelim.

kali@kali:~/siberyildiz2020/hazirlik$ echo "aHR0cHM6Ly9naG9zdGJpbi5jby9wYXN0ZS9tdmZxNy9yYXc=" | base64 -d
https://ghostbin.co/paste/mvfq7/raw

Karşımıza bir websayfasına ait URL çıkıyor. Sayfayı ziyaret edelim ve incelemeye devam edelim.

Yukarıdaki encoded data üzerinde yaptığımız incelemeyi benzer şekilde burada da uygularsak yine karşımıza base64 encoded data çıktığını rahatlıkla görebiliriz. Base64 decode işlemini yapalım ve sonucu inceleyelim.

kali@kali:~/siberyildiz2020/hazirlik$ echo "L2I0YjBkNDcyZjI4NjU5ZDJmMzQzMDJiM2UyYWRiODljLnBocD9pZD02ZDliODI2ZGRjMDcyNTNmOTRjMWExODZlNGFlYWE3ZDE5YzVkYmM1" | base64 -d
/b4b0d472f28659d2f34302b3e2adb89c.php?id=6d9b826ddc07253f94c1a186e4aeaa7d19c5dbc5

Base64 decode işlemi sonucunda karşımıza bir path çıkıyor. Bu pathi yukarıdaki incelememizde bulduğumuz URL içine ekleyerek sayfayı ziyaret edelim.

Flag değerimizi elde ettik.

Siberyildiz3{eTBaYTRybjd178JKVKLLSlkaDE87L016L3Uwb3FLTHNpSk5NRmF6VG5VamE3WE5MTlN0ajllK3R5elFZVlZPK1FROUs5dFlxSXpSNnZkdWxybmorQlE5PQ==}

Yazımı okuduğunuz için teşekkürler, bir başka yazıda görüşmek dileğiyle..