Buenas! Tras una larga pausa, continuamos publicando algunas de los write-up de las máquinas que se han empleado en las diferentes fases del taller «Pentesting4ever» que he estado impartiendo en Euskalhack, Navaja Negra o HoneyCon. Anteriormente ya se publicó la de Illidan que se vio en Euskalhack V: https://fwhibbit.es/euskalhack-iv-pentesting4ever-illidan En esta ocasión, se trata de […]
Buenas! Continuamos con los writeups de máquinas de HacktheBox. En esta ocasión es el turno de Netmon, que fue retirada hace ya un tiempo. Una máquina bastante didáctica e interesante para aprender un nuevo vector de compromiso en una herramienta web. El write-up se divide en tres fases: Enumeración Explotación Escalada de privilegios Enumeración En […]
Buenas! Como comenté tanto en RRSS como en el taller «Pentesting4ever» que impartí en Euskalhack voy a escribir las soluciones de las máquinas que vimos. En esta primera entrada vamos a ver el write-up de la máquina Illidan. Como ya sabéis el nivel del taller era intermedio dónde se verían máquinas de las llamadas «casos […]
Buenas conejetes!! Hoy vamos a hablar de Frida, pero no de la magnífica pintora mexicana del siglo XX, sino de la potente herramienta utilizada para realizar pestesting de aplicaciones móviles que nos permite modificar dinámicamente el código de la aplicación y así alterar a nuestro gusto su flujo de ejecución. Un poco de teoría e […]
Buenas a tod@s querid@s Conej@s! Esta entrada como su propio nombre indica es para publicar la última vulnerabilidad que he descubierto. Se trata de un Cross-Site Scripting Reflected, en el producto Symantec VIP Enterprise Gateway, el cual afectaba a todas sus versiones. La forma en que se publicó fue Responsible Disclosure. # TimeLine: 06/03/2019: […]
Buenas! Continuamos con los writeups de máquinas de HacktheBox. En esta ocasión es el turno de Curling, que el finde pasado fue retirada. Una máquina bastante peculiar y haciendo nuevamente el nombre de la máquina honor como hit para su resolución. Como en anteriores ocasiones, dividimos el write-up en tres fases: Enumeración Explotación Escalada de […]
Buenas de nuevo! Tras una larga ausencia (la mayor desde que me uní a este blog) debido al proyecto personal de obtener la certificación OSCP (oh yeah), vuelvo de nuevo. Durante este tiempo, además del laboratorio del OSCP, me he pegado con una serie de máquinas que recomiendan en diferentes blogs/foros y me he propuesto […]
Buenas! Continuamos con las soluciones de máquinas de HacktheBox. Aprovecho para recomendaros el repositorio de github de los compañeros de hackplayers, dónde suben write-ups de máquinas retiradas y todavía activas (protegidas con la flag de root por supuesto). En este caso, se trata de la solución de la máquina Jerry, una de las más fáciles […]
Buenos días! En el día de hoy, traemos a un nuevo colaborador. Su nombre es Cristian Barrientos y trabaja como IT Security Analyst en Wise Security y en esta ocasión nos presentará el write-up de uno de los retos propuestos por los chicos de Ka0labs en el CTF del Congreso de Navaja Negra. ¡Esperamos […]
Buenas! Continuamos con la serie de write-ups de las máquinas de HackTheBox,. En este caso, se trata de la solución de la máquina retirada Stratosphere. El write-up se divide en tres fases: Enumeración. Explotación Postexplotación Enumeración Enumeración de servicios Para ello, empleamos nmap: Se identifican los puertos/servicios: 22 – SSH 80 […]