TrendMicro CTF 2017 IoT/OSINT/SCADA (Write-Up 300)

Bu soru güzeldi.

Açıklama şu şekildeydi:

“Within the ICS enviroment there has been some odd behavior with one of the network switches. You have asked your Network Administrators to see if they could pull some traffic from their packet capture solution. They dug into the issue and couldn’t make sense of whats going on but think that there may be an attacker that has figured out a backdoor into the system based off an SSH connection.

Figure out how the attacker was able to exploit the system, and utilize the backdoor to SSH into the system

To submit the flag, you’ll have to wrap the backdoor into TMCTF{}

Download the file (https://s3-ap-northeast-1.amazonaws.com/trendmicro-ctf-2017/2VjxmQSdV3uBQvReFLea/files19.enc) Decrypt the downloaded file by the following command.

> unzip files19.zip”

Zip dosyasının içinden bir adet .pcap dosyası çıktı. Wireshark ile incelemeye koyuldum ama gereksiz yerleri de kontrol etmişim 🙂 HTTP streaminden TCP’yi takip ettiğimde ilgi çekici bir bilgi elde ettiM.

Bu tarz incelemelerde genellikle NetworkMiner aracını kullanmayı seviyorum, streamdaki dosyaları extract etme işlemi için yine onu tercih ettim.

Dosyayı extract ettim.

Burada ufak bir çakallık yapmak istedim, tabi pek umudum yoktu sorunun bu kadar kısa sürede biteceğinden ama yine de recursive bir arama yaptım.

passwd dosyası içerisinde “TMCTF:MFzbJnLcqzlvo:0:0” bölümü “Çözümün bende aslanım” diye bağırıyordu. Kriptolu kısmı birkaç araçla kontrol ettim ama bu sefer çözüm çıkmasını beklemiyordum, zira kendinden önceki TMCTF bölümü sabitti görüldüğü üzere. Soru için yayınlanan ipuçlarından birisi beni John the Ripper’a yönlendiriyordu. İkinci ipucu da “We will rockyou” olunca aslında soru kendisini belli etti.

Bu aşamada flag olarak “odagirih”in kabul edilmediğini görünce nereyi kaçırıyorum diye düşündüm, string bazlı aramalar, sosyal ağ profillerini sorgulama tarzı işlemleri bile denedim ama yanlış yerde yüzdüğümü sonradan fark ettim 🙂

FLAG: TMCTF{odagirihayato}