Los tagtequieto

🙏 Gracias github/cagrimmett/jekyll-tools, ta guapetón.

Acá están listados los tags de toooooodos los posts del blog, solo que relacionamos que artículos se enfocan en X tag.

🎈 .enc

HackTheBox - Sink

Máquina Linux nivel desquiciado. Nos enfrentaremos a un HTTP Request Smuggling (loco loco), saltaremos entre usuarios aún más locos, veremos commits relacionados a pasos a producción y pruebas extrañas con...

🎈 .env

HackTheBox - Catch

Máquina Linux nivel medio. Token 🎵, vamos APIe y Let’s Chat! Jueguitos con variables de entorno en Cachet, credenciales volando y nombres de aplicaciones Android algo peligrosos.

🎈 .git-folder-leak

HackMyVM - Devguru

Máquina Linux nivel medio (diría que difícil le queda mejor). Directorios .git y credenciales volando, bastantes juegos con Adminer, SSTI en twig, un Gitea viejito vulnerable mediante hooks a RCE,...

🎈 .kdbx

HackTheBox - Jeeves

Máquina Windows nivel medio. La elegancia de Jenkins que nos permite jugar con scripts de Groovy para obtener RCE :O Archivos .kdbx con contraseñas dentro (¿qué puede pasar?) y descubriremos...

🎈 .mdb

HackTheBox - Access

Máquina Windows nivel fácil, vamos a movernos con FTP, jugaremos con info de tablas de una base de datos Microsoft Access, comprimidos con contraseñas y correos (u.u) yyyy toquetearemos una...

🎈 .pcap

HackTheBox - Cap

Máquina Linux nivel fácil. Jugaremos con capturas de red, encontraremos credenciales y haremos uso de la capability setuid para mediante Python3.8 ejecutar instrucciones en el sistema como el usuario root....

🎈 .war

HackTheBox - Seal

Máquina Linux nivel medio. Fuzzeo loco, repositorios (GitBucket) con commits aún más locos, movimientos sucios con Tomcat Manager, backups con -links- (?) yyyyy ejecución y creación de tareas automatizadas mediante...

🎈 .yml

HackTheBox - Seal

Máquina Linux nivel medio. Fuzzeo loco, repositorios (GitBucket) con commits aún más locos, movimientos sucios con Tomcat Manager, backups con -links- (?) yyyyy ejecución y creación de tareas automatizadas mediante...

🎈 /etc/passwd

HackMyVM - Speed

Máquina Linux nivel medio. Inyección de comandos en sar2html y OpenLiteSpeed, además romperemos el archivo /etc/passwd para crear usuarios administradores.

🎈 /etc/shadow

HackMyVM - Stars

Máquina Linux nivel fácil. Fuzzing, gafas para encontrar llaves SSH y archivos con grupos traviesos usando el comando chgrp.

HackTheBox - Shared

Máquina Linux nivel medio. SQLi content-based, grupos juguetones que nos permitirán interactuar con IPython (command injection) y Redis (EVAL) (remote command execution).

HackTheBox - Curling

Máquina Linux nivel fácil. Ojos bien abiertos en la página web, jueguitos con templates de Joomla, loops de backups (?), movimientos sensuales con un archivo de configuración de cURL y...

🎈 /proc/PID/cmdline

HackTheBox - Backdoor

Máquina Linux nivel fácil. Locureo con un LFI, el objeto /proc y unos file descriptors bien lindos para enterarnos de cositas. Ah, y también armaremos el Kit del Pwn :O...

🎈 ADS

HackTheBox - Jeeves

Máquina Windows nivel medio. La elegancia de Jenkins que nos permite jugar con scripts de Groovy para obtener RCE :O Archivos .kdbx con contraseñas dentro (¿qué puede pasar?) y descubriremos...

Ocultando data en archivos de Windows (con ADS)

Jugaremos con Alternate Data Stream o flujos de datos alternativos, veremos como un atacante (o víctima) puede ocultar información dentro de archivos ya sea para asegurarlos o para hacer locuras....

HackTheBox - Dropzone

Máquina Windows nivel difícil, bastante bastante entretenida, jugaremos con un servicio TFTP para escribir archivos arbitrariamente en el sistema (sin restricción), usaremos esa habilidad para jugar con objetos .mof y...

🎈 AES

HackTheBox - Breadcrumbs

Máquina Windows nivel difícil. Jugaremos mucho con inyecciones y robos :P Encontraremos un LFI, haremos cookie-hijacking, leeremos contraseñas almacenadas, jugando con binarios encontramos una URL que nos llevara de la...

🎈 API

HackTheBox - Catch

Máquina Linux nivel medio. Token 🎵, vamos APIe y Let’s Chat! Jueguitos con variables de entorno en Cachet, credenciales volando y nombres de aplicaciones Android algo peligrosos.

HackTheBox - dynstr

Máquina Linux nivel medio. Mucho dinamismo con DNS (APIs, RCE, zonas y actualizaciones), llaves SSH volando sin rumbo, SUID y scripts dinámicamente traviesos para copiar archivos como nosotros queramos.

HackTheBox - ServMon

Máquina Windows nivel fácil. Iremos dando vueltas mediante FTP, exploraremos un Local File Inclusion. Jugaremos con la API del servicio NSClient para conseguir una shell como administrador.

🎈 APK

HackTheBox - Catch

Máquina Linux nivel medio. Token 🎵, vamos APIe y Let’s Chat! Jueguitos con variables de entorno en Cachet, credenciales volando y nombres de aplicaciones Android algo peligrosos.

🎈 AWS-CLI

HackTheBox - Sink

Máquina Linux nivel desquiciado. Nos enfrentaremos a un HTTP Request Smuggling (loco loco), saltaremos entre usuarios aún más locos, veremos commits relacionados a pasos a producción y pruebas extrañas con...

HackTheBox - Bucket

Máquina Linux nivel medio, jugaremos mucho con AWS, leeremos código fuente y descubriremos que podemos leer archivos como root. Esto mediante el juego entre la herramienta PD4ML y AWS DynamoDB....

🎈 Adminer

HackMyVM - Devguru

Máquina Linux nivel medio (diría que difícil le queda mejor). Directorios .git y credenciales volando, bastantes juegos con Adminer, SSTI en twig, un Gitea viejito vulnerable mediante hooks a RCE,...

🎈 AlwaysInstallElevated

HackTheBox - Love

Máquina Windows nivel fácil, escanearemos archivos locales (localhost) en busca de malware e.e Encontraremos credenciales y generaremos votantes con fotos de perfil peligrosas… Jugaremos con registros e instalaremos paquetes MSI...

🎈 Apache-OFBiz

HackTheBox - Monitors

Máquina Linux nivel difícil. Tendremos muuuuchos CVEs, jugaremos con inclusión remota/local de archivos en un plugin de WordPress (wp-with-spritz), reutilización de contraseñas, ejecución remota de comandos en un Cactus (?),...

🎈 BGP-hijacking

HackTheBox - Carrier

Máquina Linux nivel medio. Enumeraremos bastante y leeremos más. Jugaremos con SNMP, inyección de comandos de un proceso en la web yyyyyy una locura llamada BGP Hijacking. Interceptaremos el tráfico...

🎈 BloodHound

HackTheBox - Support

Máquina Windows nivel fácil. AD, decompilado de binarios para encontrar credenciales, saltos con LDAP y una delegación bien linda basada en recursos (Kerberos).

🎈 C

HackTheBox - Giddy

Máquina Windows nivel medio. Jugaremos con inyecciones SQL del servicio MSSQL. Pero no vamos dumpear bases de datos, nop, vamos a ejecutar comandos :o que serán interceptados (smbclient y responder)...

🎈 CAP_DAC_OVERRIDE

HackMyVM - Milk

Máquina Linux nivel medio. Subida arbitraria de objetos .php yyy archivos que viajan en paquetes ICMP (esto mediante hping3 y la capability CAP_DAC_OVERRIDE).

🎈 CMS

HackTheBox - Writeup

Máquina Linux nivel fácil, nos miraremos a los ojos con un CMS vulnerable a SQLi time-based. Haremos reutilización de credenciales y encontraremos un PATH Hijacking guapetón.

TryHackMe - Anthem

Máquina Windows nivel fácil. Jugaremos mucho a encontrar cosas en la web, caeremos en un Rabbit Hole con Umbraco (lindo, aprendimos bastante de esto) y accederemos remotamente a escritorios ajenos...

HackTheBox - Blunder

Máquina Linux nivel fácil. Romperemos un CMS, encontraremos un File Upload que explotaremos para ejecutar comandos. Crackearemos cositas y nos apoyaremos de una locura relacionada con “sudo -l” para convertirnos...

HackTheBox - Remote

Máquina Windows nivel fácil. Jugaremos con monturas, crackeo, romperemos Umbraco yyyy encontraremos dos maneras de volvernos administradores del sistema, mediante UsoSvc y TeamViewer.

🎈 CSRF

HackTheBox - Schooled

Máquina FreeBSD nivel medio, linda locura, nos moveremos mucho por Moodle robando cookies, cambiando roles a los cuales no deberíamos cambiar e instalando plugins maliciosos. Crackearemos hashes y finalmente aprovecharemos...

🎈 Cachet

HackTheBox - Catch

Máquina Linux nivel medio. Token 🎵, vamos APIe y Let’s Chat! Jueguitos con variables de entorno en Cachet, credenciales volando y nombres de aplicaciones Android algo peligrosos.

🎈 Cacti

HackTheBox - MonitorsTwo

Máquina Linux nivel fácil. Cacti con inyección de comandos, binarios SUID y LFI internamente sobre contenedores de moby.

HackTheBox - Monitors

Máquina Linux nivel difícil. Tendremos muuuuchos CVEs, jugaremos con inclusión remota/local de archivos en un plugin de WordPress (wp-with-spritz), reutilización de contraseñas, ejecución remota de comandos en un Cactus (?),...

🎈 CentOS

HackTheBox - Pit

Máquina Linux (CentOS 8) nivel medio. Caminaremos con el servicio SNMP, extraeremos rutas web, rutas de binarios y usuarios. Explotaremos SeedDMS con un exploit que no debería servir contra esa...

🎈 CloudMe

HackTheBox - Buff

Máquina Windows nivel fácil. Buff buff uff, explotaremos un gimnasio :o (casi) yyy aprovecharemos un Buffer Overflow para ser amos del sistema… ¿Sencillo, no? pues…

🎈 Consul

HackTheBox - Ambassador

Máquina Linux nivel medio. Path Traversal con Grafana y sus plugins, credenciales volando y unas verificaciones (checks) con el servicio Consul algo peligrosas.

🎈 DC

HackTheBox - Support

Máquina Windows nivel fácil. AD, decompilado de binarios para encontrar credenciales, saltos con LDAP y una delegación bien linda basada en recursos (Kerberos).

HackTheBox - Resolute

Máquina Windows nivel medio. Enumeraremos hasta más no poder un controlador de dominio, veremos contraseñas volando libremente e inyectaremos una DLL maliciosa en un servidor DNS 😲

HackTheBox - Active

Máquina Windows nivel medio, de cabeza contra un Domain Controller, jugaremos mucho con SMB y sus carpetas compartidas, movimientos SYStematicos y VOLtaicos e.e, bastante crackeo de contraseñas y obtención de...

🎈 DLL

HackTheBox - Resolute

Máquina Windows nivel medio. Enumeraremos hasta más no poder un controlador de dominio, veremos contraseñas volando libremente e inyectaremos una DLL maliciosa en un servidor DNS 😲

🎈 DMS

HackTheBox - Pit

Máquina Linux (CentOS 8) nivel medio. Caminaremos con el servicio SNMP, extraeremos rutas web, rutas de binarios y usuarios. Explotaremos SeedDMS con un exploit que no debería servir contra esa...

🎈 DNS

HackTheBox - Intelligence

Máquina Windows nivel medio. Fuzzeito lindo para encontrar archivos PDF y juegos sucios con su metadata. Gafas bien puestas contra scripts de PowerShell, temitas de DNS e interacción con Service...

🎈 DnsAdmins

HackTheBox - Resolute

Máquina Windows nivel medio. Enumeraremos hasta más no poder un controlador de dominio, veremos contraseñas volando libremente e inyectaremos una DLL maliciosa en un servidor DNS 😲

🎈 Dynamic-DNS

HackTheBox - dynstr

Máquina Linux nivel medio. Mucho dinamismo con DNS (APIs, RCE, zonas y actualizaciones), llaves SSH volando sin rumbo, SUID y scripts dinámicamente traviesos para copiar archivos como nosotros queramos.

🎈 ES-File-Explorer

HackTheBox - Explore

Máquina Android nivel fácil. Exploraremos como ningún explorador e.e Veremos imágenes de la galería 😧 y jugaremos con el demonio :o Android Debug Bridge.

🎈 FTP

HackTheBox - Cap

Máquina Linux nivel fácil. Jugaremos con capturas de red, encontraremos credenciales y haremos uso de la capability setuid para mediante Python3.8 ejecutar instrucciones en el sistema como el usuario root....

HackTheBox - Carrier

Máquina Linux nivel medio. Enumeraremos bastante y leeremos más. Jugaremos con SNMP, inyección de comandos de un proceso en la web yyyyyy una locura llamada BGP Hijacking. Interceptaremos el tráfico...

HackTheBox - Access

Máquina Windows nivel fácil, vamos a movernos con FTP, jugaremos con info de tablas de una base de datos Microsoft Access, comprimidos con contraseñas y correos (u.u) yyyy toquetearemos una...

HackTheBox - SneakyMailer

Máquina Linux nivel medio pero que de medio muy poco, o pues casi me enloquezco :P SneakyMailer… Vaya locura, jugaremos simulando phishing, explotaremos cositas de FTP, romperemos PyPi para crearnos...

HackTheBox - ServMon

Máquina Windows nivel fácil. Iremos dando vueltas mediante FTP, exploraremos un Local File Inclusion. Jugaremos con la API del servicio NSClient para conseguir una shell como administrador.

🎈 FreeBSD

HackTheBox - Schooled

Máquina FreeBSD nivel medio, linda locura, nos moveremos mucho por Moodle robando cookies, cambiando roles a los cuales no deberíamos cambiar e instalando plugins maliciosos. Crackearemos hashes y finalmente aprovecharemos...

🎈 GRUB

HackMyVM - Catland

Máquina Linux nivel medio. Tendremos fuerza bruta en logins con wordlists propios, LFItoRCE mediante ZIP, temitas del GRUB con más fuerza bruta y análisis de código para encontrar problemitas en...

🎈 GitBucket

HackTheBox - Seal

Máquina Linux nivel medio. Fuzzeo loco, repositorios (GitBucket) con commits aún más locos, movimientos sucios con Tomcat Manager, backups con -links- (?) yyyyy ejecución y creación de tareas automatizadas mediante...

🎈 Gitea

HackMyVM - Devguru

Máquina Linux nivel medio (diría que difícil le queda mejor). Directorios .git y credenciales volando, bastantes juegos con Adminer, SSTI en twig, un Gitea viejito vulnerable mediante hooks a RCE,...

🎈 Grafana

HackTheBox - Ambassador

Máquina Linux nivel medio. Path Traversal con Grafana y sus plugins, credenciales volando y unas verificaciones (checks) con el servicio Consul algo peligrosas.

🎈 HFS

HackTheBox - Optimum

Máquina Windows nivel fácil. Evitamos los filtros que nos ponga HTTP File Server, transformamos (transformers (optimus prime (optimum (nombre bien pensado eh!)))) nuestra arquitectura y explotamos el siempre triste kernel....

🎈 HTTP-request-smuggling

HackTheBox - Sink

Máquina Linux nivel desquiciado. Nos enfrentaremos a un HTTP Request Smuggling (loco loco), saltaremos entre usuarios aún más locos, veremos commits relacionados a pasos a producción y pruebas extrañas con...

🎈 HelpDeskZ

HackTheBox - Help

Máquina Linux nivel fácil. Investigaremos subidas de archivos .php en el servicio HelpDeskZ, jueguitos sucios con MySQL y una explotación de un kernel con ganas de morir.

🎈 ILSpy

HackTheBox - Support

Máquina Windows nivel fácil. AD, decompilado de binarios para encontrar credenciales, saltos con LDAP y una delegación bien linda basada en recursos (Kerberos).

🎈 IPMI

HackTheBox - Shibboleth

Máquina Linux nivel medio. Jugaremos con protocolos para controlar la existencia (IPMI), reutilización de credenciales, inyección de comandos (en Zabbix) y más inyección de comandos (en mysql).

🎈 Ignition PHP

HackTheBox - Horizontall

Máquina Linux nivel fácil. Inspección de código fuente, problemitas con Strapi, con Laravel y con reverse shells.

🎈 InfluxDB

HackTheBox - Devzat

Máquina Linux nivel medio. Chatearemos (realmente robaremos chats) con SSH, inyectaremos comandos locochones, romperemos InfluxDB y leeremos archivos del sistema mediante un LFI.

🎈 IoT

HackTheBox - Omni

Máquina IoT nivel fácil. Romperemos protocolos para ejecutar comandos en el sistema, enumerando mucho tendremos credenciales, usaremos portales o.O para ejecutar comandos de nuevo. Jugaremos con la clase PSCredential de...

🎈 JWT

HackTheBox - TheNotebook

Máquina Linux nivel medio. Exploraremos el mundo de los JSON Web Tokens para ingresar a una web con permisos administrativos. Jugaremos con llaves SSH y romperemos el siempre fiel Docker...

HackTheBox - Breadcrumbs

Máquina Windows nivel difícil. Jugaremos mucho con inyecciones y robos :P Encontraremos un LFI, haremos cookie-hijacking, leeremos contraseñas almacenadas, jugando con binarios encontramos una URL que nos llevara de la...

🎈 Java

HackTheBox - RedPanda

Máquina Linux nivel fácil. SSTI en plantillas juguetonas de Java, ojitos abiertos para leer código Java y encontrar LFIs y XXEs.

🎈 Jinja2

HackTheBox - Late

Máquina Linux nivel fácil. Engaños para ocultar un SSTI en el texto de unas imágenes y atributos burlones en algunos archivos.

🎈 LAPS

HackTheBox - Timelapse

Máquina Windows nivel fácil. Backups con certificados WinRM, históricos de comandos algo agresivos, sacamos a passear a los antivirus e interactuamos con la contraseña del administrador mediante LAPS.

🎈 LDAP

HackTheBox - Support

Máquina Windows nivel fácil. AD, decompilado de binarios para encontrar credenciales, saltos con LDAP y una delegación bien linda basada en recursos (Kerberos).

HackTheBox - Resolute

Máquina Windows nivel medio. Enumeraremos hasta más no poder un controlador de dominio, veremos contraseñas volando libremente e inyectaremos una DLL maliciosa en un servidor DNS 😲

🎈 LFI

HackTheBox - MonitorsTwo

Máquina Linux nivel fácil. Cacti con inyección de comandos, binarios SUID y LFI internamente sobre contenedores de moby.

HackTheBox - MetaTwo

Máquina Linux nivel fácil. WordPress y plugins juguetones con SQLi, XXE y LFI. Credenciales por doquier yyy crackeito de llaves privadas de passpie.

HackMyVM - Catland

Máquina Linux nivel medio. Tendremos fuerza bruta en logins con wordlists propios, LFItoRCE mediante ZIP, temitas del GRUB con más fuerza bruta y análisis de código para encontrar problemitas en...

HackTheBox - RedPanda

Máquina Linux nivel fácil. SSTI en plantillas juguetonas de Java, ojitos abiertos para leer código Java y encontrar LFIs y XXEs.

HackTheBox - Trick

Máquina Linux nivel fácil. Transferencias bancarias en X zona con DNS, inyecciones SQL, bypass de filtros para leer archivos del sistema yyyy buenos tratos 🤝 baneos a cambio de RCE...

HackTheBox - Faculty

Máquina Linux nivel medio. SQLi bypass auth, LFI en pequeños comentarios de mpdf, inyección de comandos con meta-git y debug en procesos del sistema para ejecutar cosas traviesas mediante capabilities...

HackTheBox - Backdoor

Máquina Linux nivel fácil. Locureo con un LFI, el objeto /proc y unos file descriptors bien lindos para enterarnos de cositas. Ah, y también armaremos el Kit del Pwn :O...

HackTheBox - Monitors

Máquina Linux nivel difícil. Tendremos muuuuchos CVEs, jugaremos con inclusión remota/local de archivos en un plugin de WordPress (wp-with-spritz), reutilización de contraseñas, ejecución remota de comandos en un Cactus (?),...

HackTheBox - Waldo

Máquina linux nivel medio. Los lindos LFI, jugueteo con SSH, llaves privadas traviesas, bypass de shells restringidas yyyyyy cositas con las CAPAcidades BILITIESas.

HackTheBox - CrimeStoppers

Máquina Linux nivel difícil. Explotación web con filtros (wrappers) consiguiendo LFI y RCE, contraseñas de Thunderbird, correos llenos de odio, persistencias locas (un rootkit) y jugueteo entre reversing y criptografía....

HackTheBox - Breadcrumbs

Máquina Windows nivel difícil. Jugaremos mucho con inyecciones y robos :P Encontraremos un LFI, haremos cookie-hijacking, leeremos contraseñas almacenadas, jugando con binarios encontramos una URL que nos llevara de la...

HackTheBox - Tabby

Máquina Linux nivel fácil. Tabbyen, jugaremos con un LFI, buscaremos hasta más no poder un archivo de tomcat, explotaremos al manager para que nos permita entrar en la casa de...

HackTheBox - ServMon

Máquina Windows nivel fácil. Iremos dando vueltas mediante FTP, exploraremos un Local File Inclusion. Jugaremos con la API del servicio NSClient para conseguir una shell como administrador.

🎈 LFItoRCE

HackMyVM - Catland

Máquina Linux nivel medio. Tendremos fuerza bruta en logins con wordlists propios, LFItoRCE mediante ZIP, temitas del GRUB con más fuerza bruta y análisis de código para encontrar problemitas en...

HackTheBox - CrimeStoppers

Máquina Linux nivel difícil. Explotación web con filtros (wrappers) consiguiendo LFI y RCE, contraseñas de Thunderbird, correos llenos de odio, persistencias locas (un rootkit) y jugueteo entre reversing y criptografía....

🎈 LXD

HackTheBox - Tabby

Máquina Linux nivel fácil. Tabbyen, jugaremos con un LFI, buscaremos hasta más no poder un archivo de tomcat, explotaremos al manager para que nos permita entrar en la casa de...

🎈 Laravel 8

HackTheBox - Horizontall

Máquina Linux nivel fácil. Inspección de código fuente, problemitas con Strapi, con Laravel y con reverse shells.

🎈 MOF

HackTheBox - Dropzone

Máquina Windows nivel difícil, bastante bastante entretenida, jugaremos con un servicio TFTP para escribir archivos arbitrariamente en el sistema (sin restricción), usaremos esa habilidad para jugar con objetos .mof y...

🎈 MS16-135

HackTheBox - Optimum

Máquina Windows nivel fácil. Evitamos los filtros que nos ponga HTTP File Server, transformamos (transformers (optimus prime (optimum (nombre bien pensado eh!)))) nuestra arquitectura y explotamos el siempre triste kernel....

🎈 MSI

HackTheBox - Love

Máquina Windows nivel fácil, escanearemos archivos locales (localhost) en busca de malware e.e Encontraremos credenciales y generaremos votantes con fotos de perfil peligrosas… Jugaremos con registros e instalaremos paquetes MSI...

🎈 MSSQL

HackTheBox - Giddy

Máquina Windows nivel medio. Jugaremos con inyecciones SQL del servicio MSSQL. Pero no vamos dumpear bases de datos, nop, vamos a ejecutar comandos :o que serán interceptados (smbclient y responder)...

🎈 NSClient

HackTheBox - ServMon

Máquina Windows nivel fácil. Iremos dando vueltas mediante FTP, exploraremos un Local File Inclusion. Jugaremos con la API del servicio NSClient para conseguir una shell como administrador.

🎈 NoSQLi

HackTheBox - Stocker

Máquina Linux nivel fácil. NoSQL Injection, generación de PDFs con campos vulnerables a XSS, lectura de archivos internos mediante ese XSS, credenciales volando y permisos genéricos que permiten ejecutar cualquieeeer...

🎈 OPT

HackTheBox - Static

Máquina Linux nivel difícil. Enumeraremos muchos servidores web, reconstruiremos comprimidos dañados, romperemos xdebug, romperemos PHP-FMP y romperemos terminales :P Juegos con llaves SSH yyyyyyyyy un Path Hijacking muy locochón.

🎈 OpenNetAdmin

HackTheBox - OpenAdmin

Maquina Linux nivel fácil. Jugaremos con inspección de código, peticiones web, movimientos internos con Apache, con SSH keys y romperemos /bin/nano.

🎈 PD4ML

HackTheBox - Bucket

Máquina Linux nivel medio, jugaremos mucho con AWS, leeremos código fuente y descubriremos que podemos leer archivos como root. Esto mediante el juego entre la herramienta PD4ML y AWS DynamoDB....

🎈 PDFKit

HackTheBox - Precious

Máquina Linux nivel fácil. PDFKit nos gestionará un RCE, tendremos credenciales voladoras y una siempre bienvenida deserialización insegura con YAML.load().

🎈 PHP

Type Juggling == PHP

Jugaremos con la pobre validación que se hace a veces en formularios o procesos de PHP, estos llevados a cabo con == o !=.

🎈 PHP-FPM

HackTheBox - Static

Máquina Linux nivel difícil. Enumeraremos muchos servidores web, reconstruiremos comprimidos dañados, romperemos xdebug, romperemos PHP-FMP y romperemos terminales :P Juegos con llaves SSH yyyyyyyyy un Path Hijacking muy locochón.

🎈 PHP-explotation

HackTheBox - Knife

Máquina Linux nivel fácil, explotaremos PHP y jugaremos con la herramienta knife para ejecutar código Ruby como el usuario root (mediante sudo).

🎈 PSTranscript

HackTheBox - Resolute

Máquina Windows nivel medio. Enumeraremos hasta más no poder un controlador de dominio, veremos contraseñas volando libremente e inyectaremos una DLL maliciosa en un servidor DNS 😲

🎈 PSarchitecture

HackTheBox - Optimum

Máquina Windows nivel fácil. Evitamos los filtros que nos ponga HTTP File Server, transformamos (transformers (optimus prime (optimum (nombre bien pensado eh!)))) nuestra arquitectura y explotamos el siempre triste kernel....

🎈 PScript

HackTheBox - Intelligence

Máquina Windows nivel medio. Fuzzeito lindo para encontrar archivos PDF y juegos sucios con su metadata. Gafas bien puestas contra scripts de PowerShell, temitas de DNS e interacción con Service...

🎈 PiHole

HackTheBox - Unbalanced

Máquina Linux nivel difícil. Nos enfrentaremos con encriptación, mucho jugueteo con XML (romperemos una clave y encontraremos un XPATH injection que automatizaremos para extraer credenciales), explotaremos PiHole y sobre todo,...

🎈 PrintNightmare

HackTheBox - Driver

Máquina Windows nivel fácil. Jugaremos mucho con impresoras, archivos .SCF y pesadillas.

🎈 PwnKit

HackTheBox - Backdoor

Máquina Linux nivel fácil. Locureo con un LFI, el objeto /proc y unos file descriptors bien lindos para enterarnos de cositas. Ah, y también armaremos el Kit del Pwn :O...

🎈 PyPi

HackTheBox - SneakyMailer

Máquina Linux nivel medio pero que de medio muy poco, o pues casi me enloquezco :P SneakyMailer… Vaya locura, jugaremos simulando phishing, explotaremos cositas de FTP, romperemos PyPi para crearnos...

🎈 Python3-eval()

HackTheBox - BountyHunter

Máquina Linux nivel fácil. Leeremos archivos del sistema mediante un XXE con ayuda de wrappers e inspeccionaremos código Python para juguetear con la funcion eval().

🎈 RBCD

HackTheBox - Support

Máquina Windows nivel fácil. AD, decompilado de binarios para encontrar credenciales, saltos con LDAP y una delegación bien linda basada en recursos (Kerberos).

🎈 RCE

HackTheBox - Proper

Máquina Windows nivel difícil. Agregamos sal a nuestra inyección SQL, jugaremos a ganar la race condition y finalmente entre reversing, movimiento lateral, creación de scripts en PowerShell y pipes conseguiremos...

🎈 RDP

TryHackMe - Anthem

Máquina Windows nivel fácil. Jugaremos mucho a encontrar cosas en la web, caeremos en un Rabbit Hole con Umbraco (lindo, aprendimos bastante de esto) y accederemos remotamente a escritorios ajenos...

🎈 RFI

HackTheBox - Monitors

Máquina Linux nivel difícil. Tendremos muuuuchos CVEs, jugaremos con inclusión remota/local de archivos en un plugin de WordPress (wp-with-spritz), reutilización de contraseñas, ejecución remota de comandos en un Cactus (?),...

HackTheBox - Proper

Máquina Windows nivel difícil. Agregamos sal a nuestra inyección SQL, jugaremos a ganar la race condition y finalmente entre reversing, movimiento lateral, creación de scripts en PowerShell y pipes conseguiremos...

🎈 RPF

HackTheBox - Arkham

Máquina Windows nivel medio, deserializaremos JavaServer Faces, jugaremos con muchos payloads con la necesidad de firmarlos con una llave :O Haremos Port Fortwarding, leeremos correos y montaremos el directorio raiz...

🎈 SCF

HackTheBox - Driver

Máquina Windows nivel fácil. Jugaremos mucho con impresoras, archivos .SCF y pesadillas.

🎈 SMB

HackTheBox - Support

Máquina Windows nivel fácil. AD, decompilado de binarios para encontrar credenciales, saltos con LDAP y una delegación bien linda basada en recursos (Kerberos).

HackTheBox - Atom

Máquina Windows nivel medio. Jugaremos con SMB, recrearemos actualizaciones (feature de electron) en binarios para que sean ejecutados por un equipo de QA y encontraremos la relación amorosa entre Redis...

HackTheBox - Heist

Máquina Windows nivel fácil, jugaremos con crackeo de passwords Cisco, movimientos laterales para encontrar usuarios a los cuales no teníamos acceso yyyyyy dumpearemos procesos de Firefox para ver que está...

HackTheBox - Bastion

Máquina Windows nivel fácil. Nos moveremos con Samba, jugaremos con el backup de una máquina virtual Windows para extraer los archivos SAM y SYSTEM… Crackearemos cosillas y nos daremos cuenta...

HackTheBox - Active

Máquina Windows nivel medio, de cabeza contra un Domain Controller, jugaremos mucho con SMB y sus carpetas compartidas, movimientos SYStematicos y VOLtaicos e.e, bastante crackeo de contraseñas y obtención de...

HackTheBox - Sharp

Máquina Windows nivel difícil, vamos a movernos entre carpetas compartidas, organizaremos nuestras ideas con Kanban (🤪) y jugaremos con binarios .exe para aprovechar deserializaciones y errores de configuración.

HackTheBox - Fuse

Máquina Windows nivel medio. Usaremos varios usuarios como diccionario para encontrar uno valido en el sistema, estando dentro explotaremos un permiso que nos deja subir drivers, subiremos uno conocido que...

🎈 SMBRelay

HackTheBox - Intelligence

Máquina Windows nivel medio. Fuzzeito lindo para encontrar archivos PDF y juegos sucios con su metadata. Gafas bien puestas contra scripts de PowerShell, temitas de DNS e interacción con Service...

🎈 SMTP

HackTheBox - Tentacle

Máquina Linux nivel difícil (pareció insana eh!). Nos toparemos con varios dominios escondidos, jugaremos con proxychains para encadenarnos, enumeraremos IPs fantasmas y explotaremos una de ellas que esta corriendo OpenSMTPD....

🎈 SNMP

HackTheBox - Pit

Máquina Linux (CentOS 8) nivel medio. Caminaremos con el servicio SNMP, extraeremos rutas web, rutas de binarios y usuarios. Explotaremos SeedDMS con un exploit que no debería servir contra esa...

HackTheBox - Carrier

Máquina Linux nivel medio. Enumeraremos bastante y leeremos más. Jugaremos con SNMP, inyección de comandos de un proceso en la web yyyyyy una locura llamada BGP Hijacking. Interceptaremos el tráfico...

🎈 SQLi

HackMyVM - Literal

Máquina Linux nivel fácil. Inyecciones por todos lados, SQL (union-based y boolean-based) y de comandos en el sistema. Así mismo jugaremos un poco con pensamiento lateral.

HackTheBox - MetaTwo

Máquina Linux nivel fácil. WordPress y plugins juguetones con SQLi, XXE y LFI. Credenciales por doquier yyy crackeito de llaves privadas de passpie.

HackTheBox - Shared

Máquina Linux nivel medio. SQLi content-based, grupos juguetones que nos permitirán interactuar con IPython (command injection) y Redis (EVAL) (remote command execution).

HackTheBox - Trick

Máquina Linux nivel fácil. Transferencias bancarias en X zona con DNS, inyecciones SQL, bypass de filtros para leer archivos del sistema yyyy buenos tratos 🤝 baneos a cambio de RCE...

HackTheBox - Faculty

Máquina Linux nivel medio. SQLi bypass auth, LFI en pequeños comentarios de mpdf, inyección de comandos con meta-git y debug en procesos del sistema para ejecutar cosas traviesas mediante capabilities...

HackTheBox - Writer

Máquina Linux nivel medio. Bypassing de un panel-login, extracción de datos y lectura de archivos del sistema con la funcion LOAD_FILE(), todo lo anterior con un SQLi 😮 Análisis estático...

HackTheBox - Spider

Máquina Linux nivel difícil. Mucho jugueteo web e inyecciones. Server Side Template Injection (SSTI) tanto visible como blind, sensualidad con cookies y secret-key’s, SQL Injection time-based y exploraremos data web...

HackTheBox - Proper

Máquina Windows nivel difícil. Agregamos sal a nuestra inyección SQL, jugaremos a ganar la race condition y finalmente entre reversing, movimiento lateral, creación de scripts en PowerShell y pipes conseguiremos...

HackTheBox - Giddy

Máquina Windows nivel medio. Jugaremos con inyecciones SQL del servicio MSSQL. Pero no vamos dumpear bases de datos, nop, vamos a ejecutar comandos :o que serán interceptados (smbclient y responder)...

HackTheBox - Breadcrumbs

Máquina Windows nivel difícil. Jugaremos mucho con inyecciones y robos :P Encontraremos un LFI, haremos cookie-hijacking, leeremos contraseñas almacenadas, jugando con binarios encontramos una URL que nos llevara de la...

HackTheBox - Writeup

Máquina Linux nivel fácil, nos miraremos a los ojos con un CMS vulnerable a SQLi time-based. Haremos reutilización de credenciales y encontraremos un PATH Hijacking guapetón.

HackTheBox - Enterprise

Máquina Linux nivel medio, vamos a movernos entre sentencias SQL para generar pinchazos e.e Pivotearemos entre contenedores y compartiremos experiencias con el host… Finalmente explotaremos un buffer overflow mediante un...

HackTheBox - Cache

Máquina Linux nivel medio. Veremos el uso del VirtualHosting, bypassearemos cositas e injectaremos otras. Tendremos que movernos mediante la cache en memoria y Docker para volvernos root.

🎈 SSRF

HackTheBox - Forge

Máquina Linux nivel medio. Bypass de listas negras en la web causando problemas internos (o.o), juego con fuentes de código, credenciales volando y llaves llegando… Movimientos con permisos en el...

HackTheBox - Love

Máquina Windows nivel fácil, escanearemos archivos locales (localhost) en busca de malware e.e Encontraremos credenciales y generaremos votantes con fotos de perfil peligrosas… Jugaremos con registros e instalaremos paquetes MSI...

🎈 SSTI

HackMyVM - Devguru

Máquina Linux nivel medio (diría que difícil le queda mejor). Directorios .git y credenciales volando, bastantes juegos con Adminer, SSTI en twig, un Gitea viejito vulnerable mediante hooks a RCE,...

HackTheBox - RedPanda

Máquina Linux nivel fácil. SSTI en plantillas juguetonas de Java, ojitos abiertos para leer código Java y encontrar LFIs y XXEs.

HackTheBox - Late

Máquina Linux nivel fácil. Engaños para ocultar un SSTI en el texto de unas imágenes y atributos burlones en algunos archivos.

HackTheBox - Bolt

Máquina Linux nivel medio. Vamos a jugar con imágenes de Docker (para leer y leer (?)), interacciones extrañas entre correos (SSTI), credenciales quemadas ): y secretos 🤫 del servicio Passbolt....

HackTheBox - Spider

Máquina Linux nivel difícil. Mucho jugueteo web e inyecciones. Server Side Template Injection (SSTI) tanto visible como blind, sensualidad con cookies y secret-key’s, SQL Injection time-based y exploraremos data web...

HackTheBox - Doctor

Máquina Linux nivel fácil. Sencilla, pero algo inquietante al inicio, jugaremos con inyección en templates, los logs nos hablarán y romperemos Splunk montando servidores fake por todos lados para ejecutar...

🎈 SUID

HackTheBox - MonitorsTwo

Máquina Linux nivel fácil. Cacti con inyección de comandos, binarios SUID y LFI internamente sobre contenedores de moby.

HackMyVM - Luz

Máquina Linux nivel fácil. Inyecciones SQL innecesarias, RCE mediante archivos PHP y bits SUID peligrosos.

HackTheBox - Secret

Máquina Linux nivel fácil. Encontraremos rutas secreeeeetas en una web que permiten inyectar a los comandos :( y dumpeos de memoria de los lindos para jugar con info sensible.

HackTheBox - dynstr

Máquina Linux nivel medio. Mucho dinamismo con DNS (APIs, RCE, zonas y actualizaciones), llaves SSH volando sin rumbo, SUID y scripts dinámicamente traviesos para copiar archivos como nosotros queramos.

HackTheBox - Schooled

Máquina FreeBSD nivel medio, linda locura, nos moveremos mucho por Moodle robando cookies, cambiando roles a los cuales no deberíamos cambiar e instalando plugins maliciosos. Crackearemos hashes y finalmente aprovecharemos...

HackTheBox - Spectra

Máquina Linux (Chromium OS) nivel fácil. Nos veremos las caras con WordPress y su mala configuración por parte del administrador del sitio. Modificaremos themones para ejecutar comandos en el sistema....

HackTheBox - Laboratory

Máquina Linux nivel fácil. Tendremos al lobo naranja (GitLab) :P como punto de entrada, jugaremos con Backups y archivos .bundle, obtendremos las llaves de la casa y nos haremos dueños...

🎈 SeedDMS

HackTheBox - Pit

Máquina Linux (CentOS 8) nivel medio. Caminaremos con el servicio SNMP, extraeremos rutas web, rutas de binarios y usuarios. Explotaremos SeedDMS con un exploit que no debería servir contra esa...

🎈 Strapi

HackTheBox - Horizontall

Máquina Linux nivel fácil. Inspección de código fuente, problemitas con Strapi, con Laravel y con reverse shells.

🎈 TFTP

HackTheBox - Dropzone

Máquina Windows nivel difícil, bastante bastante entretenida, jugaremos con un servicio TFTP para escribir archivos arbitrariamente en el sistema (sin restricción), usaremos esa habilidad para jugar con objetos .mof y...

🎈 TeamViewer

HackTheBox - Remote

Máquina Windows nivel fácil. Jugaremos con monturas, crackeo, romperemos Umbraco yyyy encontraremos dos maneras de volvernos administradores del sistema, mediante UsoSvc y TeamViewer.

🎈 UsoSvc

HackTheBox - Remote

Máquina Windows nivel fácil. Jugaremos con monturas, crackeo, romperemos Umbraco yyyy encontraremos dos maneras de volvernos administradores del sistema, mediante UsoSvc y TeamViewer.

🎈 VHD

HackTheBox - Bastion

Máquina Windows nivel fácil. Nos moveremos con Samba, jugaremos con el backup de una máquina virtual Windows para extraer los archivos SAM y SYSTEM… Crackearemos cosillas y nos daremos cuenta...

🎈 WMI

HackTheBox - Dropzone

Máquina Windows nivel difícil, bastante bastante entretenida, jugaremos con un servicio TFTP para escribir archivos arbitrariamente en el sistema (sin restricción), usaremos esa habilidad para jugar con objetos .mof y...

🎈 XML

HackTheBox - Unbalanced

Máquina Linux nivel difícil. Nos enfrentaremos con encriptación, mucho jugueteo con XML (romperemos una clave y encontraremos un XPATH injection que automatizaremos para extraer credenciales), explotaremos PiHole y sobre todo,...

🎈 XPath

HackTheBox - Unbalanced

Máquina Linux nivel difícil. Nos enfrentaremos con encriptación, mucho jugueteo con XML (romperemos una clave y encontraremos un XPATH injection que automatizaremos para extraer credenciales), explotaremos PiHole y sobre todo,...

🎈 XSS

HackTheBox - Headless

Entorno Linux nivel fácil. Robaremos cookies administrativas mediante un XSS, inyectaremos comandos desde la misma web y aprovecharemos descuidos al llamar archivos del sistema para ejecutar comandos de forma privilegiada....

HackTheBox - Stocker

Máquina Linux nivel fácil. NoSQL Injection, generación de PDFs con campos vulnerables a XSS, lectura de archivos internos mediante ese XSS, credenciales volando y permisos genéricos que permiten ejecutar cualquieeeer...

HackTheBox - Schooled

Máquina FreeBSD nivel medio, linda locura, nos moveremos mucho por Moodle robando cookies, cambiando roles a los cuales no deberíamos cambiar e instalando plugins maliciosos. Crackearemos hashes y finalmente aprovecharemos...

🎈 XXE

HackTheBox - MetaTwo

Máquina Linux nivel fácil. WordPress y plugins juguetones con SQLi, XXE y LFI. Credenciales por doquier yyy crackeito de llaves privadas de passpie.

HackTheBox - RedPanda

Máquina Linux nivel fácil. SSTI en plantillas juguetonas de Java, ojitos abiertos para leer código Java y encontrar LFIs y XXEs.

HackTheBox - BountyHunter

Máquina Linux nivel fácil. Leeremos archivos del sistema mediante un XXE con ayuda de wrappers e inspeccionaremos código Python para juguetear con la funcion eval().

HackTheBox - Spider

Máquina Linux nivel difícil. Mucho jugueteo web e inyecciones. Server Side Template Injection (SSTI) tanto visible como blind, sensualidad con cookies y secret-key’s, SQL Injection time-based y exploraremos data web...

🎈 YAML

HackTheBox - Precious

Máquina Linux nivel fácil. PDFKit nos gestionará un RCE, tendremos credenciales voladoras y una siempre bienvenida deserialización insegura con YAML.load().

HackTheBox - Ophiuchi

Máquina Linux nivel medio. La deserialización no puede faltar, pero esta vez parseando sintaxis YAML. Enumeración básica y finalmente tendremos que jugar con instrucciones de WebAssembly para modificar una constante...

🎈 Zabbix

HackTheBox - Shibboleth

Máquina Linux nivel medio. Jugaremos con protocolos para controlar la existencia (IPMI), reutilización de credenciales, inyección de comandos (en Zabbix) y más inyección de comandos (en mysql).

🎈 actuators

HackTheBox - CozyHosting

Entorno Linux nivel facil. Temitas con Spring Boot y sus Actuators, las usaremos para robar sesiones y aparte inyectaremos comandos por montones (qué tal la rima ah?).

🎈 adm

HackMyVM - Devguru

Máquina Linux nivel medio (diría que difícil le queda mejor). Directorios .git y credenciales volando, bastantes juegos con Adminer, SSTI en twig, un Gitea viejito vulnerable mediante hooks a RCE,...

HackTheBox - Academy

Máquina Linux nivel fácil. Pensaremos en bases de datos (eh?), deserializaremos mentes :o, jugaremos con archivos ‘log’ y romperemos un binario que nos dará en este caso dependencia de ser...

🎈 android-debug-bridge

HackTheBox - Explore

Máquina Android nivel fácil. Exploraremos como ningún explorador e.e Veremos imágenes de la galería 😧 y jugaremos con el demonio :o Android Debug Bridge.

🎈 ansible-playbook

HackTheBox - Seal

Máquina Linux nivel medio. Fuzzeo loco, repositorios (GitBucket) con commits aún más locos, movimientos sucios con Tomcat Manager, backups con -links- (?) yyyyy ejecución y creación de tareas automatizadas mediante...

🎈 apache-files

HackTheBox - OpenAdmin

Maquina Linux nivel fácil. Jugaremos con inspección de código, peticiones web, movimientos internos con Apache, con SSH keys y romperemos /bin/nano.

🎈 apport-cli

HackTheBox - Devvortex

Entorno Linux, fuzzeos, rompiendo Joomla mediante vulns y plugins, credenciales volando y privilegios para analizar problemas con ayuda de apport-cli.

🎈 apt-get

HackTheBox - Writer

Máquina Linux nivel medio. Bypassing de un panel-login, extracción de datos y lectura de archivos del sistema con la funcion LOAD_FILE(), todo lo anterior con un SQLi 😮 Análisis estático...

🎈 arbitrary-file-upload

HackMyVM - Milk

Máquina Linux nivel medio. Subida arbitraria de objetos .php yyy archivos que viajan en paquetes ICMP (esto mediante hping3 y la capability CAP_DAC_OVERRIDE).

🎈 askjeeves

HackTheBox - Jeeves

Máquina Windows nivel medio. La elegancia de Jenkins que nos permite jugar con scripts de Groovy para obtener RCE :O Archivos .kdbx con contraseñas dentro (¿qué puede pasar?) y descubriremos...

🎈 backup

HackTheBox - Bolt

Máquina Linux nivel medio. Vamos a jugar con imágenes de Docker (para leer y leer (?)), interacciones extrañas entre correos (SSTI), credenciales quemadas ): y secretos 🤫 del servicio Passbolt....

HackTheBox - Seal

Máquina Linux nivel medio. Fuzzeo loco, repositorios (GitBucket) con commits aún más locos, movimientos sucios con Tomcat Manager, backups con -links- (?) yyyyy ejecución y creación de tareas automatizadas mediante...

HackTheBox - Curling

Máquina Linux nivel fácil. Ojos bien abiertos en la página web, jueguitos con templates de Joomla, loops de backups (?), movimientos sensuales con un archivo de configuración de cURL y...

HackTheBox - Bastion

Máquina Windows nivel fácil. Nos moveremos con Samba, jugaremos con el backup de una máquina virtual Windows para extraer los archivos SAM y SYSTEM… Crackearemos cosillas y nos daremos cuenta...

HackTheBox - Laboratory

Máquina Linux nivel fácil. Tendremos al lobo naranja (GitLab) :P como punto de entrada, jugaremos con Backups y archivos .bundle, obtendremos las llaves de la casa y nos haremos dueños...

🎈 bash-expansion

HackTheBox - Codify

Entorno Linux nivel fácil. Nos saldremos del aislamiento que nos interpuso una Sandbox y de bravos ejecutaremos comandos en el sistema :P Crackearemos credenciales y robaremos otras jugando con expansores...

🎈 bruteforce

Laboratorio de PIVOTING - HackMyVM Friendly

3 entornos, jugaremos principalmente con pivoting, pero a su vez, con accesos indebidos a servicios curiosos, permisos algo peligrosos como otros usuarios, fuerza bruta pa romper varias cositas, carreritas contra...

🎈 bsd-csh

HackMyVM - Luz

Máquina Linux nivel fácil. Inyecciones SQL innecesarias, RCE mediante archivos PHP y bits SUID peligrosos.

🎈 buffer-overflow

TryHackMe - Buffer Overflow Prep

Entorno Windows. Jugaremos con un desbordamiento de buffer basado en la pila, lo aprovecharemos para enviar más datos de los necesarios y molestar al sistema, se cansará tanto de nosotros...

HackTheBox - Enterprise

Máquina Linux nivel medio, vamos a movernos entre sentencias SQL para generar pinchazos e.e Pivotearemos entre contenedores y compartiremos experiencias con el host… Finalmente explotaremos un buffer overflow mediante un...

PicoCTF2019 - Overflow1

Exploraremos un Buffer Overflow pa toda la familia, tendremos que moveremos a una función que contiene la flag.

HackTheBox - Buff

Máquina Windows nivel fácil. Buff buff uff, explotaremos un gimnasio :o (casi) yyy aprovecharemos un Buffer Overflow para ser amos del sistema… ¿Sencillo, no? pues…

🎈 bundler

HackTheBox - Precious

Máquina Linux nivel fácil. PDFKit nos gestionará un RCE, tendremos credenciales voladoras y una siempre bienvenida deserialización insegura con YAML.load().

🎈 bypass-AV

HackTheBox - Timelapse

Máquina Windows nivel fácil. Backups con certificados WinRM, históricos de comandos algo agresivos, sacamos a passear a los antivirus e interactuamos con la contraseña del administrador mediante LAPS.

HackTheBox - Giddy

Máquina Windows nivel medio. Jugaremos con inyecciones SQL del servicio MSSQL. Pero no vamos dumpear bases de datos, nop, vamos a ejecutar comandos :o que serán interceptados (smbclient y responder)...

🎈 bypass-redirect

HackTheBox - Previse

Máquina Linux nivel fácil. Vamos a bypassear redirecciones, inyectar comandos en peticiones, crakeaziohn de hashes salados yyyyy a jugamientos con un Path Hijacking para ejecutar comandos como diosito.

HackTheBox - Magic

Máquina Linux nivel medio. Inspeccionaremos un redireccionamiento web algo locochon, moveremos algunos Magic Bytes, iremos jugando con MySQL y haremos un Path Hijacking.

🎈 cURL-config-file

HackTheBox - Curling

Máquina Linux nivel fácil. Ojos bien abiertos en la página web, jueguitos con templates de Joomla, loops de backups (?), movimientos sensuales con un archivo de configuración de cURL y...

🎈 cap_sys_ptrace

HackTheBox - Faculty

Máquina Linux nivel medio. SQLi bypass auth, LFI en pequeños comentarios de mpdf, inyección de comandos con meta-git y debug en procesos del sistema para ejecutar cosas traviesas mediante capabilities...

🎈 capabilities

HackMyVM - Milk

Máquina Linux nivel medio. Subida arbitraria de objetos .php yyy archivos que viajan en paquetes ICMP (esto mediante hping3 y la capability CAP_DAC_OVERRIDE).

HackTheBox - Faculty

Máquina Linux nivel medio. SQLi bypass auth, LFI en pequeños comentarios de mpdf, inyección de comandos con meta-git y debug en procesos del sistema para ejecutar cosas traviesas mediante capabilities...

HackTheBox - Monitors

Máquina Linux nivel difícil. Tendremos muuuuchos CVEs, jugaremos con inclusión remota/local de archivos en un plugin de WordPress (wp-with-spritz), reutilización de contraseñas, ejecución remota de comandos en un Cactus (?),...

HackTheBox - Cap

Máquina Linux nivel fácil. Jugaremos con capturas de red, encontraremos credenciales y haremos uso de la capability setuid para mediante Python3.8 ejecutar instrucciones en el sistema como el usuario root....

HackTheBox - Waldo

Máquina linux nivel medio. Los lindos LFI, jugueteo con SSH, llaves privadas traviesas, bypass de shells restringidas yyyyyy cositas con las CAPAcidades BILITIESas.

🎈 chef

HackTheBox - Knife

Máquina Linux nivel fácil, explotaremos PHP y jugaremos con la herramienta knife para ejecutar código Ruby como el usuario root (mediante sudo).

🎈 chgrp

HackMyVM - Stars

Máquina Linux nivel fácil. Fuzzing, gafas para encontrar llaves SSH y archivos con grupos traviesos usando el comando chgrp.

🎈 cisco

HackTheBox - Heist

Máquina Windows nivel fácil, jugaremos con crackeo de passwords Cisco, movimientos laterales para encontrar usuarios a los cuales no teníamos acceso yyyyyy dumpearemos procesos de Firefox para ver que está...

🎈 cockpit

HackTheBox - Pit

Máquina Linux (CentOS 8) nivel medio. Caminaremos con el servicio SNMP, extraeremos rutas web, rutas de binarios y usuarios. Explotaremos SeedDMS con un exploit que no debería servir contra esa...

🎈 code-analysis

HackTheBox - Headless

Entorno Linux nivel fácil. Robaremos cookies administrativas mediante un XSS, inyectaremos comandos desde la misma web y aprovecharemos descuidos al llamar archivos del sistema para ejecutar comandos de forma privilegiada....

HackMyVM - Literal

Máquina Linux nivel fácil. Inyecciones por todos lados, SQL (union-based y boolean-based) y de comandos en el sistema. Así mismo jugaremos un poco con pensamiento lateral.

HackMyVM - Catland

Máquina Linux nivel medio. Tendremos fuerza bruta en logins con wordlists propios, LFItoRCE mediante ZIP, temitas del GRUB con más fuerza bruta y análisis de código para encontrar problemitas en...

HackTheBox - RedPanda

Máquina Linux nivel fácil. SSTI en plantillas juguetonas de Java, ojitos abiertos para leer código Java y encontrar LFIs y XXEs.

HackTheBox - OpenSource

Máquina Linux nivel fácil. Ojos abiertos revisando código Python, inyectamos comandos en ese código, encontramos credenciales volando, pivoteo sabroso con redirección de puertos y movimientos sensuales con git hooks.

HackTheBox - Catch

Máquina Linux nivel medio. Token 🎵, vamos APIe y Let’s Chat! Jueguitos con variables de entorno en Cachet, credenciales volando y nombres de aplicaciones Android algo peligrosos.

HackTheBox - Secret

Máquina Linux nivel fácil. Encontraremos rutas secreeeeetas en una web que permiten inyectar a los comandos :( y dumpeos de memoria de los lindos para jugar con info sensible.

HackTheBox - Bolt

Máquina Linux nivel medio. Vamos a jugar con imágenes de Docker (para leer y leer (?)), interacciones extrañas entre correos (SSTI), credenciales quemadas ): y secretos 🤫 del servicio Passbolt....

HackTheBox - Previse

Máquina Linux nivel fácil. Vamos a bypassear redirecciones, inyectar comandos en peticiones, crakeaziohn de hashes salados yyyyy a jugamientos con un Path Hijacking para ejecutar comandos como diosito.

HackTheBox - Writer

Máquina Linux nivel medio. Bypassing de un panel-login, extracción de datos y lectura de archivos del sistema con la funcion LOAD_FILE(), todo lo anterior con un SQLi 😮 Análisis estático...

HackTheBox - BountyHunter

Máquina Linux nivel fácil. Leeremos archivos del sistema mediante un XXE con ayuda de wrappers e inspeccionaremos código Python para juguetear con la funcion eval().

HackTheBox - dynstr

Máquina Linux nivel medio. Mucho dinamismo con DNS (APIs, RCE, zonas y actualizaciones), llaves SSH volando sin rumbo, SUID y scripts dinámicamente traviesos para copiar archivos como nosotros queramos.

HackTheBox - Unobtainium

Máquina Linux nivel difícil. Explotaremos una app de Linux. Jugando con librerías de JavaScript, la infectaremos (Prototype Pollution en lodash) y haremos command-injection (en google-cloudstorage-commands). Y moveremos internamente muchas cosas...

HackTheBox - Tenet

Máquina Linux nivel medio. Exploraremos deserialización insegura de objetos en PHP, reutilización de contraseñas y encontraremos pequeños fallos en scripts de bash :P

HackTheBox - ScriptKiddie

Máquina Linux nivel fácil. Un servidor web que ejecuta comandos específicos, pero que con uno de ellos podemos agregar un “template”, ¿qué puede salir mal? Inspeccionaremos un script al detalle...

🎈 command-history

HackTheBox - Timelapse

Máquina Windows nivel fácil. Backups con certificados WinRM, históricos de comandos algo agresivos, sacamos a passear a los antivirus e interactuamos con la contraseña del administrador mediante LAPS.

🎈 command-injection

HackTheBox - Headless

Entorno Linux nivel fácil. Robaremos cookies administrativas mediante un XSS, inyectaremos comandos desde la misma web y aprovecharemos descuidos al llamar archivos del sistema para ejecutar comandos de forma privilegiada....

HackMyVM - Speed

Máquina Linux nivel medio. Inyección de comandos en sar2html y OpenLiteSpeed, además romperemos el archivo /etc/passwd para crear usuarios administradores.

HackTheBox - CozyHosting

Entorno Linux nivel facil. Temitas con Spring Boot y sus Actuators, las usaremos para robar sesiones y aparte inyectaremos comandos por montones (qué tal la rima ah?).

HackTheBox - MonitorsTwo

Máquina Linux nivel fácil. Cacti con inyección de comandos, binarios SUID y LFI internamente sobre contenedores de moby.

HackMyVM - Literal

Máquina Linux nivel fácil. Inyecciones por todos lados, SQL (union-based y boolean-based) y de comandos en el sistema. Así mismo jugaremos un poco con pensamiento lateral.

HackTheBox - Faculty

Máquina Linux nivel medio. SQLi bypass auth, LFI en pequeños comentarios de mpdf, inyección de comandos con meta-git y debug en procesos del sistema para ejecutar cosas traviesas mediante capabilities...

HackTheBox - OpenSource

Máquina Linux nivel fácil. Ojos abiertos revisando código Python, inyectamos comandos en ese código, encontramos credenciales volando, pivoteo sabroso con redirección de puertos y movimientos sensuales con git hooks.

HackTheBox - Catch

Máquina Linux nivel medio. Token 🎵, vamos APIe y Let’s Chat! Jueguitos con variables de entorno en Cachet, credenciales volando y nombres de aplicaciones Android algo peligrosos.

HackTheBox - Shibboleth

Máquina Linux nivel medio. Jugaremos con protocolos para controlar la existencia (IPMI), reutilización de credenciales, inyección de comandos (en Zabbix) y más inyección de comandos (en mysql).

HackTheBox - Secret

Máquina Linux nivel fácil. Encontraremos rutas secreeeeetas en una web que permiten inyectar a los comandos :( y dumpeos de memoria de los lindos para jugar con info sensible.

HackTheBox - Devzat

Máquina Linux nivel medio. Chatearemos (realmente robaremos chats) con SSH, inyectaremos comandos locochones, romperemos InfluxDB y leeremos archivos del sistema mediante un LFI.

HackTheBox - Previse

Máquina Linux nivel fácil. Vamos a bypassear redirecciones, inyectar comandos en peticiones, crakeaziohn de hashes salados yyyyy a jugamientos con un Path Hijacking para ejecutar comandos como diosito.

HackTheBox - dynstr

Máquina Linux nivel medio. Mucho dinamismo con DNS (APIs, RCE, zonas y actualizaciones), llaves SSH volando sin rumbo, SUID y scripts dinámicamente traviesos para copiar archivos como nosotros queramos.

HackTheBox - Carrier

Máquina Linux nivel medio. Enumeraremos bastante y leeremos más. Jugaremos con SNMP, inyección de comandos de un proceso en la web yyyyyy una locura llamada BGP Hijacking. Interceptaremos el tráfico...

HackTheBox - ScriptKiddie

Máquina Linux nivel fácil. Un servidor web que ejecuta comandos específicos, pero que con uno de ellos podemos agregar un “template”, ¿qué puede salir mal? Inspeccionaremos un script al detalle...

HackTheBox - Headless

Entorno Linux nivel fácil. Robaremos cookies administrativas mediante un XSS, inyectaremos comandos desde la misma web y aprovecharemos descuidos al llamar archivos del sistema para ejecutar comandos de forma privilegiada....

HackTheBox - CozyHosting

Entorno Linux nivel facil. Temitas con Spring Boot y sus Actuators, las usaremos para robar sesiones y aparte inyectaremos comandos por montones (qué tal la rima ah?).

HackTheBox - Sink

Máquina Linux nivel desquiciado. Nos enfrentaremos a un HTTP Request Smuggling (loco loco), saltaremos entre usuarios aún más locos, veremos commits relacionados a pasos a producción y pruebas extrañas con...

HackTheBox - Schooled

Máquina FreeBSD nivel medio, linda locura, nos moveremos mucho por Moodle robando cookies, cambiando roles a los cuales no deberíamos cambiar e instalando plugins maliciosos. Crackearemos hashes y finalmente aprovecharemos...

HackTheBox - Breadcrumbs

Máquina Windows nivel difícil. Jugaremos mucho con inyecciones y robos :P Encontraremos un LFI, haremos cookie-hijacking, leeremos contraseñas almacenadas, jugando con binarios encontramos una URL que nos llevara de la...

🎈 coredump

HackTheBox - Secret

Máquina Linux nivel fácil. Encontraremos rutas secreeeeetas en una web que permiten inyectar a los comandos :( y dumpeos de memoria de los lindos para jugar con info sensible.

🎈 cracking

TryHackMe - Crack The Hash Level 2

Seguiremos en el mundo del descubrimiento de contraseñas, jugaremos con diccionarios creados por nosotros, con reglas, con máscaras, uff, nos moveremos mucho

TryHackMe - Crack the hash

Nos adentraremos en el mundo del descubrimiento de contraseñas, jugaremos con diccionarios, con máscaras, con reglas, ja, con todo!

HackTheBox - Devvortex

Entorno Linux, fuzzeos, rompiendo Joomla mediante vulns y plugins, credenciales volando y privilegios para analizar problemas con ayuda de apport-cli.

HackTheBox - Codify

Entorno Linux nivel fácil. Nos saldremos del aislamiento que nos interpuso una Sandbox y de bravos ejecutaremos comandos en el sistema :P Crackearemos credenciales y robaremos otras jugando con expansores...

HackTheBox - CozyHosting

Entorno Linux nivel facil. Temitas con Spring Boot y sus Actuators, las usaremos para robar sesiones y aparte inyectaremos comandos por montones (qué tal la rima ah?).

HackTheBox - MonitorsTwo

Máquina Linux nivel fácil. Cacti con inyección de comandos, binarios SUID y LFI internamente sobre contenedores de moby.

HackMyVM - Literal

Máquina Linux nivel fácil. Inyecciones por todos lados, SQL (union-based y boolean-based) y de comandos en el sistema. Así mismo jugaremos un poco con pensamiento lateral.

HackTheBox - MetaTwo

Máquina Linux nivel fácil. WordPress y plugins juguetones con SQLi, XXE y LFI. Credenciales por doquier yyy crackeito de llaves privadas de passpie.

HackTheBox - Bolt

Máquina Linux nivel medio. Vamos a jugar con imágenes de Docker (para leer y leer (?)), interacciones extrañas entre correos (SSTI), credenciales quemadas ): y secretos 🤫 del servicio Passbolt....

HackTheBox - Previse

Máquina Linux nivel fácil. Vamos a bypassear redirecciones, inyectar comandos en peticiones, crakeaziohn de hashes salados yyyyy a jugamientos con un Path Hijacking para ejecutar comandos como diosito.

HackTheBox - Heist

Máquina Windows nivel fácil, jugaremos con crackeo de passwords Cisco, movimientos laterales para encontrar usuarios a los cuales no teníamos acceso yyyyyy dumpearemos procesos de Firefox para ver que está...

HackTheBox - Writeup

Máquina Linux nivel fácil, nos miraremos a los ojos con un CMS vulnerable a SQLi time-based. Haremos reutilización de credenciales y encontraremos un PATH Hijacking guapetón.

HackTheBox - Bastion

Máquina Windows nivel fácil. Nos moveremos con Samba, jugaremos con el backup de una máquina virtual Windows para extraer los archivos SAM y SYSTEM… Crackearemos cosillas y nos daremos cuenta...

HackTheBox - Delivery

Máquina Linux nivel fácil, jugaremos con osTicket creando tickets que nos servirán para ¿obtener emails externos en el propio status del ticket? ¿khE? (jajaj, sip), nos moveremos entre archivos y...

HackTheBox - Active

Máquina Windows nivel medio, de cabeza contra un Domain Controller, jugaremos mucho con SMB y sus carpetas compartidas, movimientos SYStematicos y VOLtaicos e.e, bastante crackeo de contraseñas y obtención de...

HackTheBox - Passage

Máquina Linux nivel medio. Explotaremos el servicio CuteNews para ejecutar comandos en el sistema, después jugaremos con hashes y crackeo. Jugaremos con llaves privadas y romperemos un proceso que se...

HackTheBox - Tabby

Máquina Linux nivel fácil. Tabbyen, jugaremos con un LFI, buscaremos hasta más no poder un archivo de tomcat, explotaremos al manager para que nos permita entrar en la casa de...

HackTheBox - Blunder

Máquina Linux nivel fácil. Romperemos un CMS, encontraremos un File Upload que explotaremos para ejecutar comandos. Crackearemos cositas y nos apoyaremos de una locura relacionada con “sudo -l” para convertirnos...

HackTheBox - Remote

Máquina Windows nivel fácil. Jugaremos con monturas, crackeo, romperemos Umbraco yyyy encontraremos dos maneras de volvernos administradores del sistema, mediante UsoSvc y TeamViewer.

🎈 crypto

HackTheBox - CrimeStoppers

Máquina Linux nivel difícil. Explotación web con filtros (wrappers) consiguiendo LFI y RCE, contraseñas de Thunderbird, correos llenos de odio, persistencias locas (un rootkit) y jugueteo entre reversing y criptografía....

HackTheBox - Sharp

Máquina Windows nivel difícil, vamos a movernos entre carpetas compartidas, organizaremos nuestras ideas con Kanban (🤪) y jugaremos con binarios .exe para aprovechar deserializaciones y errores de configuración.

HackTheBox - Arkham

Máquina Windows nivel medio, deserializaremos JavaServer Faces, jugaremos con muchos payloads con la necesidad de firmarlos con una llave :O Haremos Port Fortwarding, leeremos correos y montaremos el directorio raiz...

🎈 deep-fuzzing

HackMyVM - Stars

Máquina Linux nivel fácil. Fuzzing, gafas para encontrar llaves SSH y archivos con grupos traviesos usando el comando chgrp.

🎈 delegation-attack

HackTheBox - Intelligence

Máquina Windows nivel medio. Fuzzeito lindo para encontrar archivos PDF y juegos sucios con su metadata. Gafas bien puestas contra scripts de PowerShell, temitas de DNS e interacción con Service...

🎈 demon

HackTheBox - Passage

Máquina Linux nivel medio. Explotaremos el servicio CuteNews para ejecutar comandos en el sistema, después jugaremos con hashes y crackeo. Jugaremos con llaves privadas y romperemos un proceso que se...

HackTheBox - Feline

Máquina Linux nivel difícil. Beleza irmão! De cabezota nos encontraremos con serialización de objetos, enumeraremos y enumeraremos. Jugamos con los servicios que está corriendo Docker localmente y explotamos SaltStack. Pivotearemos...

🎈 deserialization

HackTheBox - Precious

Máquina Linux nivel fácil. PDFKit nos gestionará un RCE, tendremos credenciales voladoras y una siempre bienvenida deserialización insegura con YAML.load().

HackTheBox - Horizontall

Máquina Linux nivel fácil. Inspección de código fuente, problemitas con Strapi, con Laravel y con reverse shells.

HackTheBox - Monitors

Máquina Linux nivel difícil. Tendremos muuuuchos CVEs, jugaremos con inclusión remota/local de archivos en un plugin de WordPress (wp-with-spritz), reutilización de contraseñas, ejecución remota de comandos en un Cactus (?),...

HackTheBox - Ophiuchi

Máquina Linux nivel medio. La deserialización no puede faltar, pero esta vez parseando sintaxis YAML. Enumeración básica y finalmente tendremos que jugar con instrucciones de WebAssembly para modificar una constante...

HackTheBox - Tenet

Máquina Linux nivel medio. Exploraremos deserialización insegura de objetos en PHP, reutilización de contraseñas y encontraremos pequeños fallos en scripts de bash :P

HackTheBox - Sharp

Máquina Windows nivel difícil, vamos a movernos entre carpetas compartidas, organizaremos nuestras ideas con Kanban (🤪) y jugaremos con binarios .exe para aprovechar deserializaciones y errores de configuración.

HackTheBox - Arkham

Máquina Windows nivel medio, deserializaremos JavaServer Faces, jugaremos con muchos payloads con la necesidad de firmarlos con una llave :O Haremos Port Fortwarding, leeremos correos y montaremos el directorio raiz...

HackTheBox - Academy

Máquina Linux nivel fácil. Pensaremos en bases de datos (eh?), deserializaremos mentes :o, jugaremos con archivos ‘log’ y romperemos un binario que nos dará en este caso dependencia de ser...

HackTheBox - Feline

Máquina Linux nivel difícil. Beleza irmão! De cabezota nos encontraremos con serialización de objetos, enumeraremos y enumeraremos. Jugamos con los servicios que está corriendo Docker localmente y explotamos SaltStack. Pivotearemos...

🎈 devOps

HackTheBox - Worker

Máquina Windows nivel medio. Wowoworker, vamos a jugar mucho con repositorios y ramas. Romperemos cositas de Azure DevOps para ejecutar comandos en el sistema como Administradores.

🎈 devzat (github)

HackTheBox - Devzat

Máquina Linux nivel medio. Chatearemos (realmente robaremos chats) con SSH, inyectaremos comandos locochones, romperemos InfluxDB y leeremos archivos del sistema mediante un LFI.

🎈 dnSpy

HackTheBox - Sharp

Máquina Windows nivel difícil, vamos a movernos entre carpetas compartidas, organizaremos nuestras ideas con Kanban (🤪) y jugaremos con binarios .exe para aprovechar deserializaciones y errores de configuración.

🎈 docker

HackTheBox - MonitorsTwo

Máquina Linux nivel fácil. Cacti con inyección de comandos, binarios SUID y LFI internamente sobre contenedores de moby.

HackTheBox - OpenSource

Máquina Linux nivel fácil. Ojos abiertos revisando código Python, inyectamos comandos en ese código, encontramos credenciales volando, pivoteo sabroso con redirección de puertos y movimientos sensuales con git hooks.

HackTheBox - Monitors

Máquina Linux nivel difícil. Tendremos muuuuchos CVEs, jugaremos con inclusión remota/local de archivos en un plugin de WordPress (wp-with-spritz), reutilización de contraseñas, ejecución remota de comandos en un Cactus (?),...

HackTheBox - TheNotebook

Máquina Linux nivel medio. Exploraremos el mundo de los JSON Web Tokens para ingresar a una web con permisos administrativos. Jugaremos con llaves SSH y romperemos el siempre fiel Docker...

HackTheBox - Ready

Máquina Linux nivel medio. Empezaremos readys a buscar exploits ante un lindo lobo (Gitlab), encontraremos contraseñas volando y tendremos que escapar de la ballena (Docker) :O

HackTheBox - Enterprise

Máquina Linux nivel medio, vamos a movernos entre sentencias SQL para generar pinchazos e.e Pivotearemos entre contenedores y compartiremos experiencias con el host… Finalmente explotaremos un buffer overflow mediante un...

HackTheBox - Feline

Máquina Linux nivel difícil. Beleza irmão! De cabezota nos encontraremos con serialización de objetos, enumeraremos y enumeraremos. Jugamos con los servicios que está corriendo Docker localmente y explotamos SaltStack. Pivotearemos...

HackTheBox - Unbalanced

Máquina Linux nivel difícil. Nos enfrentaremos con encriptación, mucho jugueteo con XML (romperemos una clave y encontraremos un XPATH injection que automatizaremos para extraer credenciales), explotaremos PiHole y sobre todo,...

HackTheBox - Cache

Máquina Linux nivel medio. Veremos el uso del VirtualHosting, bypassearemos cositas e injectaremos otras. Tendremos que movernos mediante la cache en memoria y Docker para volvernos root.

🎈 drupal

HackTheBox - Bastard

Máquina Windows nivel medio, vamos a romper Drupal 7.54 y veremos dos maneras de escalar, generando procesos maliciosos con ayuda del privilegio SeImpersonate y de JuicyPotato o explotando el lindo...

HackTheBox - Armageddon

Máquina Linux nivel fácil. Jugaremos con CVEs, romperemos Drupal7 para ejecutar comandos, las malas configuraciones se revelarán y finalmente nos aprovechamos de nuestros permisos para ejecutar un paquete snap malicioso...

🎈 drupalgeddon2

HackTheBox - Bastard

Máquina Windows nivel medio, vamos a romper Drupal 7.54 y veremos dos maneras de escalar, generando procesos maliciosos con ayuda del privilegio SeImpersonate y de JuicyPotato o explotando el lindo...

🎈 ecppt

TryHackMe - Buffer Overflow Prep

Entorno Windows. Jugaremos con un desbordamiento de buffer basado en la pila, lo aprovecharemos para enviar más datos de los necesarios y molestar al sistema, se cansará tanto de nosotros...

Laboratorio de PIVOTING - HackMyVM Friendly

3 entornos, jugaremos principalmente con pivoting, pero a su vez, con accesos indebidos a servicios curiosos, permisos algo peligrosos como otros usuarios, fuerza bruta pa romper varias cositas, carreritas contra...

🎈 electron

HackTheBox - Atom

Máquina Windows nivel medio. Jugaremos con SMB, recrearemos actualizaciones (feature de electron) en binarios para que sean ejecutados por un equipo de QA y encontraremos la relación amorosa entre Redis...

🎈 enlightenment

HackMyVM - Luz

Máquina Linux nivel fácil. Inyecciones SQL innecesarias, RCE mediante archivos PHP y bits SUID peligrosos.

🎈 fail2ban-actions

HackTheBox - Trick

Máquina Linux nivel fácil. Transferencias bancarias en X zona con DNS, inyecciones SQL, bypass de filtros para leer archivos del sistema yyyy buenos tratos 🤝 baneos a cambio de RCE...

🎈 file-upload

HackTheBox - Love

Máquina Windows nivel fácil, escanearemos archivos locales (localhost) en busca de malware e.e Encontraremos credenciales y generaremos votantes con fotos de perfil peligrosas… Jugaremos con registros e instalaremos paquetes MSI...

HackTheBox - TheNotebook

Máquina Linux nivel medio. Exploraremos el mundo de los JSON Web Tokens para ingresar a una web con permisos administrativos. Jugaremos con llaves SSH y romperemos el siempre fiel Docker...

HackTheBox - Help

Máquina Linux nivel fácil. Investigaremos subidas de archivos .php en el servicio HelpDeskZ, jueguitos sucios con MySQL y una explotación de un kernel con ganas de morir.

HackTheBox - Breadcrumbs

Máquina Windows nivel difícil. Jugaremos mucho con inyecciones y robos :P Encontraremos un LFI, haremos cookie-hijacking, leeremos contraseñas almacenadas, jugando con binarios encontramos una URL que nos llevara de la...

HackTheBox - ScriptKiddie

Máquina Linux nivel fácil. Un servidor web que ejecuta comandos específicos, pero que con uno de ellos podemos agregar un “template”, ¿qué puede salir mal? Inspeccionaremos un script al detalle...

HackTheBox - Silo

Máquina Windows nivel medio, iremos de cabeza contra Oracle TNS, nos perderemos en un CVE :P, jugaremos con la base de datos y veremos que podemos ser los reyes de...

HackTheBox - Blunder

Máquina Linux nivel fácil. Romperemos un CMS, encontraremos un File Upload que explotaremos para ejecutar comandos. Crackearemos cositas y nos apoyaremos de una locura relacionada con “sudo -l” para convertirnos...

HackTheBox - Magic

Máquina Linux nivel medio. Inspeccionaremos un redireccionamiento web algo locochon, moveremos algunos Magic Bytes, iremos jugando con MySQL y haremos un Path Hijacking.

🎈 filebrowser

HackMyVM - Narcos

Máquina Linux nivel medio. Fuzzeo al máximo, fuerza bruta al máximo y claro, lectura de archivos en el sistema al máximo.

🎈 firefox

HackTheBox - Heist

Máquina Windows nivel fácil, jugaremos con crackeo de passwords Cisco, movimientos laterales para encontrar usuarios a los cuales no teníamos acceso yyyyyy dumpearemos procesos de Firefox para ver que está...

🎈 flask-unsign

HackTheBox - Spider

Máquina Linux nivel difícil. Mucho jugueteo web e inyecciones. Server Side Template Injection (SSTI) tanto visible como blind, sensualidad con cookies y secret-key’s, SQL Injection time-based y exploraremos data web...

🎈 fortwarding

HackTheBox - OpenSource

Máquina Linux nivel fácil. Ojos abiertos revisando código Python, inyectamos comandos en ese código, encontramos credenciales volando, pivoteo sabroso con redirección de puertos y movimientos sensuales con git hooks.

🎈 gdb

HackTheBox - Faculty

Máquina Linux nivel medio. SQLi bypass auth, LFI en pequeños comentarios de mpdf, inyección de comandos con meta-git y debug en procesos del sistema para ejecutar cosas traviesas mediante capabilities...

🎈 gdbserver

HackTheBox - Backdoor

Máquina Linux nivel fácil. Locureo con un LFI, el objeto /proc y unos file descriptors bien lindos para enterarnos de cositas. Ah, y también armaremos el Kit del Pwn :O...

🎈 git

HackTheBox - Laboratory

Máquina Linux nivel fácil. Tendremos al lobo naranja (GitLab) :P como punto de entrada, jugaremos con Backups y archivos .bundle, obtendremos las llaves de la casa y nos haremos dueños...

🎈 gitea

HackTheBox - Sink

Máquina Linux nivel desquiciado. Nos enfrentaremos a un HTTP Request Smuggling (loco loco), saltaremos entre usuarios aún más locos, veremos commits relacionados a pasos a producción y pruebas extrañas con...

🎈 gitlab

HackTheBox - Ready

Máquina Linux nivel medio. Empezaremos readys a buscar exploits ante un lindo lobo (Gitlab), encontraremos contraseñas volando y tendremos que escapar de la ballena (Docker) :O

HackTheBox - Laboratory

Máquina Linux nivel fácil. Tendremos al lobo naranja (GitLab) :P como punto de entrada, jugaremos con Backups y archivos .bundle, obtendremos las llaves de la casa y nos haremos dueños...

🎈 go

HackTheBox - Ophiuchi

Máquina Linux nivel medio. La deserialización no puede faltar, pero esta vez parseando sintaxis YAML. Enumeración básica y finalmente tendremos que jugar con instrucciones de WebAssembly para modificar una constante...

🎈 google-cloudstorage-commands

HackTheBox - Unobtainium

Máquina Linux nivel difícil. Explotaremos una app de Linux. Jugando con librerías de JavaScript, la infectaremos (Prototype Pollution en lodash) y haremos command-injection (en google-cloudstorage-commands). Y moveremos internamente muchas cosas...

🎈 groovy

HackTheBox - Jeeves

Máquina Windows nivel medio. La elegancia de Jenkins que nos permite jugar con scripts de Groovy para obtener RCE :O Archivos .kdbx con contraseñas dentro (¿qué puede pasar?) y descubriremos...

🎈 gym-management-system

HackTheBox - Buff

Máquina Windows nivel fácil. Buff buff uff, explotaremos un gimnasio :o (casi) yyy aprovecharemos un Buffer Overflow para ser amos del sistema… ¿Sencillo, no? pues…

🎈 hashcat

TryHackMe - Crack The Hash Level 2

Seguiremos en el mundo del descubrimiento de contraseñas, jugaremos con diccionarios creados por nosotros, con reglas, con máscaras, uff, nos moveremos mucho

TryHackMe - Crack the hash

Nos adentraremos en el mundo del descubrimiento de contraseñas, jugaremos con diccionarios, con máscaras, con reglas, ja, con todo!

🎈 hping3

HackMyVM - Milk

Máquina Linux nivel medio. Subida arbitraria de objetos .php yyy archivos que viajan en paquetes ICMP (esto mediante hping3 y la capability CAP_DAC_OVERRIDE).

🎈 icacls

TryHackMe - Anthem

Máquina Windows nivel fácil. Jugaremos mucho a encontrar cosas en la web, caeremos en un Rabbit Hole con Umbraco (lindo, aprendimos bastante de esto) y accederemos remotamente a escritorios ajenos...

🎈 initctl

HackTheBox - Spectra

Máquina Linux (Chromium OS) nivel fácil. Nos veremos las caras con WordPress y su mala configuración por parte del administrador del sitio. Modificaremos themones para ejecutar comandos en el sistema....

🎈 ipython

HackTheBox - Shared

Máquina Linux nivel medio. SQLi content-based, grupos juguetones que nos permitirán interactuar con IPython (command injection) y Redis (EVAL) (remote command execution).

🎈 java

HackTheBox - Arkham

Máquina Windows nivel medio, deserializaremos JavaServer Faces, jugaremos con muchos payloads con la necesidad de firmarlos con una llave :O Haremos Port Fortwarding, leeremos correos y montaremos el directorio raiz...

🎈 jenkins

HackTheBox - Jeeves

Máquina Windows nivel medio. La elegancia de Jenkins que nos permite jugar con scripts de Groovy para obtener RCE :O Archivos .kdbx con contraseñas dentro (¿qué puede pasar?) y descubriremos...

🎈 john

TryHackMe - Crack The Hash Level 2

Seguiremos en el mundo del descubrimiento de contraseñas, jugaremos con diccionarios creados por nosotros, con reglas, con máscaras, uff, nos moveremos mucho

TryHackMe - Crack the hash

Nos adentraremos en el mundo del descubrimiento de contraseñas, jugaremos con diccionarios, con máscaras, con reglas, ja, con todo!

🎈 joomla

HackTheBox - Devvortex

Entorno Linux, fuzzeos, rompiendo Joomla mediante vulns y plugins, credenciales volando y privilegios para analizar problemas con ayuda de apport-cli.

HackTheBox - Curling

Máquina Linux nivel fácil. Ojos bien abiertos en la página web, jueguitos con templates de Joomla, loops de backups (?), movimientos sensuales con un archivo de configuración de cURL y...

HackTheBox - Enterprise

Máquina Linux nivel medio, vamos a movernos entre sentencias SQL para generar pinchazos e.e Pivotearemos entre contenedores y compartiremos experiencias con el host… Finalmente explotaremos un buffer overflow mediante un...

🎈 juicyPotato

HackTheBox - Bastard

Máquina Windows nivel medio, vamos a romper Drupal 7.54 y veremos dos maneras de escalar, generando procesos maliciosos con ayuda del privilegio SeImpersonate y de JuicyPotato o explotando el lindo...

🎈 kanban

HackTheBox - Atom

Máquina Windows nivel medio. Jugaremos con SMB, recrearemos actualizaciones (feature de electron) en binarios para que sean ejecutados por un equipo de QA y encontraremos la relación amorosa entre Redis...

🎈 kerberos

HackTheBox - Support

Máquina Windows nivel fácil. AD, decompilado de binarios para encontrar credenciales, saltos con LDAP y una delegación bien linda basada en recursos (Kerberos).

HackTheBox - Intelligence

Máquina Windows nivel medio. Fuzzeito lindo para encontrar archivos PDF y juegos sucios con su metadata. Gafas bien puestas contra scripts de PowerShell, temitas de DNS e interacción con Service...

HackTheBox - Tentacle

Máquina Linux nivel difícil (pareció insana eh!). Nos toparemos con varios dominios escondidos, jugaremos con proxychains para encadenarnos, enumeraremos IPs fantasmas y explotaremos una de ellas que esta corriendo OpenSMTPD....

HackTheBox - Active

Máquina Windows nivel medio, de cabeza contra un Domain Controller, jugaremos mucho con SMB y sus carpetas compartidas, movimientos SYStematicos y VOLtaicos e.e, bastante crackeo de contraseñas y obtención de...

🎈 kernel-exploit

HackTheBox - Optimum

Máquina Windows nivel fácil. Evitamos los filtros que nos ponga HTTP File Server, transformamos (transformers (optimus prime (optimum (nombre bien pensado eh!)))) nuestra arquitectura y explotamos el siempre triste kernel....

HackTheBox - Bastard

Máquina Windows nivel medio, vamos a romper Drupal 7.54 y veremos dos maneras de escalar, generando procesos maliciosos con ayuda del privilegio SeImpersonate y de JuicyPotato o explotando el lindo...

HackTheBox - Help

Máquina Linux nivel fácil. Investigaremos subidas de archivos .php en el servicio HelpDeskZ, jueguitos sucios con MySQL y una explotación de un kernel con ganas de morir.

🎈 knife

HackTheBox - Knife

Máquina Linux nivel fácil, explotaremos PHP y jugaremos con la herramienta knife para ejecutar código Ruby como el usuario root (mediante sudo).

🎈 kpcli

HackTheBox - Jeeves

Máquina Windows nivel medio. La elegancia de Jenkins que nos permite jugar con scripts de Groovy para obtener RCE :O Archivos .kdbx con contraseñas dentro (¿qué puede pasar?) y descubriremos...

🎈 kubernetes

HackTheBox - Unobtainium

Máquina Linux nivel difícil. Explotaremos una app de Linux. Jugando con librerías de JavaScript, la infectaremos (Prototype Pollution en lodash) y haremos command-injection (en google-cloudstorage-commands). Y moveremos internamente muchas cosas...

🎈 lasstr

HackTheBox - Late

Máquina Linux nivel fácil. Engaños para ocultar un SSTI en el texto de unas imágenes y atributos burlones en algunos archivos.

🎈 lets-chat

HackTheBox - Catch

Máquina Linux nivel medio. Token 🎵, vamos APIe y Let’s Chat! Jueguitos con variables de entorno en Cachet, credenciales volando y nombres de aplicaciones Android algo peligrosos.

🎈 lfi

Laboratorio de PIVOTING - HackMyVM Friendly

3 entornos, jugaremos principalmente con pivoting, pero a su vez, con accesos indebidos a servicios curiosos, permisos algo peligrosos como otros usuarios, fuerza bruta pa romper varias cositas, carreritas contra...

🎈 litespeed

HackMyVM - Speed

Máquina Linux nivel medio. Inyección de comandos en sar2html y OpenLiteSpeed, además romperemos el archivo /etc/passwd para crear usuarios administradores.

🎈 load_file()

HackTheBox - Writer

Máquina Linux nivel medio. Bypassing de un panel-login, extracción de datos y lectura de archivos del sistema con la funcion LOAD_FILE(), todo lo anterior con un SQLi 😮 Análisis estático...

🎈 lodash

HackTheBox - Unobtainium

Máquina Linux nivel difícil. Explotaremos una app de Linux. Jugando con librerías de JavaScript, la infectaremos (Prototype Pollution en lodash) y haremos command-injection (en google-cloudstorage-commands). Y moveremos internamente muchas cosas...

🎈 logs

HackTheBox - Academy

Máquina Linux nivel fácil. Pensaremos en bases de datos (eh?), deserializaremos mentes :o, jugaremos con archivos ‘log’ y romperemos un binario que nos dará en este caso dependencia de ser...

HackTheBox - Doctor

Máquina Linux nivel fácil. Sencilla, pero algo inquietante al inicio, jugaremos con inyección en templates, los logs nos hablarán y romperemos Splunk montando servidores fake por todos lados para ejecutar...

🎈 lookupsid.py

HackTheBox - Heist

Máquina Windows nivel fácil, jugaremos con crackeo de passwords Cisco, movimientos laterales para encontrar usuarios a los cuales no teníamos acceso yyyyyy dumpearemos procesos de Firefox para ver que está...

🎈 mRemoteNG

HackTheBox - Bastion

Máquina Windows nivel fácil. Nos moveremos con Samba, jugaremos con el backup de una máquina virtual Windows para extraer los archivos SAM y SYSTEM… Crackearemos cosillas y nos daremos cuenta...

🎈 magic-bytes

HackTheBox - Passage

Máquina Linux nivel medio. Explotaremos el servicio CuteNews para ejecutar comandos en el sistema, después jugaremos con hashes y crackeo. Jugaremos con llaves privadas y romperemos un proceso que se...

HackTheBox - Magic

Máquina Linux nivel medio. Inspeccionaremos un redireccionamiento web algo locochon, moveremos algunos Magic Bytes, iremos jugando con MySQL y haremos un Path Hijacking.

🎈 mariadb-vuln

HackTheBox - Shibboleth

Máquina Linux nivel medio. Jugaremos con protocolos para controlar la existencia (IPMI), reutilización de credenciales, inyección de comandos (en Zabbix) y más inyección de comandos (en mysql).

🎈 mattermost

HackTheBox - Delivery

Máquina Linux nivel fácil, jugaremos con osTicket creando tickets que nos servirán para ¿obtener emails externos en el propio status del ticket? ¿khE? (jajaj, sip), nos moveremos entre archivos y...

🎈 memcached

HackTheBox - Cache

Máquina Linux nivel medio. Veremos el uso del VirtualHosting, bypassearemos cositas e injectaremos otras. Tendremos que movernos mediante la cache en memoria y Docker para volvernos root.

🎈 meta-git

HackTheBox - Faculty

Máquina Linux nivel medio. SQLi bypass auth, LFI en pequeños comentarios de mpdf, inyección de comandos con meta-git y debug en procesos del sistema para ejecutar cosas traviesas mediante capabilities...

🎈 moodle

HackTheBox - Schooled

Máquina FreeBSD nivel medio, linda locura, nos moveremos mucho por Moodle robando cookies, cambiando roles a los cuales no deberíamos cambiar e instalando plugins maliciosos. Crackearemos hashes y finalmente aprovecharemos...

🎈 mount

HackTheBox - Bastion

Máquina Windows nivel fácil. Nos moveremos con Samba, jugaremos con el backup de una máquina virtual Windows para extraer los archivos SAM y SYSTEM… Crackearemos cosillas y nos daremos cuenta...

🎈 mpdf

HackTheBox - Faculty

Máquina Linux nivel medio. SQLi bypass auth, LFI en pequeños comentarios de mpdf, inyección de comandos con meta-git y debug en procesos del sistema para ejecutar cosas traviesas mediante capabilities...

🎈 nano

HackTheBox - OpenAdmin

Maquina Linux nivel fácil. Jugaremos con inspección de código, peticiones web, movimientos internos con Apache, con SSH keys y romperemos /bin/nano.

🎈 node.js

HackTheBox - Unobtainium

Máquina Linux nivel difícil. Explotaremos una app de Linux. Jugando con librerías de JavaScript, la infectaremos (Prototype Pollution en lodash) y haremos command-injection (en google-cloudstorage-commands). Y moveremos internamente muchas cosas...

🎈 online-food-ordering-v2

HackMyVM - Luz

Máquina Linux nivel fácil. Inyecciones SQL innecesarias, RCE mediante archivos PHP y bits SUID peligrosos.

🎈 openlitespeed

HackMyVM - Speed

Máquina Linux nivel medio. Inyección de comandos en sar2html y OpenLiteSpeed, además romperemos el archivo /etc/passwd para crear usuarios administradores.

🎈 openvpn

HackTheBox - Static

Máquina Linux nivel difícil. Enumeraremos muchos servidores web, reconstruiremos comprimidos dañados, romperemos xdebug, romperemos PHP-FMP y romperemos terminales :P Juegos con llaves SSH yyyyyyyyy un Path Hijacking muy locochón.

🎈 oracle

HackTheBox - Silo

Máquina Windows nivel medio, iremos de cabeza contra Oracle TNS, nos perderemos en un CVE :P, jugaremos con la base de datos y veremos que podemos ser los reyes de...

🎈 osticket

HackTheBox - Delivery

Máquina Linux nivel fácil, jugaremos con osTicket creando tickets que nos servirán para ¿obtener emails externos en el propio status del ticket? ¿khE? (jajaj, sip), nos moveremos entre archivos y...

🎈 overlayFS

HackTheBox - MonitorsTwo

Máquina Linux nivel fácil. Cacti con inyección de comandos, binarios SUID y LFI internamente sobre contenedores de moby.

🎈 passbolt-secrets

HackTheBox - Bolt

Máquina Linux nivel medio. Vamos a jugar con imágenes de Docker (para leer y leer (?)), interacciones extrañas entre correos (SSTI), credenciales quemadas ): y secretos 🤫 del servicio Passbolt....

🎈 passpie

HackTheBox - MetaTwo

Máquina Linux nivel fácil. WordPress y plugins juguetones con SQLi, XXE y LFI. Credenciales por doquier yyy crackeito de llaves privadas de passpie.

🎈 passthehash

HackTheBox - Silo

Máquina Windows nivel medio, iremos de cabeza contra Oracle TNS, nos perderemos en un CVE :P, jugaremos con la base de datos y veremos que podemos ser los reyes de...

🎈 path-hijacking

HackTheBox - Previse

Máquina Linux nivel fácil. Vamos a bypassear redirecciones, inyectar comandos en peticiones, crakeaziohn de hashes salados yyyyy a jugamientos con un Path Hijacking para ejecutar comandos como diosito.

HackTheBox - Static

Máquina Linux nivel difícil. Enumeraremos muchos servidores web, reconstruiremos comprimidos dañados, romperemos xdebug, romperemos PHP-FMP y romperemos terminales :P Juegos con llaves SSH yyyyyyyyy un Path Hijacking muy locochón.

HackTheBox - Writeup

Máquina Linux nivel fácil, nos miraremos a los ojos con un CMS vulnerable a SQLi time-based. Haremos reutilización de credenciales y encontraremos un PATH Hijacking guapetón.

HackTheBox - Laboratory

Máquina Linux nivel fácil. Tendremos al lobo naranja (GitLab) :P como punto de entrada, jugaremos con Backups y archivos .bundle, obtendremos las llaves de la casa y nos haremos dueños...

HackTheBox - Magic

Máquina Linux nivel medio. Inspeccionaremos un redireccionamiento web algo locochon, moveremos algunos Magic Bytes, iremos jugando con MySQL y haremos un Path Hijacking.

🎈 path-traversal

HackTheBox - Stocker

Máquina Linux nivel fácil. NoSQL Injection, generación de PDFs con campos vulnerables a XSS, lectura de archivos internos mediante ese XSS, credenciales volando y permisos genéricos que permiten ejecutar cualquieeeer...

HackTheBox - Ambassador

Máquina Linux nivel medio. Path Traversal con Grafana y sus plugins, credenciales volando y unas verificaciones (checks) con el servicio Consul algo peligrosas.

HackTheBox - Paper

Máquina Linux (CentOS) nivel fácil. Un hostname que se esconde, rayos X contra posts también escondidos, un bot nos habla de contraseñas y aprovechamos para romper el tiempo afectando a...

HackTheBox - Devzat

Máquina Linux nivel medio. Chatearemos (realmente robaremos chats) con SSH, inyectaremos comandos locochones, romperemos InfluxDB y leeremos archivos del sistema mediante un LFI.

HackTheBox - Writer

Máquina Linux nivel medio. Bypassing de un panel-login, extracción de datos y lectura de archivos del sistema con la funcion LOAD_FILE(), todo lo anterior con un SQLi 😮 Análisis estático...

🎈 perl

HackTheBox - Shocker

Máquina Linux nivel fácil, nos dará un shock (?) al encontrarnos la vulnerabilidad Shellshock (muy linda) y lograr ejecutar comandos en el sistema. Después jugando con los permisos de usuario...

🎈 phishing

HackTheBox - SneakyMailer

Máquina Linux nivel medio pero que de medio muy poco, o pues casi me enloquezco :P SneakyMailer… Vaya locura, jugaremos simulando phishing, explotaremos cositas de FTP, romperemos PyPi para crearnos...

🎈 php-wrapper

HackMyVM - Catland

Máquina Linux nivel medio. Tendremos fuerza bruta en logins con wordlists propios, LFItoRCE mediante ZIP, temitas del GRUB con más fuerza bruta y análisis de código para encontrar problemitas en...

🎈 pivoting

Laboratorio de PIVOTING - HackMyVM Friendly

3 entornos, jugaremos principalmente con pivoting, pero a su vez, con accesos indebidos a servicios curiosos, permisos algo peligrosos como otros usuarios, fuerza bruta pa romper varias cositas, carreritas contra...

HackTheBox - OpenSource

Máquina Linux nivel fácil. Ojos abiertos revisando código Python, inyectamos comandos en ese código, encontramos credenciales volando, pivoteo sabroso con redirección de puertos y movimientos sensuales con git hooks.

HackTheBox - Unobtainium

Máquina Linux nivel difícil. Explotaremos una app de Linux. Jugando con librerías de JavaScript, la infectaremos (Prototype Pollution en lodash) y haremos command-injection (en google-cloudstorage-commands). Y moveremos internamente muchas cosas...

HackTheBox - Enterprise

Máquina Linux nivel medio, vamos a movernos entre sentencias SQL para generar pinchazos e.e Pivotearemos entre contenedores y compartiremos experiencias con el host… Finalmente explotaremos un buffer overflow mediante un...

🎈 pkg

HackTheBox - Schooled

Máquina FreeBSD nivel medio, linda locura, nos moveremos mucho por Moodle robando cookies, cambiando roles a los cuales no deberíamos cambiar e instalando plugins maliciosos. Crackearemos hashes y finalmente aprovecharemos...

🎈 polkit

HackTheBox - Paper

Máquina Linux (CentOS) nivel fácil. Un hostname que se esconde, rayos X contra posts también escondidos, un bot nos habla de contraseñas y aprovechamos para romper el tiempo afectando a...

🎈 postfix-disclaimer

HackTheBox - Writer

Máquina Linux nivel medio. Bypassing de un panel-login, extracción de datos y lectura de archivos del sistema con la funcion LOAD_FILE(), todo lo anterior con un SQLi 😮 Análisis estático...

🎈 powershell

HackTheBox - Omni

Máquina IoT nivel fácil. Romperemos protocolos para ejecutar comandos en el sistema, enumerando mucho tendremos credenciales, usaremos portales o.O para ejecutar comandos de nuevo. Jugaremos con la clase PSCredential de...

🎈 procdump

HackTheBox - Heist

Máquina Windows nivel fácil, jugaremos con crackeo de passwords Cisco, movimientos laterales para encontrar usuarios a los cuales no teníamos acceso yyyyyy dumpearemos procesos de Firefox para ver que está...

🎈 proxychains

HackTheBox - Tentacle

Máquina Linux nivel difícil (pareció insana eh!). Nos toparemos con varios dominios escondidos, jugaremos con proxychains para encadenarnos, enumeraremos IPs fantasmas y explotaremos una de ellas que esta corriendo OpenSMTPD....

🎈 quagga

HackTheBox - Carrier

Máquina Linux nivel medio. Enumeraremos bastante y leeremos más. Jugaremos con SNMP, inyección de comandos de un proceso en la web yyyyyy una locura llamada BGP Hijacking. Interceptaremos el tráfico...

🎈 race-condition

Laboratorio de PIVOTING - HackMyVM Friendly

3 entornos, jugaremos principalmente con pivoting, pero a su vez, con accesos indebidos a servicios curiosos, permisos algo peligrosos como otros usuarios, fuerza bruta pa romper varias cositas, carreritas contra...

HackTheBox - Proper

Máquina Windows nivel difícil. Agregamos sal a nuestra inyección SQL, jugaremos a ganar la race condition y finalmente entre reversing, movimiento lateral, creación de scripts en PowerShell y pipes conseguiremos...

HackTheBox - Tenet

Máquina Linux nivel medio. Exploraremos deserialización insegura de objetos en PHP, reutilización de contraseñas y encontraremos pequeños fallos en scripts de bash :P

🎈 rce

HackMyVM - Speed

Máquina Linux nivel medio. Inyección de comandos en sar2html y OpenLiteSpeed, además romperemos el archivo /etc/passwd para crear usuarios administradores.

🎈 redis

HackTheBox - Shared

Máquina Linux nivel medio. SQLi content-based, grupos juguetones que nos permitirán interactuar con IPython (command injection) y Redis (EVAL) (remote command execution).

HackTheBox - Atom

Máquina Windows nivel medio. Jugaremos con SMB, recrearemos actualizaciones (feature de electron) en binarios para que sean ejecutados por un equipo de QA y encontraremos la relación amorosa entre Redis...

🎈 registers

HackTheBox - Love

Máquina Windows nivel fácil, escanearemos archivos locales (localhost) en busca de malware e.e Encontraremos credenciales y generaremos votantes con fotos de perfil peligrosas… Jugaremos con registros e instalaremos paquetes MSI...

🎈 registry-files

HackTheBox - Bastion

Máquina Windows nivel fácil. Nos moveremos con Samba, jugaremos con el backup de una máquina virtual Windows para extraer los archivos SAM y SYSTEM… Crackearemos cosillas y nos daremos cuenta...

🎈 repositories

HackTheBox - Worker

Máquina Windows nivel medio. Wowoworker, vamos a jugar mucho con repositorios y ramas. Romperemos cositas de Azure DevOps para ejecutar comandos en el sistema como Administradores.

🎈 responder

HackTheBox - Giddy

Máquina Windows nivel medio. Jugaremos con inyecciones SQL del servicio MSSQL. Pero no vamos dumpear bases de datos, nop, vamos a ejecutar comandos :o que serán interceptados (smbclient y responder)...

🎈 restricted-bash

HackTheBox - Waldo

Máquina linux nivel medio. Los lindos LFI, jugueteo con SSH, llaves privadas traviesas, bypass de shells restringidas yyyyyy cositas con las CAPAcidades BILITIESas.

🎈 ret2libc

HackTheBox - Enterprise

Máquina Linux nivel medio, vamos a movernos entre sentencias SQL para generar pinchazos e.e Pivotearemos entre contenedores y compartiremos experiencias con el host… Finalmente explotaremos un buffer overflow mediante un...

🎈 reversing

HackTheBox - Proper

Máquina Windows nivel difícil. Agregamos sal a nuestra inyección SQL, jugaremos a ganar la race condition y finalmente entre reversing, movimiento lateral, creación de scripts en PowerShell y pipes conseguiremos...

HackTheBox - CrimeStoppers

Máquina Linux nivel difícil. Explotación web con filtros (wrappers) consiguiendo LFI y RCE, contraseñas de Thunderbird, correos llenos de odio, persistencias locas (un rootkit) y jugueteo entre reversing y criptografía....

HackTheBox - Ophiuchi

Máquina Linux nivel medio. La deserialización no puede faltar, pero esta vez parseando sintaxis YAML. Enumeración básica y finalmente tendremos que jugar con instrucciones de WebAssembly para modificar una constante...

🎈 rocket.chat

HackTheBox - Paper

Máquina Linux (CentOS) nivel fácil. Un hostname que se esconde, rayos X contra posts también escondidos, un bot nos habla de contraseñas y aprovechamos para romper el tiempo afectando a...

🎈 rootkit

HackTheBox - CrimeStoppers

Máquina Linux nivel difícil. Explotación web con filtros (wrappers) consiguiendo LFI y RCE, contraseñas de Thunderbird, correos llenos de odio, persistencias locas (un rootkit) y jugueteo entre reversing y criptografía....

🎈 router

HackTheBox - Carrier

Máquina Linux nivel medio. Enumeraremos bastante y leeremos más. Jugaremos con SNMP, inyección de comandos de un proceso en la web yyyyyy una locura llamada BGP Hijacking. Interceptaremos el tráfico...

🎈 rsync

HackTheBox - Unbalanced

Máquina Linux nivel difícil. Nos enfrentaremos con encriptación, mucho jugueteo con XML (romperemos una clave y encontraremos un XPATH injection que automatizaremos para extraer credenciales), explotaremos PiHole y sobre todo,...

🎈 rtv

HackMyVM - Catland

Máquina Linux nivel medio. Tendremos fuerza bruta en logins con wordlists propios, LFItoRCE mediante ZIP, temitas del GRUB con más fuerza bruta y análisis de código para encontrar problemitas en...

🎈 ruby

HackTheBox - Precious

Máquina Linux nivel fácil. PDFKit nos gestionará un RCE, tendremos credenciales voladoras y una siempre bienvenida deserialización insegura con YAML.load().

🎈 rule-based-attack

HackTheBox - Delivery

Máquina Linux nivel fácil, jugaremos con osTicket creando tickets que nos servirán para ¿obtener emails externos en el propio status del ticket? ¿khE? (jajaj, sip), nos moveremos entre archivos y...

🎈 runas.exe

HackTheBox - Access

Máquina Windows nivel fácil, vamos a movernos con FTP, jugaremos con info de tablas de una base de datos Microsoft Access, comprimidos con contraseñas y correos (u.u) yyyy toquetearemos una...

🎈 runc

HackTheBox - TheNotebook

Máquina Linux nivel medio. Exploraremos el mundo de los JSON Web Tokens para ingresar a una web con permisos administrativos. Jugaremos con llaves SSH y romperemos el siempre fiel Docker...

🎈 sandbox-bypass

HackTheBox - Codify

Entorno Linux nivel fácil. Nos saldremos del aislamiento que nos interpuso una Sandbox y de bravos ejecutaremos comandos en el sistema :P Crackearemos credenciales y robaremos otras jugando con expansores...

🎈 sar2html

HackMyVM - Speed

Máquina Linux nivel medio. Inyección de comandos en sar2html y OpenLiteSpeed, además romperemos el archivo /etc/passwd para crear usuarios administradores.

🎈 scripting

HackMyVM - Stars

Máquina Linux nivel fácil. Fuzzing, gafas para encontrar llaves SSH y archivos con grupos traviesos usando el comando chgrp.

🎈 service-account

HackTheBox - Intelligence

Máquina Windows nivel medio. Fuzzeito lindo para encontrar archivos PDF y juegos sucios con su metadata. Gafas bien puestas contra scripts de PowerShell, temitas de DNS e interacción con Service...

🎈 setenv

Laboratorio de PIVOTING - HackMyVM Friendly

3 entornos, jugaremos principalmente con pivoting, pero a su vez, con accesos indebidos a servicios curiosos, permisos algo peligrosos como otros usuarios, fuerza bruta pa romper varias cositas, carreritas contra...

🎈 shellshock

HackTheBox - Shocker

Máquina Linux nivel fácil, nos dará un shock (?) al encontrarnos la vulnerabilidad Shellshock (muy linda) y lograr ejecutar comandos en el sistema. Después jugando con los permisos de usuario...

🎈 snap

HackTheBox - Armageddon

Máquina Linux nivel fácil. Jugaremos con CVEs, romperemos Drupal7 para ejecutar comandos, las malas configuraciones se revelarán y finalmente nos aprovechamos de nuestros permisos para ejecutar un paquete snap malicioso...

🎈 splunk

HackTheBox - Doctor

Máquina Linux nivel fácil. Sencilla, pero algo inquietante al inicio, jugaremos con inyección en templates, los logs nos hablarán y romperemos Splunk montando servidores fake por todos lados para ejecutar...

🎈 spring-boot

HackTheBox - CozyHosting

Entorno Linux nivel facil. Temitas con Spring Boot y sus Actuators, las usaremos para robar sesiones y aparte inyectaremos comandos por montones (qué tal la rima ah?).

🎈 squid-proxy

HackTheBox - Tentacle

Máquina Linux nivel difícil (pareció insana eh!). Nos toparemos con varios dominios escondidos, jugaremos con proxychains para encadenarnos, enumeraremos IPs fantasmas y explotaremos una de ellas que esta corriendo OpenSMTPD....

HackTheBox - Unbalanced

Máquina Linux nivel difícil. Nos enfrentaremos con encriptación, mucho jugueteo con XML (romperemos una clave y encontraremos un XPATH injection que automatizaremos para extraer credenciales), explotaremos PiHole y sobre todo,...

🎈 squirrelmail

HackMyVM - Narcos

Máquina Linux nivel medio. Fuzzeo al máximo, fuerza bruta al máximo y claro, lectura de archivos en el sistema al máximo.

🎈 ssh-keys

HackMyVM - Narcos

Máquina Linux nivel medio. Fuzzeo al máximo, fuerza bruta al máximo y claro, lectura de archivos en el sistema al máximo.

HackMyVM - Milk

Máquina Linux nivel medio. Subida arbitraria de objetos .php yyy archivos que viajan en paquetes ICMP (esto mediante hping3 y la capability CAP_DAC_OVERRIDE).

HackMyVM - Luz

Máquina Linux nivel fácil. Inyecciones SQL innecesarias, RCE mediante archivos PHP y bits SUID peligrosos.

HackMyVM - Stars

Máquina Linux nivel fácil. Fuzzing, gafas para encontrar llaves SSH y archivos con grupos traviesos usando el comando chgrp.

HackTheBox - OpenSource

Máquina Linux nivel fácil. Ojos abiertos revisando código Python, inyectamos comandos en ese código, encontramos credenciales volando, pivoteo sabroso con redirección de puertos y movimientos sensuales con git hooks.

HackTheBox - Secret

Máquina Linux nivel fácil. Encontraremos rutas secreeeeetas en una web que permiten inyectar a los comandos :( y dumpeos de memoria de los lindos para jugar con info sensible.

HackTheBox - Devzat

Máquina Linux nivel medio. Chatearemos (realmente robaremos chats) con SSH, inyectaremos comandos locochones, romperemos InfluxDB y leeremos archivos del sistema mediante un LFI.

HackTheBox - Horizontall

Máquina Linux nivel fácil. Inspección de código fuente, problemitas con Strapi, con Laravel y con reverse shells.

HackTheBox - Forge

Máquina Linux nivel medio. Bypass de listas negras en la web causando problemas internos (o.o), juego con fuentes de código, credenciales volando y llaves llegando… Movimientos con permisos en el...

HackTheBox - Static

Máquina Linux nivel difícil. Enumeraremos muchos servidores web, reconstruiremos comprimidos dañados, romperemos xdebug, romperemos PHP-FMP y romperemos terminales :P Juegos con llaves SSH yyyyyyyyy un Path Hijacking muy locochón.

HackTheBox - dynstr

Máquina Linux nivel medio. Mucho dinamismo con DNS (APIs, RCE, zonas y actualizaciones), llaves SSH volando sin rumbo, SUID y scripts dinámicamente traviesos para copiar archivos como nosotros queramos.

HackTheBox - Waldo

Máquina linux nivel medio. Los lindos LFI, jugueteo con SSH, llaves privadas traviesas, bypass de shells restringidas yyyyyy cositas con las CAPAcidades BILITIESas.

HackTheBox - TheNotebook

Máquina Linux nivel medio. Exploraremos el mundo de los JSON Web Tokens para ingresar a una web con permisos administrativos. Jugaremos con llaves SSH y romperemos el siempre fiel Docker...

HackTheBox - Tenet

Máquina Linux nivel medio. Exploraremos deserialización insegura de objetos en PHP, reutilización de contraseñas y encontraremos pequeños fallos en scripts de bash :P

HackTheBox - Ready

Máquina Linux nivel medio. Empezaremos readys a buscar exploits ante un lindo lobo (Gitlab), encontraremos contraseñas volando y tendremos que escapar de la ballena (Docker) :O

HackTheBox - Bucket

Máquina Linux nivel medio, jugaremos mucho con AWS, leeremos código fuente y descubriremos que podemos leer archivos como root. Esto mediante el juego entre la herramienta PD4ML y AWS DynamoDB....

HackTheBox - Passage

Máquina Linux nivel medio. Explotaremos el servicio CuteNews para ejecutar comandos en el sistema, después jugaremos con hashes y crackeo. Jugaremos con llaves privadas y romperemos un proceso que se...

HackTheBox - OpenAdmin

Maquina Linux nivel fácil. Jugaremos con inspección de código, peticiones web, movimientos internos con Apache, con SSH keys y romperemos /bin/nano.

🎈 sudo

HackTheBox - Headless

Entorno Linux nivel fácil. Robaremos cookies administrativas mediante un XSS, inyectaremos comandos desde la misma web y aprovecharemos descuidos al llamar archivos del sistema para ejecutar comandos de forma privilegiada....

HackTheBox - Devvortex

Entorno Linux, fuzzeos, rompiendo Joomla mediante vulns y plugins, credenciales volando y privilegios para analizar problemas con ayuda de apport-cli.

Laboratorio de PIVOTING - HackMyVM Friendly

3 entornos, jugaremos principalmente con pivoting, pero a su vez, con accesos indebidos a servicios curiosos, permisos algo peligrosos como otros usuarios, fuerza bruta pa romper varias cositas, carreritas contra...

HackTheBox - Stocker

Máquina Linux nivel fácil. NoSQL Injection, generación de PDFs con campos vulnerables a XSS, lectura de archivos internos mediante ese XSS, credenciales volando y permisos genéricos que permiten ejecutar cualquieeeer...

HackMyVM - Devguru

Máquina Linux nivel medio (diría que difícil le queda mejor). Directorios .git y credenciales volando, bastantes juegos con Adminer, SSTI en twig, un Gitea viejito vulnerable mediante hooks a RCE,...

HackMyVM - Catland

Máquina Linux nivel medio. Tendremos fuerza bruta en logins con wordlists propios, LFItoRCE mediante ZIP, temitas del GRUB con más fuerza bruta y análisis de código para encontrar problemitas en...

HackTheBox - Forge

Máquina Linux nivel medio. Bypass de listas negras en la web causando problemas internos (o.o), juego con fuentes de código, credenciales volando y llaves llegando… Movimientos con permisos en el...

HackTheBox - Previse

Máquina Linux nivel fácil. Vamos a bypassear redirecciones, inyectar comandos en peticiones, crakeaziohn de hashes salados yyyyy a jugamientos con un Path Hijacking para ejecutar comandos como diosito.

HackTheBox - Schooled

Máquina FreeBSD nivel medio, linda locura, nos moveremos mucho por Moodle robando cookies, cambiando roles a los cuales no deberíamos cambiar e instalando plugins maliciosos. Crackearemos hashes y finalmente aprovecharemos...

HackTheBox - Knife

Máquina Linux nivel fácil, explotaremos PHP y jugaremos con la herramienta knife para ejecutar código Ruby como el usuario root (mediante sudo).

HackTheBox - TheNotebook

Máquina Linux nivel medio. Exploraremos el mundo de los JSON Web Tokens para ingresar a una web con permisos administrativos. Jugaremos con llaves SSH y romperemos el siempre fiel Docker...

HackTheBox - Spectra

Máquina Linux (Chromium OS) nivel fácil. Nos veremos las caras con WordPress y su mala configuración por parte del administrador del sitio. Modificaremos themones para ejecutar comandos en el sistema....

HackTheBox - ScriptKiddie

Máquina Linux nivel fácil. Un servidor web que ejecuta comandos específicos, pero que con uno de ellos podemos agregar un “template”, ¿qué puede salir mal? Inspeccionaremos un script al detalle...

HackTheBox - Shocker

Máquina Linux nivel fácil, nos dará un shock (?) al encontrarnos la vulnerabilidad Shellshock (muy linda) y lograr ejecutar comandos en el sistema. Después jugando con los permisos de usuario...

HackTheBox - Academy

Máquina Linux nivel fácil. Pensaremos en bases de datos (eh?), deserializaremos mentes :o, jugaremos con archivos ‘log’ y romperemos un binario que nos dará en este caso dependencia de ser...

HackTheBox - SneakyMailer

Máquina Linux nivel medio pero que de medio muy poco, o pues casi me enloquezco :P SneakyMailer… Vaya locura, jugaremos simulando phishing, explotaremos cositas de FTP, romperemos PyPi para crearnos...

HackTheBox - Blunder

Máquina Linux nivel fácil. Romperemos un CMS, encontraremos un File Upload que explotaremos para ejecutar comandos. Crackearemos cositas y nos apoyaremos de una locura relacionada con “sudo -l” para convertirnos...

HackTheBox - OpenAdmin

Maquina Linux nivel fácil. Jugaremos con inspección de código, peticiones web, movimientos internos con Apache, con SSH keys y romperemos /bin/nano.

🎈 sudo-vuln

HackMyVM - Devguru

Máquina Linux nivel medio (diría que difícil le queda mejor). Directorios .git y credenciales volando, bastantes juegos con Adminer, SSTI en twig, un Gitea viejito vulnerable mediante hooks a RCE,...

🎈 tac

HackTheBox - Waldo

Máquina linux nivel medio. Los lindos LFI, jugueteo con SSH, llaves privadas traviesas, bypass de shells restringidas yyyyyy cositas con las CAPAcidades BILITIESas.

🎈 telnet

HackTheBox - Access

Máquina Windows nivel fácil, vamos a movernos con FTP, jugaremos con info de tablas de una base de datos Microsoft Access, comprimidos con contraseñas y correos (u.u) yyyy toquetearemos una...

🎈 thunderbird

HackTheBox - CrimeStoppers

Máquina Linux nivel difícil. Explotación web con filtros (wrappers) consiguiendo LFI y RCE, contraseñas de Thunderbird, correos llenos de odio, persistencias locas (un rootkit) y jugueteo entre reversing y criptografía....

🎈 ticket-support

HackTheBox - Help

Máquina Linux nivel fácil. Investigaremos subidas de archivos .php en el servicio HelpDeskZ, jueguitos sucios con MySQL y una explotación de un kernel con ganas de morir.

HackTheBox - Delivery

Máquina Linux nivel fácil, jugaremos con osTicket creando tickets que nos servirán para ¿obtener emails externos en el propio status del ticket? ¿khE? (jajaj, sip), nos moveremos entre archivos y...

🎈 tomcat

HackTheBox - Ophiuchi

Máquina Linux nivel medio. La deserialización no puede faltar, pero esta vez parseando sintaxis YAML. Enumeración básica y finalmente tendremos que jugar con instrucciones de WebAssembly para modificar una constante...

HackTheBox - Tabby

Máquina Linux nivel fácil. Tabbyen, jugaremos con un LFI, buscaremos hasta más no poder un archivo de tomcat, explotaremos al manager para que nos permita entrar en la casa de...

🎈 tomcat-manager

HackTheBox - Seal

Máquina Linux nivel medio. Fuzzeo loco, repositorios (GitBucket) con commits aún más locos, movimientos sucios con Tomcat Manager, backups con -links- (?) yyyyy ejecución y creación de tareas automatizadas mediante...

🎈 twig

HackMyVM - Devguru

Máquina Linux nivel medio (diría que difícil le queda mejor). Directorios .git y credenciales volando, bastantes juegos con Adminer, SSTI en twig, un Gitea viejito vulnerable mediante hooks a RCE,...

🎈 type-juggling

Type Juggling == PHP

Jugaremos con la pobre validación que se hace a veces en formularios o procesos de PHP, estos llevados a cabo con == o !=.

🎈 unifi-video

HackTheBox - Giddy

Máquina Windows nivel medio. Jugaremos con inyecciones SQL del servicio MSSQL. Pero no vamos dumpear bases de datos, nop, vamos a ejecutar comandos :o que serán interceptados (smbclient y responder)...

🎈 visual-studio

HackTheBox - Resolute

Máquina Windows nivel medio. Enumeraremos hasta más no poder un controlador de dominio, veremos contraseñas volando libremente e inyectaremos una DLL maliciosa en un servidor DNS 😲

HackTheBox - Sharp

Máquina Windows nivel difícil, vamos a movernos entre carpetas compartidas, organizaremos nuestras ideas con Kanban (🤪) y jugaremos con binarios .exe para aprovechar deserializaciones y errores de configuración.

HackTheBox - Fuse

Máquina Windows nivel medio. Usaremos varios usuarios como diccionario para encontrar uno valido en el sistema, estando dentro explotaremos un permiso que nos deja subir drivers, subiremos uno conocido que...

🎈 vm2

HackTheBox - Codify

Entorno Linux nivel fácil. Nos saldremos del aislamiento que nos interpuso una Sandbox y de bravos ejecutaremos comandos en el sistema :P Crackearemos credenciales y robaremos otras jugando con expansores...

🎈 volatility

HackTheBox - Silo

Máquina Windows nivel medio, iremos de cabeza contra Oracle TNS, nos perderemos en un CVE :P, jugaremos con la base de datos y veremos que podemos ser los reyes de...

🎈 webAssembly

HackTheBox - Ophiuchi

Máquina Linux nivel medio. La deserialización no puede faltar, pero esta vez parseando sintaxis YAML. Enumeración básica y finalmente tendremos que jugar con instrucciones de WebAssembly para modificar una constante...

🎈 windows-privileges

HackTheBox - Bastard

Máquina Windows nivel medio, vamos a romper Drupal 7.54 y veremos dos maneras de escalar, generando procesos maliciosos con ayuda del privilegio SeImpersonate y de JuicyPotato o explotando el lindo...

HackTheBox - Fuse

Máquina Windows nivel medio. Usaremos varios usuarios como diccionario para encontrar uno valido en el sistema, estando dentro explotaremos un permiso que nos deja subir drivers, subiremos uno conocido que...

HackTheBox - Remote

Máquina Windows nivel fácil. Jugaremos con monturas, crackeo, romperemos Umbraco yyyy encontraremos dos maneras de volvernos administradores del sistema, mediante UsoSvc y TeamViewer.

🎈 winrm

HackTheBox - Arkham

Máquina Windows nivel medio, deserializaremos JavaServer Faces, jugaremos con muchos payloads con la necesidad de firmarlos con una llave :O Haremos Port Fortwarding, leeremos correos y montaremos el directorio raiz...

HackTheBox - Silo

Máquina Windows nivel medio, iremos de cabeza contra Oracle TNS, nos perderemos en un CVE :P, jugaremos con la base de datos y veremos que podemos ser los reyes de...

🎈 winrm-keys

HackTheBox - Timelapse

Máquina Windows nivel fácil. Backups con certificados WinRM, históricos de comandos algo agresivos, sacamos a passear a los antivirus e interactuamos con la contraseña del administrador mediante LAPS.

🎈 wordpress-plugin

HackTheBox - Enterprise

Máquina Linux nivel medio, vamos a movernos entre sentencias SQL para generar pinchazos e.e Pivotearemos entre contenedores y compartiremos experiencias con el host… Finalmente explotaremos un buffer overflow mediante un...

🎈 wordpress-theme

HackTheBox - Spectra

Máquina Linux (Chromium OS) nivel fácil. Nos veremos las caras con WordPress y su mala configuración por parte del administrador del sitio. Modificaremos themones para ejecutar comandos en el sistema....

🎈 wordpress-vuln

HackTheBox - Paper

Máquina Linux (CentOS) nivel fácil. Un hostname que se esconde, rayos X contra posts también escondidos, un bot nos habla de contraseñas y aprovechamos para romper el tiempo afectando a...

🎈 wordpress_plugin

HackTheBox - MetaTwo

Máquina Linux nivel fácil. WordPress y plugins juguetones con SQLi, XXE y LFI. Credenciales por doquier yyy crackeito de llaves privadas de passpie.

🎈 wp-with-spritz

HackTheBox - Monitors

Máquina Linux nivel difícil. Tendremos muuuuchos CVEs, jugaremos con inclusión remota/local de archivos en un plugin de WordPress (wp-with-spritz), reutilización de contraseñas, ejecución remota de comandos en un Cactus (?),...

🎈 x-backend-server

HackTheBox - Paper

Máquina Linux (CentOS) nivel fácil. Un hostname que se esconde, rayos X contra posts también escondidos, un bot nos habla de contraseñas y aprovechamos para romper el tiempo afectando a...

🎈 xdebug

HackTheBox - Static

Máquina Linux nivel difícil. Enumeraremos muchos servidores web, reconstruiremos comprimidos dañados, romperemos xdebug, romperemos PHP-FMP y romperemos terminales :P Juegos con llaves SSH yyyyyyyyy un Path Hijacking muy locochón.

🎈 xp_dirtree

HackTheBox - Giddy

Máquina Windows nivel medio. Jugaremos con inyecciones SQL del servicio MSSQL. Pero no vamos dumpear bases de datos, nop, vamos a ejecutar comandos :o que serán interceptados (smbclient y responder)...

🎈 zone-transfer

HackTheBox - Trick

Máquina Linux nivel fácil. Transferencias bancarias en X zona con DNS, inyecciones SQL, bypass de filtros para leer archivos del sistema yyyy buenos tratos 🤝 baneos a cambio de RCE...

Comments

comments powered by Disqus