TRYHACKME TSHARK WRİTE-UP

GÖREV 2

SORU 1 : dns.cap dosyasında kaç paket var?

Öncelikle görev dosyasını indirelim.

Terminale yazacağımız kod:

 tshark -r dns.cap 

CEVAP: 38

SORU 2: Yakalamada kaç A kaydı var? (Yanıtlar dahil)

Terminale yazacağımız kod:

 tshark -r dns.cap -Y "dns.qry.type == 1" | wc l  

CEVAP: 6

SORU 3: En çok hangi A kaydı vardı?

Terminale yazacağımız kod:

 tshark -r dns.cap -Y "dns.qry.type == 1" -T fields -e dns.qry.name 

CEVAP: GRIMM.utelsystems.local

GÖREV 3

SORU 1: Bu yakalamada kaç paket var?

Öncelikle görev dosyasını indirelim.

Terminale yazacağımız kod: 

 tshark -r dnsexfil.pcap 

CEVAP: 125

SORU 2: Bu pcap'ta kaç DNS sorgusu var? (Cevaplar değil!)

Terminale yazacağımız kod:

 tshark -r dnsexfil.pcap dns.flags.response == 0 

Toplamda 56 tane DNS sorgusu vardır.

CEVAP: 56

SORU 3: Şüpheli sorguların DNS işlem kimliği (onaltılık olarak) nedir?

Bu soruyu wireshark ile çözeceğiz. Wiresharkı açalım. Buradan ICMP protokolü olan 98'e tıklayalım bu paket şüpheli gözüküyor. Bu paketin içindeki alan adı kısmına girelim.

CEVAP: 0xbeef

SORU 4: DNS sorgularından çıkarılan dize nedir?

Dikkatli bakarsak her DNS'nin ilk harfi farklı gerisi aynıdır. Bu tüm harfleri birleştirelim.

CEVAP: MZWGCZ33ORUDC427NFZV65BQOVTWQX3XNF2GQMDVG5PXI43IGRZGWIL5

SORU 5: Bayrak nedir?

4. soruda bulduğumuz bir hash değeridir. Bu hash değeri base32 ile şifrelenmiştir. Şimdi bu şifreyi kıralım.

CEVAP: flag{th1s_is_t0ugh_with0u7_tsh4rk!}

Tshark hakkında daha fazla bilgi edinmek isterseniz https://sibermetin.com/tshark yazıma bakabilirsiniz.

İyi çalışmalar...