Posts

Descripción Shoppy es una máquina fácil de Hack The Box que cuenta con las siguientes vulnerabilidades: Evasión de autenticación de aplicación web mediante inyección NoSQL Enumeración de usuarios mediante inyección NoSQL para obtener la contraseña cifrada de un usuario Enumeración de servicios para encontrar una instancia de Mattermost y obtener las credenciales para iniciar sesión en la máquina Pivote de usuarios mediante ingeniería inversa de una aplicación de gestor de contraseñas Escalada de privilegios al crear un contenedor Docker con permisos de root para crear binarios maliciosos Reconocimiento Primero, vamos a comprobar con el comando ping si la máquina está activa y el sistema operativo. La dirección IP de la máquina objetivo es 10.10.11.180. ...

Descripción Health es una máquina media de Hack The Box que cuenta con las siguientes vulnerabilidades: Aplicación web con vulnerabilidad de Server Side Request Forgery (SSRF) utilizando un servidor proxy y redirecciones Acceso a un servicio Gogs Git vulnerable a inyección SQL Despliegue de un servidor local de Gogs para encontrar la carga útil de inyección SQL para recuperar datos de usuarios Reconocimiento y recuperación de hashes de contraseñas Escalada de privilegios mediante el abuso de la funcionalidad Cron de la aplicación web ejecutada por el usuario root Reconocimiento Primero, vamos a comprobar con el comando ping si la máquina está activa y el sistema operativo de la máquina. La dirección IP de la máquina objetivo es 10.10.11.176. ...

Introducción En este blog se tratarán temáticas relacionadas con la seguridad informática y la informática en general con la experiencia y conocimiento adquirido a lo largo del tiempo. En torno a la seguridad informática, concretamente la ofensiva, se cubrirán temas relacionados con la elaboración de artículos técnicos, creación de herramientas, resolución de máquinas de Hack The Box, hacking de software y hardware, e ingeniería inversa. La seguridad ofensiva se refiere al proceso de identificar y explotar vulnerabilidades en sistemas informáticos con el objetivo de mejorar su seguridad. Esto implica actividades legales y éticas, como la participación en plataformas de aprendizaje como Hack The Box, donde se pueden practicar estas habilidades en entornos seguros. ...

Descripción Squashed es una máquina fácil de Hack The Box que cuenta con las siguientes vulnerabilidades: Carpeta compartida NFS permite subir archivos a un servidor web permitiendo ejecución de comandos remotos Carpeta compartida NFS permite leer la cookie de autenticación X11 de otro usuario Escalada de Privilegios al utilizar una credencial filtrada en una captura de pantalla de una pantalla X11 Reconocimiento Primero, vamos a comprobar con el comando ping si la máquina está activa y el sistema operativo. La dirección IP de la máquina objetivo es 10.10.11.191. ...