Post

dlovelive

Posted Updated
By moltengamalc
1 min read
dlovelive

Enunciado:

Tu sobrinito, un fanático de Umamusume Pretty Derby, intentó instalar un mod no oficial y su PC quedó comprometida. Los atacantes dejaron un payload que se comunica con un servidor C2 para descargar órdenes y exfiltrar datos. Tu misión es analizar el servidor C2, extraer la evidencia y recuperar la flag que probarán que has sido capaz de comprometer la infraestructura atacante.

Preguntas:

  • IP del C2:`
  • IP de la victima:
  • A que grupo famoso de ciberdelincuentes pertenece la wallet:
  • Nombre del comprimido:
  • hash md5 de la libreria del binario malicioso:
  • Nombre de la funcion que envia datos del host al c2:
  • Clave estatica en ejecutable:
  • Clave Maestra del C2:
  • Comando que ejecuta el C2:
  • INFORMACION DEL USUARIO DECODIFICADA:
  • Endpoint de descarga remota de archivos del C2:
  • Intenta descargar el archivo flag.txt:

Para extraer o replicar usar esta URL: https://apuntesciberseguridad.vercel.app/

Preguntas:

PreguntaRespuesta
Ip del C2192.168.106.129
Hostname de la victimaDESKTOP-15VR2CC
A que grupo famoso pertenece la walletLockBit
Nombre del comprimido/download_crack
Hash md5 de la libreria del binario maliciosoe3a1d9397c068e2b4e556861dca05330
Nombre de la funcion que envia datos al C2SendInfo
Clave estatica del C2lxia
clave maestra del C2ks0008
Comando que ejecuta el c2whoami /all
Endpoint de descarga remota ed archivos del C2/weaponizeeeeeee
Obten flag.txtflag_{Chiste.Reversing_Apoco.notilin}

Pregunta1:

Comunicacion elevada de 17.258 paquetes

Pregunta2:

Evaluando el protocolo SMB daremos con el hostname usado por el host de la victima

pregunta 3:

![[Pasted image 20260205091336.png)

PREGUNTA4

pregunta 5:

1
2
3

molten@DESKTOP-77RDABS:/mnt/d/CTFs$ md5sum  DirectLoveLive.dll
5edfa6ea6608c27f44d9bf687afe64d3  DirectLoveLive.dll
molten@DESKTOP-77RDABS:/mnt/d/CTFs$

PREGUNTA 6-7

PREGUNTA 8:

1
2

molten@DESKTOP-77RDABS:/mnt/d/CTFs$ curl -k -X POST "https://apuntesciberseguridad.vercel.app/ConstKey" -H "Content-Type: application/json" -d '{"GETKEY":"lagarto"}'
{"key":"BwtZUVxA"}

PREGUNTA 9

pregunta 10

pregunta 11

1
2

molten@DESKTOP-77RDABS:/mnt/d/CTFs$ curl -k -X POST "https://apuntesciberseguridad.vercel.app/weaponizeeeeeeee"   -H "Content-Type: application/json" -d '{"DOWN": "ZmRhby58eHw="}'
flag_{Chiste.Reversing_Apoco.notilin}
forensics, Reversing, dotnet, csharp
forensics Reversing scripting
This post is licensed under CC BY 4.0 by the author.