[Hard] - The Next Level

[Usr6]

Acest challenge contine malware real. Rulati doar in masini virtuale(virtualbox, vmware, etc) izolate, fara access la retea. 

p.s. Programele de tip sandbox nu prezinta siguranta - testat

 

Download: h t t p : / / g e . t t / 7 T V l L m i 2

Parola: dezarhivez un malware

 

Challenge realizat in colaborare cu @Gecko

 

Au rezolvat challenge-ul:

@sclipici

[Okjokes]

Am rezolvat si eu acest challenge si parerea mea e ca nu este HARD, si nici macar tehnic. Ai nevoie de putina intuitie...

Am descarcat arhiva, am dezarhivat executabilul si am modificat extensia in .exe apoi l-am urcat pe http://hybrid-analysis.com: LINK

Usr6 mi-a zis dinainte ca challenge-ul contine un nivel cu SQLI. Asa ca m-am gandit ca malware-ul se conecteaza undeva si trimite informatii despre utilizatorul infectat care mai apoi vor fi tinute intr-o baza de date.
Ciudat, am vazut ca nu se conecteaza nicaieri... Deci, cum trimite el datele?
M-am uitat mai atent si am vazut la strings acest link: http://stlr.multiencoder.com/admin.php . Am intrat imediat sa vad care-i treaba si , ca sa vezi, un panel de la un stealer..:

 

 

Deci aici ar trebui sa fie SQLI-ul? Am incercat metoda clasica: La username am introdus admin' or 1=1 # . A mers, acum... na beleaua, vad o poza si niste numere pe ea:

 

 

L-am intrebat pe Usr6 ce ar trebui sa fac si imi zice sa deschid poza full screen , sa ma dau mai in spate cu vreo 2-3 metri si sa ma mai uit o data. Da, seamana foarte mult cu tabelul periodic al elementelor chimice. M-am apucat sa traduc numerele alea dupa tabel si mi-a dat PSSW IS LiBeLuLa.. Si unde bag eu parola asta? M-am gandit imediat la challenge-urile trecute in care punea arhive in poze. Am descarcat poza cu cifrele si i-am schimbat extensia in .7z. Am deschis-o si mi-a cerut parola. Am pus parola LiBeLuLa si a mers. Ce gasesc acolo? O poza cu Gecko:

 

[u0m3]

Felicitari! Si foarte util acel site https://www.hybrid-analysis.com/