Merhaba bu yazıda Snorlax ismi ile katıldığımız ve 15. olarak tamamladığımız DKHOS CTF’deki bazı soruların çözümlerini paylaşacağım.

Forensic 500 (Son Parça)

Soruda “for500.img” ve “bb3490207fffb173610c724fed93c0eb3368804d” isimli dosyalar verilmişti. for500’ü R-Studio isimli veri kurtarma programı ile açınca home isimli kullanıcının masaüstünde “1.R4A” adlı dosya olduğunu gördüm. R4A uzantısını biraz araştırınca “7even-HONE$T” isimli ransomware’a ait olduğunu öğrendim. Github’da bulduğum decoder ile decrypt edince içinden flag.zip çıktı.

Flag.zip dosyasını açmaya çalışınca hata verdi. Sorudaki diğer dosya üzerinde aynı işlemi denedim ve sonuç.

Karanlıkta arayış başlar

Soruda 6 saat uzunluğunda bir video vardı. strings aracı ile bakınca işaretli saniyede flag.jpg olduğunu gördüm.

3984383208960000f254016000000d

f den önceki kısım frame sonraki d’ ye kadar olan kısım ise saniyedeki frame. 3984383208960000/254016000000=15685,56

Sony Vegas yazılımı ile o saniyeye gidince flag karşıma çıktı.

Tamirci Pala Remzi

Videodan “Manchester Code” ile şifrelendiğini anladık.

https://www.dcode.fr/manchester-code adresinden decode ettiğimizde binary olarak verdi. Binary’yi ASCII’ye çevirince “_?NiSiM_riZaH_royilSaB_” çıktı. Tersine çevirince flag ortaya çıktı.

Tüm soru çözümleri Prodaft tarafından yayınlandı.