Background Image

BLOG

DKHOS - Cyber Intelligence 500 - Beni kalbimin ortasından vurdun Pelinsu
17 Şubat 2018 CTF

DKHOS - Cyber Intelligence 500 - Beni kalbimin ortasından vurdun Pelinsu


Soru Açıklaması:

Beni kalbimin ortasından vurdun Pelinsu

Soru Çözümü:

Fotoğrafı indirip metadasına baktığımızda karşımıza "www.dkhos.com/m/missingpdf.jpg" adresi çıkıyor.

Bu adrese gittiğimizde bir görsel ile daha karşılaşıyoruz. Bu görselde ":" ile ayrılmış rakamlar ve en aşağıda TORu temsil eden soğan görselini görüyoruz.

Yine bu görselin metadasında bir bilgi var mı diye kontrol ettiğimizde "Delft, Netherlands" ve "X9WG+8F" bilgilerini görüyoruz.

Bu bilgileri Google da aradığımızda karşımıza karşımıza "Delft University of Technology" çıkıyor. Haritada işaretli bu konuma biraz daha yaklaştığımızda en yakında "TU Delft Unit Sports" adresi olduğunu görüyoruz. Buranın işaretlenmesinin bir nedeni olacağından bu konumu inceliyoruz. Yorumları okuduğumuzda "Rowalina Rosta" adlı birinin "Excellent DKHOS place. Resimle aynı folderda delfthockey nokta pdf" yazdığını görüyoruz.

"https://www.dkhos.com/m/delfthockey.pdf" adresine girdiğimizde bir pdf bizi karşılıyor. Bu pdf ile "missingpdf.jpg" dosyamızın bir ilişkisi olduğunu anlıyoruz. Oradaki sayılar aslında paragraf:kelime:harf üçlüsünü temsil ediyor. En altta TOR u simgeleyen soğan olduğundan bu PDF içerisinden çıkaracağımız harfler ile bir TOR adresi elde edeceğimizi anlıyoruz. Elde ettiğimiz TOR adresi: http://dkhosweozgoqjxxh.onion/

TOR adresine gittiğimizde aşağıdaki gibi bir site ile karşılaşıyoruz. "Çok Gizli Dosya" yazısına tıkladığımızda "wallet_pass.zip" adlı bir zip dosyası indiriyoruz.

Zip dosyasının içerisinde "hamata.zip.torrent" adlı bir dosya olduğunu görüyoruz. Dosyayı zip içerisinden çıkarmak istediğimizde parola istiyor. Parolayı bilmediğimizden çıkaramıyoruz. Zipin adı "wallet_pass.zip" olduğundan BTC ile ilgili olduğunu düşünüyoruz. Daha önce indirdiğimiz pdf dosyasının metadasında "1DKHoSAuqxMgABBtYKrxDtT752J6U1ajr6" textini görüyoruz. Bu texti blockchain.info da arattığımızda bir transaction olduğunu görüyoruz. https://blockchain.info/address/1DKHoSAuqxMgABBtYKrxDtT752J6U1ajr6?sort=0

Transactionları inceleyip tek tek zip parolası olup olmadığını deniyoruz. "1DKHoSv7sTMJkCZPWn87dpBQFxw8rsTaH3" adresinin zipin parolası olduğunu görüyoruz. Zip içerisinden torrent dosyasını çıkarıp indirmeye çalıştığımızda inmediğini görmekteyiz. Trackerları kontrol ettiğimizde aşağıdaki gibi i2p kullanıldığını görüyoruz. Bu yüzden i2p kurup torrenti bu şekilde indirmemiz gerekiyor. (Şuan seeder olmadığından siz bu dosyaya erişemeyebilirsiniz.)

Bulunan "hamata" isimli zip dosyasını açtığımızda, içerisinde 5 adet resim olduğunu görüyoruz. Bu resimleri exiftool'a verdiğimizde her resimde birer GPS lokasyonu ile karşılaşıyoruz. 

~: exiftool *.jpg
======== 1.jpg
GPS Position                    : 52 deg 9' 15.58" N, 25 deg 4' 29.87" E
======== 2.jpg
GPS Position                    : 56 deg 9' 15.58" N, 13 deg 4' 29.87" E
======== 3.jpg
GPS Position                    : 56 deg 9' 15.58" N, 21 deg 4' 29.87" E
======== 4.jpg
GPS Position                    : 40 deg 9' 15.58" N, 17 deg 4' 29.87" E
======== 5.jpg
GPS Position                    : 52 deg 9' 15.58" N, 9 deg 4' 29.87" E

Lokasyonların hepsini Google Maps ile harita üzerine pinledikten sonra karşımıza şöyle birşey çıkıyor:

Soruda yazan "kalbimin ortası" ile bu noktaların kalp şeklinin birer noktası olduğunu anlıyoruz. Zaten lokasyonların x ve y değerlerinin virgülden sonra aynı değerleri taşımasından da, flagi bulmak için lokasyonlar ile ilgili birşeyler yapmamız gerektiği belliydi. 
Bu noktaları kağıda çizdiğimizde, orta noktayı sadece dört işlem kullanarak kolay bir şekilde buluyoruz.

Orta noktayı hesapladıktan sonra Google Maps ile o koordinata gidip, street view ile açtığımızda arkadaki binanın üzerine yazan "allexis" yazısını görüyoruz. Ve flagimizi bulmuş olduk.