## Solution

Cidden adı kadar Tricky bir soruydu :) Bize şirketlerinin neden hacklendiğini soruyor. Bu olayı araştırmamızı istiyor. Sağ tık, Follow TCP Stream diyerek iletişimi detaylıca izliyoruz. İlk 490 TCP Stream içerisinde hiçbir terslik gözükmüyor. Normal kullanıcılar giriş yapıyorlar, işlemlerini halledip çıkıyorlar. Fakat 493. TCP Streaminde bir terslik var.

Birisi /upload.php sayfası aracılığı ile "favicon.ico" dosyası yüklüyor fakat içerisinde garip bir payload var..


Requestteki encoding dolayısıyla doğrudan dönen cevabı göremiyoruz. Ya da, ben beceremedim:) Fakat Export seçeneği ile favicon dosyalarını bir klasöre export ediyoruz.


Filtreleme..


Kaydet diyerek hepsini bir klasöre aktardıktan sonra içeriklerini incelemeye başlıyoruz.

İlk dosya gayet normal.


İkinci dosyaya bakıyoruz. (favicon(1).ico)




Kalan favicon dosyasını incelemeden önce sonraki stream'i inceliyoruz. İçinde bir payload olması olası.

497. TCP STREAM


.secret adlı dosyayı tersten okuyor, base64 ile şifreliyor, daha sonrasında base64ü tersine çeviriyor. wtf dude?

favicon(2) dosyamıza bakıyoruz. Ters bir base64 kodu buluyoruz.


Tersine çeviriyoruz.
```
fWVub0RfcyFfZWduZWxsYWhDXzUhaFRfeWxsQG5pRntoZ3U0THgwCg==
```
Decode ediyoruz.
```
}enoD_s!_egnellahC_5!hT_yll@niF{hgu4Lx0
```
Tersine çeviriyoruz.
```
0xL4ugh{Fin@lly_Th!5_Challenge_!s_Done}
```

## Flag
0xL4ugh{Fin@lly_Th!5_Challenge_!s_Done}

Original writeup (https://github.com/jackalkarlos/CTF-Writeups-and-Scripts/tree/main/0xL4ughCTF/Forensics/Tricky).