HTB- WriteUp- Magic

Publicado el Publicada en Explotación, HTB, Pentesting

Buenas! Continuamos con los writeups de máquinas de HacktheBox. En esta ocasión es el turno de Magic, que fue retirada recientemente. Una máquina bastante didáctica para repasar conceptos en el acceso remoto y profundizar en la escalada de privilegios. El write-up se divide en tres fases: Enumeración Explotación Escalada de privilegios Enumeración En primer lugar, para […]

HTB – WriteUp – OpenAdmin

Publicado el Publicada en Análisis de vulnerabilidades, Auditoría y CTF, Cracking, Enumeración y escaneo, Explotación, Hacking Web, HTB, Kali Linux, Pentesting, Post-explotación, Recolección de información

Buenas conejetes! En esta ocasión vamos a hacer el WriteUp de la máquina de HackTheBox con nombre OpenAdmin que quitaron este fin de semana en el que por fin hemos podido salir a pasear; un Linux creado por dmw0ng categorizado con dificultad fácil-media: Enumeración Por regla general, lo primero que podemos/debemos hacer siempre es lanzar […]

HTB – WriteUp – TraverXec

Publicado el Publicada en Análisis de vulnerabilidades, Auditoría y CTF, Cracking, Enumeración y escaneo, Explotación, Hacking Web, HTB, Kali Linux, Linux, Pentesting, Post-explotación, Recolección de información

Buenas conejetes! En esta ocasión vamos a hacer el WriteUp de la máquina de HackTheBox con nombre TraverXec que quitaron este fin de semana; un linux creado por jkr categorizado con dificultad fácil-media: Enumeración Qué mejor para empezar que comprobar los puertos abiertos de este linux, pudiendo ver que dispone de un puerto SSH y […]

[Pentesting4ever]: Arthas

Publicado el Publicada en Auditoría y CTF, Conferencias, Pentesting

Buenas! Tras una larga pausa, continuamos publicando algunas de los write-up de las máquinas que se han empleado en las diferentes fases del taller «Pentesting4ever» que he estado impartiendo en Euskalhack, Navaja Negra o HoneyCon. Anteriormente ya se publicó la de Illidan que se vio en Euskalhack V: https://fwhibbit.es/euskalhack-iv-pentesting4ever-illidan En esta ocasión, se trata de […]

HTB – WriteUp – Netmon

Publicado el Publicada en Análisis de vulnerabilidades, Auditoría y CTF, Enumeración y escaneo, Explotación, Hacking Web, HTB, Kali Linux, Pentesting, Post-explotación

Buenas! Continuamos con los writeups de máquinas de HacktheBox. En esta ocasión es el turno de Netmon, que fue retirada hace ya un tiempo. Una máquina bastante didáctica e interesante para aprender un nuevo vector de compromiso en una herramienta web. El write-up se divide en tres fases: Enumeración Explotación Escalada de privilegios   Enumeración En […]

[Euskalhack IV]: Pentesting4ever – Illidan

Publicado el 2 comentariosPublicada en Análisis de vulnerabilidades, Auditoría y CTF, Enumeración y escaneo, Explotación, Pentesting

Buenas! Como comenté tanto en RRSS como en el taller «Pentesting4ever» que impartí en Euskalhack voy a escribir las soluciones de las máquinas que vimos. En esta primera entrada vamos a ver el write-up de la máquina Illidan. Como ya sabéis el nivel del taller era intermedio dónde se verían máquinas de las llamadas «casos […]

Frida en Android – Introducción

Publicado el 1 comentarioPublicada en Análisis forense, Android, Pentesting, Reversing

Buenas conejetes!! Hoy vamos a hablar de Frida, pero no de la magnífica pintora mexicana del siglo XX, sino de la potente herramienta utilizada para realizar pestesting de aplicaciones móviles que nos permite modificar dinámicamente el código de la aplicación y así alterar a nuestro gusto su flujo de ejecución.   Un poco de teoría e […]

Bitácora del Pentester III – Symantec VIP Enterprise Gateway CVE-2019-9696 Cross Site Scripting Vulnerability

Publicado el Publicada en Artículos de investigación, Explotación, Hacking Web, Pentesting, Pruebas de concepto

Buenas a tod@s querid@s Conej@s! Esta entrada como su propio nombre indica es para publicar la última vulnerabilidad que he descubierto. Se trata de un Cross-Site Scripting Reflected, en el producto Symantec VIP Enterprise Gateway, el cual afectaba a todas sus versiones. La forma en que se publicó fue Responsible Disclosure.   # TimeLine: 06/03/2019: […]