Writeup de la máquina Startup de TryHackMe. Enumeración web y FTP anónimo con escritura, subida de webshell para obtener RCE, análisis de captura PCAP para extraer credenciales y abuso de script ejecutado por root para escalar privilegios.
20 mar 2026
Ver más
Writeup de la máquina TakeOver de TryHackMe. Enumeración de servicios web, fuzzing de subdominios, análisis de certificado SSL para descubrir un host oculto y obtención de la flag a través de un error de conexión HTTP.
20 mar 2026
Ver más
Writeup de la máquina PickleRick de TryHackMe. Extracción de credenciales del código fuente y robots.txt, acceso a webshell, reverse shell y escalada de privilegios via sudo sin contraseña para capturar los tres ingredientes.
17 mar 2026
Ver más
Writeup de la máquina Poster de TryHackMe. Explotación de PostgreSQL con bruteforce de credenciales, crackeo de hashes MD5, pivoting entre usuarios via archivos de configuración y escalada a root por sudoers.
17 mar 2026
Ver más
Writeup de la máquina Source de TryHackMe. Identificación Webmin vulnerable, extracción de información del certificado SSL, explotación CVE Webmin sin autenticación via Metasploit para obtener RCE directo como root.
17 mar 2026
Ver más
Writeup de la máquina GoldenEye de TryHackMe. Credenciales codificadas en HTML entities, enumeración de correos por SMTP/POP3, bruteforce Hydra, credenciales en metadatos de imagen y RCE en Moodle via aspell para escalar hasta root con un exploit de kernel overlayfs.
16 mar 2026
Ver más
Writeup de la máquina Ha Joker CTF de TryHackMe. Enumeración web, bruteforce en panel protegido, explotación de Joomla via backup con credenciales en base de datos, crackeo de hash y RCE via edición de template PHP.
16 mar 2026
Ver más
Writeup de la máquina ICE de TryHackMe. Explotación de Icecast 2.0 mediante buffer overflow, acceso a Meterpreter, escalada de privilegios con SeTakeOwnershipPrivilege, migración a proceso SYSTEM y extracción de credenciales con Mimikatz.
16 mar 2026
Ver más
Writeup de la máquina Ignite de TryHackMe. Explotación de Fuel CMS 1.4 mediante RCE, obtención de reverse shell, y escalada de privilegios mediante credenciales encontradas en archivos de configuración.
16 mar 2026
Ver más
Writeup de la máquina Blueprint de TryHackMe. Windows 7 con osCommerce 2.3.4 vulnerable a RCE sin autenticación. Acceso directo como NT AUTHORITY\SYSTEM, volcado de hashes NTLM y crackeo de credenciales del usuario LAB.
12 mar 2026
Ver más
Writeup de la máquina Bolt de TryHackMe. Bolt CMS vulnerable a RCE autenticado. Fuga de credenciales en un post público y explotación mediante script Python o Metasploit.
12 mar 2026
Ver más
Writeup de la máquina Brooklyn 99 de TryHackMe. Explotación de FTP anónimo, estenografía en imagen web, fuerza bruta SSH y escalada de privilegios con nano.
12 mar 2026
Ver más
Writeup de la máquina Chocolate Factory de TryHackMe. Enumeración web con descubrimiento de webshell, obtención de clave privada SSH de Charlie, escalada de privilegios mediante sudo vi y descifrado Fernet para capturar la flag de root.
12 mar 2026
Ver más
Writeup de la máquina ColddBox: Easy de TryHackMe. WordPress 4.1.31 con XML-RPC activo, fuerza bruta de credenciales, subida de plugin PHP malicioso como vector de acceso y escalada de privilegios via sudo FTP.
12 mar 2026
Ver más
Writeup de la máquina Corridor de TryHackMe. Web challenge basado en IDOR: las puertas del pasillo ocultan hashes MD5 de números secuenciales. Identificar el patrón y probar fuera de rango revela la flag.
12 mar 2026
Ver más
Writeup completo de la máquina Basic Pentesting de TryHackMe. Enumeración de SMB y web, bruteforce SSH con Hydra, crackeo de clave SSH privada cifrada con John the Ripper y escalada de privilegios vía sudo.
11 mar 2026
Ver más
Writeup de la máquina Blaster de TryHackMe. Enumeración web de un WordPress con fuga de credenciales, acceso por RDP y escalada de privilegios a NT AUTHORITY\SYSTEM mediante el CVE-2019-1388.
11 mar 2026
Ver más
Writeup de la máquina Blog de TryHackMe. Enumeración de un WordPress vulnerable, bruteforce de credenciales con WPScan, explotación de Remote Code Execution y escalada de privilegios a root con CVE-2021-4034 PwnKit.
11 mar 2026
Ver más
Writeup completo de la máquina Anonymous de TryHackMe. Explotación a través de FTP anónimo, modificación de script con reverse shell y escalada de privilegios mediante SUID /usr/bin/env.
10 mar 2026
Ver más
Laboratorio de práctica en la preparación del eJPT
14 ene 2026
Ver más
Writeup del Día 24 del Advent of Cyber 2025. Practicamos explotación HTTP desde línea de comandos con cURL: POST, cookies, brute force y User-Agent tampering.
24 dic 2025
Ver más
Writeup del Día 23 del Advent of Cyber 2025. Aprendemos a enumerar IAM, asumir roles con STS y exfiltrar secretos desde S3 usando credenciales encontradas.
23 dic 2025
Ver más
Writeup del Día 22 del Advent of Cyber 2025. Aprendemos a detectar tráfico de Command and Control (C2) utilizando RITA y Zeek para analizar capturas de red.
22 dic 2025
Ver más
Writeup del Día 21 del Advent of Cyber 2025. Analizamos un archivo HTA malicioso, desofuscamos código VBScript y PowerShell, y resolvemos una sidequest oculta.
21 dic 2025
Ver más
Writeup del Día 20 del Advent of Cyber 2025. Explotamos una vulnerabilidad de Race Condition en una tienda online para comprar más productos de los que hay en stock usando Burp Suite.
20 dic 2025
Ver más
Writeup del Día 19 del Advent of Cyber 2025. Investigamos un sistema SCADA comprometido, manipulamos registros Modbus con Python y evitamos una trampa lógica para salvar la Navidad.
19 dic 2025
Ver más
Writeup del Día 18 del Advent of Cyber 2025. Aprendemos sobre ofuscación de código, técnicas como Base64 y XOR, y cómo usar CyberChef para analizar scripts maliciosos.
18 dic 2025
Ver más
Writeup del Día 17 del Advent of Cyber 2025. Usamos CyberChef para decodificar mensajes y romper la seguridad de la fortaleza de King Malhare.
17 dic 2025
Ver más
Writeup del Día 16 del Advent of Cyber 2025. Análisis forense del Registro de Windows para investigar la persistencia y ejecución de malware en el servidor de despacho.
16 dic 2025
Ver más
Writeup del Día 15 del Advent of Cyber 2025. Investigamos un ataque web utilizando Splunk para correlacionar logs de Apache y Sysmon.
15 dic 2025
Ver más
Writeup del Día 14 del Advent of Cyber 2025. Aprendemos sobre seguridad en contenedores, Docker Escape y cómo escalar privilegios abusando del socket de Docker.
14 dic 2025
Ver más
Writeup del Día 13 del Advent of Cyber 2025. Aprendemos a crear reglas YARA para detectar patrones ocultos en archivos y decodificar mensajes secretos.
13 dic 2025
Ver más
Writeup del Día 12 del Advent of Cyber 2025. Análisis forense de correos electrónicos para detectar Phishing, Spoofing, Typosquatting y ataques de Ingeniería Social.
12 dic 2025
Ver más
Writeup del Día 11 del Advent of Cyber 2025. Análisis de vulnerabilidades Cross-Site Scripting (XSS) Reflejado y Almacenado siguiendo una metodología de pentesting.
11 dic 2025
Ver más
Writeup del Día 9 del Advent of Cyber 2025. Aprendemos a crackear archivos protegidos (PDF, ZIP) con John the Ripper y a extraer secretos de una base de datos KeePass para desbloquear la Side Quest 2.
9 dic 2025
Ver más
Writeup del Día 8 del Advent of Cyber 2025. Exploramos el concepto de IA Agéntica (Agentic AI) y cómo utilizar Prompt Injection para manipular el uso de herramientas y recuperar el control del calendario.
8 dic 2025
Ver más
Writeup del Día 7 del Advent of Cyber 2025. Aprendemos a realizar un descubrimiento de red completo (TCP/UDP), enumeración de servicios (FTP, HTTP, DNS) y post-explotación básica en bases de datos.
7 dic 2025
Ver más
Writeup del Día 6 del Advent of Cyber 2025. Análisis de malware estático y dinámico utilizando herramientas como PeStudio, Regshot y ProcMon para diseccionar el comportamiento de un ejecutable malicioso.
6 dic 2025
Ver más
Writeup del Día 5 del Advent of Cyber 2025. Explotación de vulnerabilidades IDOR (Insecure Direct Object Reference) en APIs, desde parámetros numéricos simples hasta codificación Base64 y predicción de UUIDs v1.
5 dic 2025
Ver más
Writeup del Día 4 del Advent of Cyber 2025. Exploramos el uso de la IA en ciberseguridad: Red Team, Blue Team y Desarrollo Seguro. Crítica y casos de uso reales.
4 dic 2025
Ver más
Writeup del Día 3 del Advent of Cyber 2025. Análisis de logs con Splunk, detección de anomalías y trazabilidad de un ataque web.
3 dic 2025
Ver más
Writeup del Día 2 del Advent of Cyber 2025. Análisis de Ingeniería Social, Phishing y uso de SEToolkit para capturar credenciales.
2 dic 2025
Ver más
Writeup del Día 1 del Advent of Cyber 2025. Introducción a Linux y resolución de la Sidequest.
1 dic 2025
Ver más
Room de calentamiento para el Advent of Cyber 2025.
30 nov 2025
Ver más
Writeup completo de la máquina Blue de TryHackMe. Explotación de EternalBlue (MS17-010) en Windows 7 mediante Metasploit, extracción de hashes NTLM y captura de tres flags.
28 oct 2025
Ver más
Writeup completo de la máquina DAV de TryHackMe. Acceso inicial mediante credenciales por defecto en WebDAV, subida de webshell PHP con Cadaver y escalada de privilegios por sudo mal configurado.
23 oct 2025
Ver más
Primer CTF de la serie de Footprinting and Scanning de la preparación para el eJPT
16 abr 2025
Ver más
Primer CTF de la serie de Information Gathering de la preparación para el eJPT
3 abr 2025
Ver más
¿Qué es Shadows? Descubrelo aquí
1 dic 2024
Ver más