Stego Challenge – Beatles

Merhabalar, 

bu yazıda HackTheBox içerisinde bulunan “Beatle” isimli Stego challenge çözümünü inceleyeceğiz.

İlk olarak uygulama hakkında bize ipucu vermesi için challenge başlığı incelenir. Burada “John Lennon bir sonraki Beatles turnesi için gizli bir mesaj göndermektedir. Mesajı çözüp flag ifadesini gönderebilir misin?” ifadesi ile karşılaşılmaktadır.

Daha sonra challenge için paylaşılan zip dosyası indirilir ve herhangi bir arşiv açma aracı kullanılarak içerisindeki dosyaların dışarı çıkartılması sağlanır.

Görüldüğü üzere bir adet şifreli “zip” ve bir adet de “.txt” dosyası elde edilmektedir. “m3ss@g#_f0r_pAuL” dosya içeriği aşağıdaki şekildedir.

Dosya içeriği anlaşılır bir şekilde değildir, fakat bir tür “Substitution” işlemi yapıldığı düşünülmektedir. Bu doğrultuda https://www.guballa.de/substitution-solver aracı ile ilgili ifadenin çözülmesi denenmektedir.

Mesaj içeriğinin çözülmesi bu yöntemle tamamlanmıştır. Çözülen mesaj içeriği incelendiğinde ise “Dosyam 4 karakterli bir şifreye sahip” ifadesi göze çarpmaktadır. Bu doğrultuda “fcrack” aracı yardımı ile “BAND.ZIP” dosyasının şifresinin çözülmesi denenmektedir.

Bingo! “zip” dosyasının şifresi elde edilmiştir. Bir sonraki adımda “zip” içerisinde bulunan dosyaların dışarı çıkartılması sağlanır.

Görüleceği üzere bir adet resim dosyası dışarıya çıkartılmıştır. “strings” komutu ile “BAND.JPG” dosyası incelendiğinde, “base64” olarak encode edildiği düşünülen bir ifade ile karşılaşılmaktadır.

İfadenin decode edilmesi sonrasında ise işe yarar bir bilgi içermediği görülmektedir. (İki kez “base64” decode işlemi uygulanmıştır)

Bir sonraki denemede “binwalk” komutu ile dosya içerisine gizlenmiş olan farklı bir dosya bulunup/bulunmadığının kontrolü gerçekleştirilmektedir.

Daha sonra “steghide” aracı yardımı ile resim dosyası içerisine saklanmış bir bilgi bulunup bulunmadığı kontrol edilmektedir.

Görüldüğü üzere resim içerisine saklanmış verilerin gösterilmesi için şifre sorulmaktadır. Bu noktada şifre olarak “m3ss@g#_f0r_pAuL” dosyasının çözülmüş halinde bulunan ifadeler ve “BAND.JPG” resim üzerindeki bilgilerin denenmesi sağlanmıştır. Denemeler sonucunda “THEBEATLES” değerinin şifre olarak elde edildiği görülmektedir.

“testabeatle.out” isimli bir dosyanın elde edildiği görülmektedir. Dosya türünü anlamak amacıyla “file” komutu kullanılmaktadır.

“testabeatle.out” dosyasının bir tür çalıştırılabilir uygulama olduğu görülmektedir. Bir sonraki adımda “strings” komutu ile dosya içerisindeki sabit ifadelerin listelenmesi gerçekleştirilir.

“Base64” formatında encode edilmiş bir ifade bulunduğu görülmektedir. Bu ifadenin decode edilmesi sonrasında flag değerinin elde edildiği görülmektedir.

Yazar: Ahmet Akan

2016 Karabük Üniversitesi Bilgisayar Mühendisliği Mezunu. Kariyerine Uygulama Güvenliği Analisti olarak başladı ve bu alanda görev almaya devam etmekte.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir