Herkese merhaba. Bugün TryHackme’de bulunan “Wireshark: The Basics” odasının çözümünü inceleyeceğiz.
Görev 1 – Giriş
1-Ekran görüntülerini simüle etmek için hangi dosya kullanılır?
cevap : http1.pcapng
2-Soruları cevaplamak için hangi dosya kullanılır?
cevap : Exercise.pcapng
Görev 2 – Araca Genel Bakış
Wireshark üzerinde yakalama dosyası yorumlarını okuma kısmı Statistics sekmesi üzerinde Capture File Properties içerisinde bulunur.
Capture File Properties içerisine girdiğimizde bizleri görev 2’de bulunan 3 sorunun cevapları karşılıyor.
1-“Yakalama dosyası yorumlarını” okuyun. Bayrak nedir?
cevap : TryHackMe_Wireshark_Demo
2-Toplam paket sayısı nedir?
cevap : 58620
3- Yakalama dosyasının SHA256 karma değeri nedir?
cevap : f446de335565fb0b0ee5e5a3266703c778b2f3dfad7efeaeccb2da5641a6d6eb
Görev 3 – Paket Diseksiyonu
Bizden paket 38’i incelememizi istiyor. Wireshark üzerinde paket 38 bularak başlayalım.
Paket 38 incelediğimizde bizden istediği 3 sorunun cevabına ulaşıyoruz.
1-38 numaralı paketi görüntüleyin. HTTP protokolü altında hangi biçimlendirme dili kullanılır?
cevap : eXtensible Markup Language
2-Paketin varış tarihi nedir? (Cevap formatı: Ay/Gün/Yıl)
cevap : 05/13/2004
5-E-etiket değeri nedir?
cevap : 9a01a-4696-7e354b00
3-TTL değeri nedir?
cevap : 47
4-TCP yük boyutu nedir?
cevap : 424
Görev 4 – Paket Navigasyonu
1-Paket detaylarında “r4w” dizesini arayın. Sanatçı 1’in adı nedir?
Wireshark dosya içerisinde kelime arama yapmak için Edit üzerinde Find Packet kullanıyoruz.
Aramak istediğimiz “r4w” kelimesini yazdığımız zaman dosya içerisinde içerisinde geçen satırı bize gösteriyor.
1-Paket detaylarında “r4w” dizesini arayın. Sanatçı 1’in adı nedir?
cevap : r4w8173
2-Paket 12’ye gidin ve yorumları okuyun. Cevap nedir?
Paket 12’ye gittiğimde karşıma bayrağın burada olmadığına dair bir mesaj aldım. Ama altında başka bir pakete gitmem gerektiğinin ipucunu veriyordu.
Paket 39765 gittiğimde bir jpeg dosyası görüyorum. Dosyayı indirmek için sağ tık export packet bytes diyerek dosyayı indiriyorum.
Jpeg dosyasını md5sum ile açıyorum. Ve cevaba ulaşıyorum.
2-Paket 12’ye gidin ve yorumları okuyun. Cevap nedir?
cevap : 911cd574a42865a956ccde2d04495ebf
3-Yakalama dosyasının içinde bir “.txt” dosyası var. Dosyayı bulun ve okuyun; uzaylının adı nedir?
Paketler içerisinde .txt dosya uzantısını aramak için File içerisinde Export Objects içerisinde HTTP seçiyoruz. Çıkan ekranda aramak istediğimiz uzantıyı seçiyoruz. Save all ile bulunan tüm .txt uzantılı dosyaları bilgisayara kaydediyoruz.
.txt uzantılı dosyayı açtığımızda karşımıza uzaylının ismi çıkıyor.
3-Yakalama dosyasının içinde bir “.txt” dosyası var. Dosyayı bulun ve okuyun; uzaylının adı nedir?
cevap : PACKETMASTER
4-Uzman bilgisi bölümüne bakın. Uyarıların sayısı nedir?
Uyarılara bakmak için sol altta bulunan kırmızı yuvarlak simgeye basıyoruz. Ve karşımıza dosya içerisinde bulunan uyarıları hataları gösteriyor.
cevap : 1636
Görev 5 – Paket Filtreleme
1-4 numaralı pakete gidin. “Hypertext Transfer Protocol” üzerine sağ tıklayın ve filtre olarak uygulayın. Şimdi filtre bölmesine bakın. Filtre sorgusu nedir?
4 numaralı paketi seçip Hypertext Transfer Protocol üzerine sağ tıklayıp ve filtre olarak uygulaya basınca fitre kısmında http görüyoruz ve paket sayısınında 1089 paket olduğunu görüyoruz.
cevap : http
2- Görüntülenen paketlerin sayısı nedir?
cevap : 1089
3-33790 numaralı pakete gidin ve akışı takip edin. Toplam sanatçı sayısı nedir?
İlk olarak 33790 paketini buluyorum. Sonrasında takip etmek için sağ tık Follow içerisinde TCP Stream seçiyorum.
Açılan sayfa içerisinde kaç adet sanatçı (artists) geçtiğini öğrenmek için artists yazarak find next basarak sayıyor.
cevap : 3
4-İkinci sanatçının adı nedir?
cevap : Blad3
Ve bir CTF çözümünde sonuna geldik.