TRYHACKME SAKURA ROOM WRİTE-UP
Merhabalar. Burada detaylı bir şekilde tryhackme platformundaki " https://tryhackme.com/room/sakura " sakura odasının çözümünü yaptım. İyi çalışmalar :)
1. GÖREV : GİRİŞ
SORU 1: Başlamaya hazır mısınız?
CEVAP: Let's Go!
2. GÖREV: İPUCU
SORU 1: Saldırgan hangi kullanıcı adını kullanıyor?
ÇÖZÜM:
Soruda saldırganın bıraktığı resmin kopyası linkte verilmiştir. Linke basalım.
Linke basınca aşağıdaki görüntüden başka bir şey yok.
Bu tür durumlarda ilk başvurmamız gereken şey sayfanın kaynak kodlarıdır. Faremiz ile sağa tıklayıp inceleye basalım.
Ve burada saldırganın kullanıcı adını bulmuş bulunmaktayız.
CEVAP: SakuraSnowAngelAiko
3. GÖREV: KEŞİF
SORU 1: Saldırgan tarafından kullanılan tam e-posta adresi nedir?
ÇÖZÜM:
Bilgilendirme kısmında da bahsettiği gibi bir kullanıcı adı ile birçok bilgiye ulaşabiliriz. Bulduğumuz kullanıcı adı ile googlede aratalım.
İlk önce bir GitHuba girelim. Sayfayı ilk açtığımda gözüme ilk ilişen PGP Keys oldu. Buna bir bakalım.
Buradan View code kısmına bakalım. Buradan da publickey denen kısma basalım.
Burada bize uzunca bir hash verdiğini görüyoruz.
Hashın ilk satırında (----BEGIN PGP PUBLİC KEY BLOCK-----) da anlaşılacağı üzere bu hash PGP algoritmasınındır. Şimdi bu hashı çözelim bakalım bize ne tür bilgiler verecek. Googleye pgp decoder yazıp ilk siteye girin. Hashın kodunu çözün.
Ve işte saldırganın mail hesabı:
CEVAP: [email protected]
SORU 2: Saldırganın tam gerçek adı nedir?
ÇÖZÜM:
Saldırganın kullanıcı adını tekrar googleden aradığımızda bir linkedin hesabının olduğu anlaşılıyor.
CEVAP: Aiko Abe
4. GÖREV: AÇIKLA
SORU 1: Saldırgan hangi kripto para birimi cüzdanına sahiptir?
ÇÖZÜM:
“Bazı platformlarda, sayfa önbelleğe alınmadıkça veya başka bir platformda arşivlenmedikçe, düzenlenen veya kaldırılan içerik kurtarılamayabilir. Ancak, diğer platformlar düzenlemelerin, silmelerin veya eklemelerin geçmişini görüntülemek için yerleşik işlevselliğe sahip olabilir. Kullanılabilir olduğunda, bu denetim geçmişi, araştırmacıların bir zamanlar muhtemelen yanlışlıkla veya gözetimle dahil edilen ve daha sonra kullanıcı tarafından kaldırılan bilgileri bulmalarını sağlar. Bu tür içerikler genellikle bir soruşturma sırasında oldukça değerlidir”
Bize böyle bir bilgi verilmiştir. Bu da oluyor ki saldırgan onu takip ettiğimizin farkında ve bazı yerlerden birtakım bilgileri kaldırmış. Yukarıdaki bilginin de bahsettiği gibi bazı platformlarda silme düzenleme ekleme geçmişi görüntülenebiliyor. Github da bu platformlardan biridir.
Tekrardan saldırganın github hesabına girelim. Buradan github deposuna girip detaylıca bir inceleyelim.
Buradan ETH deposuna girelim. (ETH, ERC-20 kod sistemi sayesinde birçok kripto para biriminin altyapısını oluşturan merkeziyetsiz ve açık kaynak kodlu bir blok zinciridir.)
Burada bir script vermiş onu açalım.
Sağ üstte 23.01.2021 yılı için bir geçmiş gösteriyor oraya bakalım.
Üsttekine bakalım.
Burada kırmızı renkle gösterilen kısım silinmiş alan. Sarı renk ile vurguladığım kısmı googleden aratalım.
Arattığımızda hemen ikinci sitede kripto para birimi ismi gözükmektedir.
CEVAP: Ethereum
SORU 2: Saldırganın kripto para cüzdan adresi nedir?
ÇÖZÜM:
Üstteki resimde kırmızı kısım bu sorunun cevabı.
CEVAP: 0xa102397dbeeBeFD8cD2F73A89122fCdB53abB6ef
SORU 3: Saldırgan 23 Ocak 2021 UTC'de hangi madencilik havuzundan ödeme aldı?
ÇÖZÜM:
CEVAP: Ethermine
SORU 4: Saldırgan kripto para birimi cüzdanını kullanarak başka hangi kripto para birimini değiştirdi?
ÇÖZÜM:
Saldırganın kripto para cüzdan adresini googleden arattığımıza ikinci siteyi açalım. Siteyi açtığımızda karşımıza bir arama çubuğu var .
Buraya “0xa102397dbeeBeFD8cD2F73A89122fCdB53abB6ef “ yapıştıralım. Karşımıza çıkan sayfada işaretlediğim kısıma basalım.
Sayfa bize hesap hareketlerini gösteriyor. Biraz sayfayı inceleyelim. İncelediğimizde burada faklı bir kripto para birimini görmekteyiz.
CEVAP: Tether
5. GÖREV: ALAY
SORU 1: Saldırganın şu anki Twitter tanıtıcısı nedir?
ÇÖZÜM:
Saldırgan tarafından bize gönderilen mesaja bakalım.
Saldırganın mesajı: "Ne yaptığını görmediğimi sanma! Beni yakalamayacaksın BTW. Ben zaten gidiyorum . Evine dön, baaaayyyyy! "
Resimdeki kullanıcı adını twitterda aratalım. Karşımıza böyle bir tweet çıkıyor. Tweeti atan kullanıcının sayfasına gidelim.
Ve karşımızda şuanki Twitter tanıtıcısı :
CEVAP: SakuraLoverAiko
SORU 2: Saldırganın WiFi SSID'lerini ve şifrelerini kaydettiği konumun URL'si nedir?
ÇÖZÜM:
Saldırganın tweetlerini incelediğimizde şöyle bir tweet karşımıza çıkıyor:
Tweet : ” Artık yeni telefonlar aldığımda Ap’lerimi unutmak yok !” Saldırgan bu tweetin altına bir tweet daha atmış. Ve burada DEEP PASTE büyük yazmış.
Bu da demek oluyor ki deep webden DeepPaste sitesine gidip tweette verilen hashı orada aratmak.
Ben bayağı duckduckgo üzerinden bu siteyi aradım bulamadım. Zaten ipucunda deep webe girmek istemeyenler için link vermiş. Biz oradan yararlanalım.
Verilen linke girelim.
Soru bizden url istiyor. Üstteki arama çubuğunun yanındaki kutuya da hashı yazacağız ve işteee cevap.
SORU 3: Saldırganın Ev Wifi'si için BSSID nedir?
ÇÖZÜM:
Bu soruyu çözmek için wigle.net sitesinden yararlanacağız. Ve aynı zamanda bu soruyu çözebilmeniz için hesap açmanız gerek.
Görselde işaretlediğim yere girelim. SSID / Network Name (exact match) yazan kutucuğa “DK1F-G” yazalım.
Ve işte cevap.
CEVAP: 84:af:ec:34:fc:f8
6. GÖREV: EVE DÖNÜŞ
SORU 1: Saldırganın uçuşa binmeden önce fotoğraf paylaştığı konuma en yakın havaalanı hangisidir?
ÇÖZÜM:
Saldırganın tweetlerinden birinde uçağa binmeden önce paylaştığı fotoğraf var.
Tweette Bethesda’da olduğunu söylüyor. Hemen googleden “Bethesda airport” diye aratalım.
CEVAP: DCA
SORU 2: Saldırganın son yatışı hangi havaalanındaydı?
ÇÖZÜM:
Saldırganın tweetlerinden birinde bir otel var.
Otelin üzerinde yazan yazıyı hemen googlede aratalım.
Burada Haneda bilgisine ulaşıyoruz.
CEVAP: HND
SORU 3: Saldırganın son uçuşunda olduğu gibi paylaştığı haritada hangi göl görülebilir?
ÇÖZÜM:
Tweetindeki haritadan yararlanacağız.
Bu görseli web'de arayalım.
Karşımıza böyle bir sayfa gelecek.
Buradan haritalara girelim. Haritalar kısmında katmanlar kısmından uydu görünüm yapalım çünkü sorudaki görsel de uydu görünümdedir bulmamız daha kolaylaşır.
Biraz inceleyerek görselde verilen kısmı bulabiliriz.
CEVAP: Lake Inawashiro
SORU 4: Saldırgan muhtemelen hangi şehri "ev" olarak görüyor?
ÇÖZÜM:
Tekrar wigle.net sitesine gidelim.
Sonra :
Önceki görevde bulduğumuz BSSID buraya yazalım.
Veee sorumuzun cevabı burada.
CEVAP: Hirosaki
Odamızın çözümünü bitirdik...
Tepkiniz nedir?
