← Volver al inicio

Santa Logs - Hackerlabs - Windows

12/06/2026 • SecNotes 2.0

banner

img1

Nuevo reto de Blue Team! Hoy nos toca ensuciarnos las manos con el Visor de Eventos de Windows resolviendo Santa Logs de The Hackers Labs.

Los logs del sistema a veces pueden parecer un laberinto indescifrable, pero en este laboratorio veremos cómo ordenarlos, qué IDs rastrear y cómo aislar el ruido para encontrar exactamente lo que buscas. Desde detectar un ataque de fuerza bruta hasta ejecutar comandos en la CMD para romper el cifrado de un script sospechoso de Python, veremos paso a paso cómo resolver este laboratorio sin morir en el intento.

img2 img3

Comenzamos.

img4 img5

Una vez abierto el Visor de eventos, podemos ver que tenemos un apartado de logs con el nombre del equipo (santalogs) ahí encontraremos todos los logs relacionados con él. Trabajar en estos logs nos ayudará a no confundirnos con los logs propios del sistema.

Podemos ordenar los logs por “Origen” lo que nos permite juntar todos los datos y realizar búsquedas de forma mas fácil.

img6

Teniendo todo ordenado, solo nos queda búscar el dato concreto de inicio de sesión exitoso y responder la primera pregunta.

img7

Del mismo modo buscaremos información sobre intentos fallidos de acceso FTP para responder la segunda pregunta.

img8

img9

Como podemos ver, el ID de failed FTP login attemp for user es el 1002. Podemos filtrar este ID para que el visor solo nos muestre este dato.

img10

img11

Para la tercera pregunta, debemos encontrar una alerta relacionada con el almacenamiento. Esta vez filtraremos por advertencia.

img12

y encontramos el mensaje Low disk space

img12

Para la cuarta pregunta, debemos buscar información relacionada con un script malicioso.

img13

Ya tenemos la ruta donde esta alojado este escript de python. C:\tmp, ahora debemos buscar la clave para desencriptarlo.

img14

Bucando en los demás logs, la unica información que encontramos fue esta. Asi que vamos a probar esta clave.

Ya sabemos la ruta del script y que es de Python. Para ejecutarlo vamos utilizar CMD, navegar hasta el directorio donde se encuentra el script y ejecutarlo.

img14 img15

Efectivamente era la clave para desencriptar. Con eso respondemos todas las preguntas y termianr el laboratorio.