TRYHACKME SAKURA ROOM WRİTE-UP

Merhabalar. Burada detaylı bir şekilde tryhackme platformundaki " https://tryhackme.com/room/sakura " sakura odasının çözümünü yaptım. İyi çalışmalar :)

  TryHackMe Write-Up   Ekim 13, 2022   0   1338  Okuma Listesine Ekle
TRYHACKME SAKURA ROOM WRİTE-UP

1. GÖREV : GİRİŞ

SORU 1: Başlamaya hazır mısınız?

CEVAP: Let's Go!

2. GÖREV: İPUCU

SORU 1: Saldırgan hangi kullanıcı adını kullanıyor?

ÇÖZÜM:

Soruda saldırganın bıraktığı resmin kopyası linkte verilmiştir. Linke basalım.

Linke basınca aşağıdaki görüntüden başka bir şey yok. 

Bu tür durumlarda ilk başvurmamız gereken şey sayfanın kaynak kodlarıdır. Faremiz ile sağa tıklayıp inceleye basalım. 

Ve burada saldırganın kullanıcı adını bulmuş bulunmaktayız. 

CEVAP: SakuraSnowAngelAiko 

3. GÖREV: KEŞİF

SORU 1: Saldırgan tarafından kullanılan tam e-posta adresi nedir?

ÇÖZÜM:

Bilgilendirme kısmında da bahsettiği gibi bir kullanıcı adı ile birçok bilgiye ulaşabiliriz. Bulduğumuz kullanıcı adı ile googlede aratalım. 

İlk önce bir GitHuba girelim. Sayfayı ilk açtığımda gözüme ilk ilişen PGP Keys oldu. Buna bir bakalım. 

Buradan View code kısmına bakalım. Buradan da publickey denen kısma basalım.  

Burada bize uzunca bir hash verdiğini görüyoruz.

Hashın ilk satırında (----BEGIN PGP PUBLİC KEY BLOCK-----) da  anlaşılacağı üzere bu hash PGP algoritmasınındır. Şimdi bu hashı çözelim bakalım bize ne tür bilgiler verecek. Googleye pgp decoder yazıp ilk siteye girin. Hashın kodunu çözün. 

Ve işte saldırganın mail hesabı:

CEVAP: [email protected]

SORU 2: Saldırganın tam gerçek adı nedir? 

ÇÖZÜM:

Saldırganın kullanıcı adını tekrar googleden aradığımızda bir linkedin hesabının olduğu anlaşılıyor.

CEVAP: Aiko Abe

4. GÖREV: AÇIKLA

SORU 1: Saldırgan hangi kripto para birimi cüzdanına sahiptir?

ÇÖZÜM:

“Bazı platformlarda, sayfa önbelleğe alınmadıkça veya başka bir platformda arşivlenmedikçe, düzenlenen veya kaldırılan içerik kurtarılamayabilir. Ancak, diğer platformlar düzenlemelerin, silmelerin veya eklemelerin geçmişini görüntülemek için yerleşik işlevselliğe sahip olabilir. Kullanılabilir olduğunda, bu denetim geçmişi, araştırmacıların bir zamanlar muhtemelen yanlışlıkla veya gözetimle dahil edilen ve daha sonra kullanıcı tarafından kaldırılan bilgileri bulmalarını sağlar. Bu tür içerikler genellikle bir soruşturma sırasında oldukça değerlidir”  

Bize böyle bir bilgi verilmiştir. Bu da oluyor ki saldırgan onu takip ettiğimizin farkında ve bazı yerlerden birtakım bilgileri kaldırmış.  Yukarıdaki bilginin de bahsettiği gibi bazı platformlarda silme düzenleme ekleme geçmişi görüntülenebiliyor. Github da bu platformlardan biridir. 

Tekrardan saldırganın github hesabına girelim. Buradan github deposuna girip detaylıca bir inceleyelim. 

Buradan ETH deposuna girelim. (ETH, ERC-20 kod sistemi sayesinde birçok kripto para biriminin altyapısını oluşturan merkeziyetsiz ve açık kaynak kodlu bir blok zinciridir.) 

Burada bir script vermiş onu açalım.

Sağ üstte 23.01.2021 yılı için bir geçmiş gösteriyor oraya bakalım.

Üsttekine bakalım. 

Burada kırmızı renkle gösterilen kısım silinmiş alan.  Sarı renk ile vurguladığım kısmı googleden aratalım. 

Arattığımızda hemen ikinci sitede kripto para birimi ismi gözükmektedir.

CEVAP: Ethereum 

SORU 2: Saldırganın kripto para cüzdan adresi nedir?

ÇÖZÜM:

Üstteki resimde kırmızı kısım bu sorunun cevabı. 

CEVAP: 0xa102397dbeeBeFD8cD2F73A89122fCdB53abB6ef

SORU 3: Saldırgan 23 Ocak 2021 UTC'de hangi madencilik havuzundan ödeme aldı?

ÇÖZÜM:

CEVAP: Ethermine

SORU 4: Saldırgan kripto para birimi cüzdanını kullanarak başka hangi kripto para birimini değiştirdi? 

ÇÖZÜM: 

Saldırganın kripto para cüzdan adresini googleden arattığımıza ikinci siteyi açalım. Siteyi açtığımızda karşımıza bir arama çubuğu var .

Buraya 0xa102397dbeeBeFD8cD2F73A89122fCdB53abB6ef yapıştıralım. Karşımıza çıkan sayfada işaretlediğim kısıma basalım. 

Sayfa bize hesap hareketlerini gösteriyor. Biraz sayfayı inceleyelim. İncelediğimizde burada faklı bir kripto para birimini görmekteyiz. 

CEVAP: Tether 

5. GÖREV: ALAY

SORU 1: Saldırganın şu anki Twitter tanıtıcısı nedir? 

ÇÖZÜM:

Saldırgan tarafından bize gönderilen mesaja bakalım. 

Saldırganın mesajı: "Ne yaptığını görmediğimi sanma! Beni yakalamayacaksın BTW. Ben zaten gidiyorum . Evine dön, baaaayyyyy! " 

Resimdeki kullanıcı adını twitterda aratalım.  Karşımıza böyle bir tweet çıkıyor. Tweeti atan kullanıcının sayfasına gidelim. 

Ve karşımızda  şuanki Twitter tanıtıcısı :

CEVAP: SakuraLoverAiko

SORU 2: Saldırganın WiFi SSID'lerini ve şifrelerini kaydettiği konumun URL'si nedir? 

ÇÖZÜM:

Saldırganın tweetlerini incelediğimizde şöyle bir tweet karşımıza çıkıyor:

Tweet : ” Artık yeni telefonlar aldığımda Ap’lerimi unutmak yok !”  Saldırgan bu tweetin altına bir tweet daha atmış. Ve burada DEEP PASTE büyük yazmış.

Bu da demek oluyor ki deep webden DeepPaste sitesine gidip tweette verilen hashı orada aratmak. 

Ben bayağı duckduckgo üzerinden bu siteyi aradım bulamadım. Zaten ipucunda deep webe girmek istemeyenler için link vermiş. Biz oradan yararlanalım. 

Verilen linke girelim. 

Soru bizden url istiyor.  Üstteki arama çubuğunun yanındaki kutuya da hashı yazacağız ve işteee cevap. 

CEVAP: http://depasteon6cqgrykzrgya52xglohg5ovyuyhte3ll7hzix7h5ldfqsyd.onion/show.php?md5=0a5c6e136a98a60b8a21643ce8c15a74

SORU 3: Saldırganın Ev Wifi'si için BSSID nedir?

ÇÖZÜM:

Bu soruyu çözmek için wigle.net sitesinden yararlanacağız. Ve aynı zamanda bu soruyu çözebilmeniz için  hesap açmanız gerek. 

Görselde işaretlediğim yere girelim. SSID / Network Name (exact match) yazan kutucuğa “DK1F-G” yazalım.

Ve işte cevap. 

CEVAP: 84:af:ec:34:fc:f8

6. GÖREV: EVE DÖNÜŞ

SORU 1: Saldırganın uçuşa binmeden önce fotoğraf paylaştığı konuma en yakın havaalanı hangisidir?

ÇÖZÜM:

Saldırganın tweetlerinden birinde uçağa binmeden önce paylaştığı fotoğraf var. 

Tweette Bethesda’da olduğunu söylüyor. Hemen googledenBethesda airport” diye aratalım.

CEVAP: DCA 

SORU 2: Saldırganın son yatışı hangi havaalanındaydı?

ÇÖZÜM:

Saldırganın tweetlerinden birinde bir otel var. 

Otelin üzerinde yazan yazıyı hemen googlede aratalım.  

Burada Haneda bilgisine ulaşıyoruz. 

CEVAP: HND 

SORU 3: Saldırganın son uçuşunda olduğu gibi paylaştığı haritada hangi göl görülebilir? 

ÇÖZÜM:

Tweetindeki haritadan yararlanacağız. 

Bu görseli web'de arayalım. 

Karşımıza böyle bir sayfa gelecek. 

Buradan haritalara girelim. Haritalar kısmında katmanlar kısmından uydu görünüm yapalım çünkü sorudaki görsel de uydu görünümdedir bulmamız daha kolaylaşır. 

Biraz inceleyerek görselde verilen kısmı bulabiliriz.  

CEVAP: Lake Inawashiro

SORU 4: Saldırgan muhtemelen hangi şehri "ev" olarak görüyor? 

ÇÖZÜM:

Tekrar wigle.net sitesine gidelim.  

Sonra :

Önceki görevde bulduğumuz BSSID buraya yazalım. 

Veee sorumuzun cevabı burada.

CEVAP: Hirosaki

Odamızın çözümünü bitirdik...

Buraya kadar vakit ayırıp okuduğunuz için teşekkür ederim.

Etiket

Ayşenur DOĞUYEL

Merhaba ben Ayşenur. Fırat Üniversitesi Adli Bilişim Mühendisi 3. sınıf öğrencisiyim. "sibermetin.com" sitesinde yazarlık yapıyorum. Siber alanı ile alakalı edindiğim bilgileri sizlere aktarmaya çalışıyorum. İyi okumalar :)