AVENGERS
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/avengers.png","level":"PRINCIPIANTE","certifications":["eJPT","OSCP","eCPPTv3","eWPT","OSEP"],"techniques":["- Escaneo de puertos completo con Nmap (TCP SYN"," scripts"," detección de versión"," alto rendimiento sin DNS ni ping) \n- Descubrimiento de directorios útiles desde robots.txt y fuzzing web \n- Decodificación de datos ocultos (por ejemplo"," base64 anidado) para extraer contraseñas temporales \n- Acceso FTP para recuperar credenciales (como de MySQL) y archivos ZIP con flags \n- Conexión SSH usando credenciales obtenidas (usuario \"hulk\") \n- Uso de diccionarios generados dinámicamente y fuerza bruta de contraseñas (por ejemplo"," con patrones como \"fuerzabruta\" + 4 caracteres) \n- Escalada de privilegios al crear diccionario"," descifrar credenciales del usuario \"Stiff\""," obtención de shell como root \n"],"learning_objectives":"
- Escaneo de puertos completo con Nmap (TCP SYN
- scripts
- detección de versión
- alto rendimiento sin DNS ni ping)
- Descubrimiento de directorios útiles desde robots.txt y fuzzing web
- Decodificación de datos ocultos (por ejemplo
- base64 anidado) para extraer contraseñas temporales
- Acceso FTP para recuperar credenciales (como de MySQL) y archivos ZIP con flags
- Conexión SSH usando credenciales obtenidas (usuario \"hulk\")
- Uso de diccionarios generados dinámicamente y fuerza bruta de contraseñas (por ejemplo
- con patrones como \"fuerzabruta\" + 4 caracteres)
- Escalada de privilegios al crear diccionario
- descifrar credenciales del usuario \"Stiff\"
- obtención de shell como root
BASE
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/base.png","level":"AVANZADO","certifications":["eWPT","eWPTXv2","OSCP","eCPPTv3","OSWE","OSEP"],"techniques":["- SQL Injection manual y automatizado sobre panel de login para descubrir usuario y contraseña\n- Subida de webshell PHP disfrazado como imagen GIF"," obteniendo acceso inicial\n- Captura de hash desde el servidor y crackeo usando John para obtener credenciales adicionales\n- Descubrimiento de usuario `pedro` con permisos en grupo `adm`"," permitiendo lectura de archivos privilegiados\n- Identificación de binario `awk` ejecutable como root (SUID)"," uso de ejecución arbitraria para obtener shell root\n"],"learning_objectives":"
- SQL Injection manual y automatizado sobre panel de login para descubrir usuario y contraseña
- Subida de webshell PHP disfrazado como imagen GIF
- obteniendo acceso inicial
- Captura de hash desde el servidor y crackeo usando John para obtener credenciales adicionales
- Descubrimiento de usuario pedro con permisos en grupo adm
- permitiendo lectura de archivos privilegiados
- Identificación de binario awk ejecutable como root (SUID)
- uso de ejecución arbitraria para obtener shell root
BOCATA DE CALAMARES
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/bocata_de_calamares.png","level":"PRINCIPIANTE","certifications":["eJPT","OSCP","eCPPTv3","eWPT","OSEP"],"techniques":["\n- Escaneo completo de puertos con Nmap (TCP SYN"," sin resolución DNS"," escaneo rápido con scripts y versión de servicio) \n- Fuzzing web para identificar archivos clave como login.php y advertencias de SQL injection \n- Uso de SQLMap para explotar vulnerabilidad SQLi y obtener credenciales \n- Identificación de interfaz web que muestra una lista de tareas (to-do)"," incluida una referencia codificada en base64 \n- Construcción de una ruta PHP dinámica usando la cadena codificada en base64 para acceder a funcionalidad de lectura de archivos \n- Fuerza bruta de contraseñas para obtener acceso SSH como superadministrator \n- Escalada de privilegios en sistema Linux mediante explotación de binario find con sudo sin contraseña (GTFOBi"],"learning_objectives":"
- Escaneo completo de puertos con Nmap (TCP SYN
- sin resolución DNS
- escaneo rápido con scripts y versión de servicio)
- Fuzzing web para identificar archivos clave como login.php y advertencias de SQL injection
- Uso de SQLMap para explotar vulnerabilidad SQLi y obtener credenciales
- Identificación de interfaz web que muestra una lista de tareas (to-do)
- incluida una referencia codificada en base64
- Construcción de una ruta PHP dinámica usando la cadena codificada en base64 para acceder a funcionalidad de lectura de archivos
- Fuerza bruta de contraseñas para obtener acceso SSH como superadministrator
- Escalada de privilegios en sistema Linux mediante explotación de binario find con sudo sin contraseña (GTFOBi
CAMPANA FELIZ
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/campana_feliz.png","level":"PRINCIPIANTE","certifications":["eWPT","eWPTXv2","OSCP","eCPPTv3","OSWE","OSEP"],"techniques":["- Descubrimiento de texto oculto en página en blanco (cadena en Base64 con villancico repetitivo) \n- Fuzzing de directorios para encontrar `shell.php` \n- Fuerza bruta HTTP POST con Hydra (`username=campana`"," contraseñas RockYou) → credenciales válidas \n- Inyección de comandos desde shell web → extracción de credenciales apuntando al puerto 10000 \n- Acceso como root vía shell ya activa (no fue necesario explotar más)"],"learning_objectives":"
- Descubrimiento de texto oculto en página en blanco (cadena en Base64 con villancico repetitivo)
- Fuzzing de directorios para encontrar shell.php
- Fuerza bruta HTTP POST con Hydra (username=campana
- contraseñas RockYou) → credenciales válidas
- Inyección de comandos desde shell web → extracción de credenciales apuntando al puerto 10000
- Acceso como root vía shell ya activa (no fue necesario explotar más)
CASA PACO
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/casa_paco.png","level":"PRINCIPIANTE","certifications":["eWPT","eWPTXv2","OSCP","eCPPTv3","OSWE","OSEP"],"techniques":["\n- Enumeración web con feroxbuster para identificar directorios ocultos (como `llevar.php` y `llevar1.php`)\n- Análisis de filtros en formulario: `llevar.php` rechazaba inyecciones"," mientras que `llevar1.php` permitía listar usuarios\n- Fuerza bruta SSH con username `pacogerente` usando Hydra y RockYou (contraseña encontrada: `dipset1`)\n- Monitoreo de procesos con `pspy64` para identificar un script `fabada.sh` ejecutándose como root\n- Modificación de `fabada.sh` para elevar permisos en `/bin/bash` → acceso root vía ejecución automática cron"],"learning_objectives":"
- Enumeración web con feroxbuster para identificar directorios ocultos (como llevar.php y llevar1.php)
- Análisis de filtros en formulario: llevar.php rechazaba inyecciones
- mientras que llevar1.php permitía listar usuarios
- Fuerza bruta SSH con username pacogerente usando Hydra y RockYou (contraseña encontrada: dipset1)
- Monitoreo de procesos con pspy64 para identificar un script fabada.sh ejecutándose como root
- Modificación de fabada.sh para elevar permisos en /bin/bash → acceso root vía ejecución automática cron
COCIDO ANDALUZ
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/cocido_andaluz.png","level":"PRINCIPIANTE","certifications":["eJPT","OSCP","eCPPTv3","OSEP"],"techniques":["- Fuerza bruta FTP\n- Upload de webshell ASPX\n- Comandos remotos via webshell\n- Uso de Netcat para obtener shell inversa\n- Escalada con Watson (MS11-046)"],"learning_objectives":"
- Fuerza bruta FTP
- Upload de webshell ASPX
- Comandos remotos via webshell
- Uso de Netcat para obtener shell inversa
- Escalada con Watson (MS11-046)
CRYPTOLABYRINTH
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/cryptolabyrinth.png","level":"PRINCIPIANTE","certifications":["eWPT","eWPTXv2","OSCP","eCPPTv3","OSWE","OSEP"],"techniques":["- Fuzzing de directorio oculto (`hidden`) tras codificación parcial de credencial en el source web \n- Descarga automatizada de múltiples archivos con hashes desde el directorio oculto \n- Descifrado de `alice_aes.enc` (AES-256-CBC) usando clave conocida (`supercomplexkey!`) \n- Combinación de hashes de “Bob” en un solo archivo y uso de John the Ripper para crackearlos \n- Generación de diccionario dinámico para completar patrones de contraseña con caracteres alfanuméricos \n- SSH como `Bob` una vez obtenida la contraseña \n- Uso de `sudo env` para escalar a usuario `Alice` sin contraseña \n- Nuevamente generación de diccionario para completar nueva contraseña parcial de `Alice` \n- Fuerza bruta SSH como `Alice`"," seguido de fuerza bruta para lograr acceso como `root`"],"learning_objectives":"
- Fuzzing de directorio oculto (hidden) tras codificación parcial de credencial en el source web
- Descarga automatizada de múltiples archivos con hashes desde el directorio oculto
- Descifrado de alice_aes.enc (AES-256-CBC) usando clave conocida (supercomplexkey!)
- Combinación de hashes de “Bob” en un solo archivo y uso de John the Ripper para crackearlos
- Generación de diccionario dinámico para completar patrones de contraseña con caracteres alfanuméricos
- SSH como Bob una vez obtenida la contraseña
- Uso de sudo env para escalar a usuario Alice sin contraseña
- Nuevamente generación de diccionario para completar nueva contraseña parcial de Alice
- Fuerza bruta SSH como Alice
- seguido de fuerza bruta para lograr acceso como root
EL CLIENTE
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/el_cliente.png","level":"AVANZADO","certifications":["eWPT","eWPTXv2","OSCP","eCPPTv3","OSWE","OSEP"],"techniques":["- Fuzzing web para ubicar subdominio/admin accesible mediante ajuste en /etc/hosts \n- XSS en campo \"mensaje\" usando payload `
- Fuzzing web para ubicar subdominio/admin accesible mediante ajuste en /etc/hosts
- XSS en campo \"mensaje\" usando payload <img src=x onerror=...> para capturar cookie via netcat
- Utilización de cookie capturada para acceder al panel de administración como admin
- Subida de archivo .phar con ejecución remota de comandos y obtención de reverse shell inicial
- Extracción de credenciales desde base de datos y escalada al usuario scott
- Escalada de privilegios aprovechando tar con bit SUID para cambiar al usuario kobe
- Escalada final a root usando systemctl (SUID) para otorgar permisos SUID a /bin/bash
- logrando shell root
FACULTAD
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/facultad.png","level":"PRINCIPIANTE","certifications":["eJPT","OSCP","eCPPTv3","eWPT","eWPTXv2","OSEP"],"techniques":["- Enumeración web\n- Virtual Hosting\n- Enumeración de WordPress\n- Ataques de fuerza bruta\n- Reverse shell mediante archivo PHP malicioso\n- Abuso de binario PHP\n- Decodificación de contraseñas en Brainfuck\n- Abuso de binarios en Bash para escalada de privilegios"],"learning_objectives":"
- Enumeración web
- Virtual Hosting
- Enumeración de WordPress
- Ataques de fuerza bruta
- Reverse shell mediante archivo PHP malicioso
- Abuso de binario PHP
- Decodificación de contraseñas en Brainfuck
- Abuso de binarios en Bash para escalada de privilegios
GIMNASIO
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/gimnasio.png","level":"PROFESIONAL","certifications":["eWPT","eWPTXv2","OSCP","eCPPTv3","OSWE","OSEP"],"techniques":["- Escaneo completo de puertos con Nmap para identificar servicios (SSH"," Apache"," Gitea"," etc.) \n- Registro del dominio `neogym.thl` en `/etc/hosts` y exploración del sitio web del gimnasio \n- Explotación de formulario vulnerable a XXE para leer archivos como `/etc/passwd` y `.bash_history`"," obteniendo credenciales (`steve`"," `Sup3rP4$sw0rd123!`) \n- Fuzzing de subdominios → descubrimiento de `admin.neogym.thl` \n- Acceso al panel admin con credenciales obtenidas \n- SQL Injection en formulario de gestión"," extracción de credenciales de usuario (`david`) y crackeo del hash con John \n- Reutilización de contraseña crackeada para acceso SSH como `james` \n- Enumeración de sudoers: `james` puede ejecutar `perl` como usuario `kyle` → escalada vía GTFOBins \n- Escalada a root: `kyle` puede ejecutar script Python `systemcheck.py` como root"," que llama scripts relativos (`full_check.sh`"," `start_server.sh`) susceptibles a hijacking por path → obtención de privilegios root \n"],"learning_objectives":"
- Escaneo completo de puertos con Nmap para identificar servicios (SSH
- Apache
- Gitea
- etc.)
- Registro del dominio neogym.thl en /etc/hosts y exploración del sitio web del gimnasio
- Explotación de formulario vulnerable a XXE para leer archivos como /etc/passwd y .bash_history
- obteniendo credenciales (steve
- Sup3rP4$sw0rd123!)
- Fuzzing de subdominios → descubrimiento de admin.neogym.thl
- Acceso al panel admin con credenciales obtenidas
- SQL Injection en formulario de gestión
- extracción de credenciales de usuario (david) y crackeo del hash con John
- Reutilización de contraseña crackeada para acceso SSH como james
- Enumeración de sudoers: james puede ejecutar perl como usuario kyle → escalada vía GTFOBins
- Escalada a root: kyle puede ejecutar script Python systemcheck.py como root
- que llama scripts relativos (full_check.sh
- start_server.sh) susceptibles a hijacking por path → obtención de privilegios root
GIN TONIC
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/gin_tonic.png","level":"PROFESIONAL","certifications":["eWPT","eWPTXv2","OSCP","eCPPTv3","OSWE","OSEP"],"techniques":["- Fuzzing de subdominios → descubrimiento de panel de registro web \n- Explotación de XXE para leer archivos internos (como `/etc/passwd`) \n- Fuerza bruta SSH para obtener acceso inicial como usuario \n- Detección de binario SUID vulnerable que dependía de una librería (`welcome.so`) ubicada en ruta controlable \n- Creación de `libwelcome.so` malicioso que otorga shell root al ejecutarse el binario SUID `welcome` "],"learning_objectives":"
- Fuzzing de subdominios → descubrimiento de panel de registro web
- Explotación de XXE para leer archivos internos (como /etc/passwd)
- Fuerza bruta SSH para obtener acceso inicial como usuario
- Detección de binario SUID vulnerable que dependía de una librería (welcome.so) ubicada en ruta controlable
- Creación de libwelcome.so malicioso que otorga shell root al ejecutarse el binario SUID welcome
GUITJAPEO
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/guitjapeo.png","level":"EXPERTO","certifications":["eJPT","OSCP","eCPPTv3","eWPT","OSEP","OSED (por scripting avanzado","RCE en Node.js y explotación con GTFOBins)"],"techniques":["- Enumeración de virtual hosts y subdominios \n- Fuzzing de directorios y descubrimiento de endpoints en una API \n- Registro e interacción con usuarios en aplicación web \n- Envío de payloads para verificar ejecución en cliente (captura de visitas) \n- Secuestro de cookies de sesión mediante XSS con evasión de Content Security Policy (CSP) \n- Uso de CDN (jsdelivr + GitHub repos) para inyectar payloads de JavaScript externos \n- Explotación de API vulnerable para ejecución remota de comandos (RCE) \n- Explotación de repositorios Git (.git) para recuperar historial y archivos borrados \n- Resolución automatizada de retos de compresión encadenada (ZIP con contraseñas dinámicas en distintos lenguajes de scripting) \n- Uso de sudo para ejecutar binarios con privilegios (sudo git) → escalada a root "],"learning_objectives":"
- Enumeración de virtual hosts y subdominios
- Fuzzing de directorios y descubrimiento de endpoints en una API
- Registro e interacción con usuarios en aplicación web
- Envío de payloads para verificar ejecución en cliente (captura de visitas)
- Secuestro de cookies de sesión mediante XSS con evasión de Content Security Policy (CSP)
- Uso de CDN (jsdelivr + GitHub repos) para inyectar payloads de JavaScript externos
- Explotación de API vulnerable para ejecución remota de comandos (RCE)
- Explotación de repositorios Git (.git) para recuperar historial y archivos borrados
- Resolución automatizada de retos de compresión encadenada (ZIP con contraseñas dinámicas en distintos lenguajes de scripting)
- Uso de sudo para ejecutar binarios con privilegios (sudo git) → escalada a root
HAPPYJUMP
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/happyjump.png","level":"PROFESIONAL","certifications":["eWPT","eWPTXv2","OSWE","OSCP","eCPPTv3","OSEP"],"techniques":["- Server Side Template Injection (SSTI)\n- Reverse shell\n- Pivoting (Chisel"," Socat"," múltiples saltos)\n- Inclusión de archivos local (LFI)\n- Fuerza bruta SSH\n- Abuso de privilegios en sudoers (PHP"," scripts de Python modificables)\n- Explotación de Grafana (LFI / Path Traversal)\n- Evasión de restricción de carga de archivos (.phar)\n- Explotación de webshell\n- Abuso del binario env (escalada de privilegios)"],"learning_objectives":"
- Server Side Template Injection (SSTI)
- Reverse shell
- Pivoting (Chisel
- Socat
- múltiples saltos)
- Inclusión de archivos local (LFI)
- Fuerza bruta SSH
- Abuso de privilegios en sudoers (PHP
- scripts de Python modificables)
- Explotación de Grafana (LFI / Path Traversal)
- Evasión de restricción de carga de archivos (.phar)
- Explotación de webshell
- Abuso del binario env (escalada de privilegios)
HUEVOS FRITOS
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/huevos_fritos.png","level":"AVANZADO","certifications":["eJPT","OSCP","eCPPTv3","eWPT"],"techniques":["- Fuzzing de directorios\n- File Upload Bypass (extensión .phar)\n- Webshell PHP (Pentest Monkey)\n- Exfiltración de id_rsa y cracking con John\n- Abuso de Sudoers (python3) para escalada a root"],"learning_objectives":"
- Fuzzing de directorios
- File Upload Bypass (extensión .phar)
- Webshell PHP (Pentest Monkey)
- Exfiltración de id_rsa y cracking con John
- Abuso de Sudoers (python3) para escalada a root
MOBY DICK
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/moby_dick.png","level":"AVANZADO","certifications":["eWPT","eWPTXv2","OSCP","eCPPTv3","OSWE","OSEP"],"techniques":["- Enumeración de servicios expuestos (SSH y HTTP en Ubuntu) con Nmap \n- Descubrimiento de usuario válido en la web (\"pinguinito\") y ataque de fuerza bruta con Hydra sobre SSH \n- Acceso inicial vía SSH con credenciales descubiertas \n- Extracción del archivo Database.kdbx de KeePass"," conversión en Base64 y descarga al atacante \n- Intento de crackeo con keepass2john + John the Ripper (sin éxito) \n- Enumeración de contenedores con pspy64 → detección de servicio Grafana 8.3.0 en 172.17.0.2:3000 \n- Explotación de vulnerabilidad en Grafana 8.3.0 para leer archivos arbitrarios \n- Obtención de credenciales desde `/tmp/database_pass.txt` y apertura exitosa del archivo KeePass \n- Acceso al usuario ballenasio mediante `su` con credenciales extraídas \n- Escalada de privilegios mediante `sudo -l` con permisos de root (ALL : ALL) "],"learning_objectives":"
- Enumeración de servicios expuestos (SSH y HTTP en Ubuntu) con Nmap
- Descubrimiento de usuario válido en la web (\"pinguinito\") y ataque de fuerza bruta con Hydra sobre SSH
- Acceso inicial vía SSH con credenciales descubiertas
- Extracción del archivo Database.kdbx de KeePass
- conversión en Base64 y descarga al atacante
- Intento de crackeo con keepass2john + John the Ripper (sin éxito)
- Enumeración de contenedores con pspy64 → detección de servicio Grafana 8.3.0 en 172.17.0.2:3000
- Explotación de vulnerabilidad en Grafana 8.3.0 para leer archivos arbitrarios
- Obtención de credenciales desde /tmp/database_pass.txt y apertura exitosa del archivo KeePass
- Acceso al usuario ballenasio mediante su con credenciales extraídas
- Escalada de privilegios mediante sudo -l con permisos de root (ALL : ALL)
OFFENSIVE
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/offensive.png","level":"PROFESIONAL","certifications":["eWPT","eWPTXv2","OSCP","eCPPTv3","OSWE","OSEP"],"techniques":[" Fuzzing web para descubrir carpeta `/images`"," descarga de imagen y extracción de datos ocultos tras una fuerza bruta del salvoconducto \n- Descubrimiento de credenciales de WordPress (usuario “Administrator”) a través de texto oculto \n- Fuzzing en puerto 8080 para localizar archivo `help` y manipular plugins que bloqueaban acceso a wp-admin \n- Acceso a una terminal integrada (wpterm)"," envío de reverse shell para control remoto \n- Identificación de servicio interno en puerto 5000 y port forwarding local usando `chisel` \n- Acceso a un panel de sesión protegido con PIN de 4 dígitos; fuerza bruta usando Burp Intruder e inyección de diccionario numérico \n- Ejecución de comandos desde el panel resultando en reverse shell como usuario `maria` \n- Lectura parcial de `/etc/shadow` mediante binario `app`; uso de manipulación `PATH` y reemplazo del binario `head` para escalar a root vía SUID"],"learning_objectives":"
- Fuzzing web para descubrir carpeta /images
- descarga de imagen y extracción de datos ocultos tras una fuerza bruta del salvoconducto
- Descubrimiento de credenciales de WordPress (usuario “Administrator”) a través de texto oculto
- Fuzzing en puerto 8080 para localizar archivo help y manipular plugins que bloqueaban acceso a wp-admin
- Acceso a una terminal integrada (wpterm)
- envío de reverse shell para control remoto
- Identificación de servicio interno en puerto 5000 y port forwarding local usando chisel
- Acceso a un panel de sesión protegido con PIN de 4 dígitos
- fuerza bruta usando Burp Intruder e inyección de diccionario numérico
- Ejecución de comandos desde el panel resultando en reverse shell como usuario maria
- Lectura parcial de /etc/shadow mediante binario app
- uso de manipulación PATH y reemplazo del binario head para escalar a root vía SUID
PAELLA
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/paella.png","level":"PRINCIPIANTE","certifications":["OSCP","eWPT"],"techniques":["- Identificación de Webmin\n- Uso de exploit de Metasploit sin autenticación\n- Abuso de capability de GDG para elevar privilegios (GTFOBins)"],"learning_objectives":"
- Identificación de Webmin
- Uso de exploit de Metasploit sin autenticación
- Abuso de capability de GDG para elevar privilegios (GTFOBins)
PAPAYA
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/papaya.png","level":"PRINCIPIANTE","certifications":["OSCP","eWPT"],"techniques":["- Modificación de /etc/hosts\n- Acceso FTP anónimo y extracción de archivo codificado en ROT13\n- Enumeración web (Elkarteforum vulnerable)\n- Explotación Elkarteforum con credenciales por defecto\n- Subida e instalación de webshell\n- Reverse shell con BusyBox\n- Extracción y crackeo de pass.zip para credenciales de usuario\n- Abuso de privilegio sudo (scp) para escalar a root"],"learning_objectives":"
- Modificación de /etc/hosts
- Acceso FTP anónimo y extracción de archivo codificado en ROT13
- Enumeración web (Elkarteforum vulnerable)
- Explotación Elkarteforum con credenciales por defecto
- Subida e instalación de webshell
- Reverse shell con BusyBox
- Extracción y crackeo de pass.zip para credenciales de usuario
- Abuso de privilegio sudo (scp) para escalar a root
PHISERMANSPHRIENDS
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/phisermansphriends.png","level":"PRINCIPIANTE","certifications":["eWPT","eWPTXv2","OSCP","eCPPTv3","OSWE","OSEP"],"techniques":["- Fuzzing web a través de rutas y nombres de usuario obtenidos desde redes sociales → creación de diccionario personalizado con cupp \n- Credential stuffing con script multihilo contra panel de login con URL y token dinámico para detectar credenciales válidas \n- Configuración de servidor HTTP local para capturar credenciales mediante ataque de phishing (formulario POST interceptado) \n- Acceso a Jenkins con credenciales obtenidas; ejecución de reverse shell en Groovy utilizando únicamente el puerto 443 \n- Reutilización de credenciales para acceso SSH al usuario `mur` \n- Descubrimiento de script Python ejecutable como root (`ustil.py`) sin necesidad de contraseña \n- Explotación mediante Planting: conexión de SSH con key pública y uso de telnet/PDB para ejecutar código Python dinámicamente con privilegios root \n"],"learning_objectives":"
- Fuzzing web a través de rutas y nombres de usuario obtenidos desde redes sociales → creación de diccionario personalizado con cupp
- Credential stuffing con script multihilo contra panel de login con URL y token dinámico para detectar credenciales válidas
- Configuración de servidor HTTP local para capturar credenciales mediante ataque de phishing (formulario POST interceptado)
- Acceso a Jenkins con credenciales obtenidas
- ejecución de reverse shell en Groovy utilizando únicamente el puerto 443
- Reutilización de credenciales para acceso SSH al usuario mur
- Descubrimiento de script Python ejecutable como root (ustil.py) sin necesidad de contraseña
- Explotación mediante Planting: conexión de SSH con key pública y uso de telnet/PDB para ejecutar código Python dinámicamente con privilegios root
PINGUPING
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/pinguping.png","level":"AVANZADO","certifications":["eWPT","eWPTXv2","OSCP","eCPPTv3","OSWE","OSEP"],"techniques":["- Comando remoto vía inyección (command injection) en aplicación web Flask del puerto 5000 \n- Acceso interactivo a base de datos **MongoDB** (colección “secretito”) obteniendo usuario y contraseña \n- Escalada de privilegios local mediante uso de `sudo sed` (binario con permisos especiales) \n- Abuso de `sed` para ejecutar comandos como root"," usando técnicas encontradas en **GTFOBins**"],"learning_objectives":"
- Comando remoto vía inyección (command injection) en aplicación web Flask del puerto 5000
- Acceso interactivo a base de datos MongoDB (colección “secretito”) obteniendo usuario y contraseña
- Escalada de privilegios local mediante uso de sudo sed (binario con permisos especiales)
- Abuso de sed para ejecutar comandos como root
- usando técnicas encontradas en **GTFOBins
PUCHERO
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/puchero.png","level":"AVANZADO","certifications":["eWPT","eWPTXv2","OSCP","eCPPTv3","OSWE","OSEP"],"techniques":["- Login en aplicación web con credenciales por defecto (`admin:admin`) en puerto 3333 \n- Ataque de Prototype Pollution modificando `isAdmin=true` en JSON y ajustando `Content-Type` → permite descarga de archivos \n- Envío de reverse shell con BusyBox para obtener acceso inicial \n- Detección de tarea cron con `pspy64` ejecutando `grasioso.sh` cada minuto"," que es escribible \n- Inyección de reverse shell en el cron escribible y obtención de shell como root al ejecutarse automáticamente después de 1 minuto :"],"learning_objectives":"
- Login en aplicación web con credenciales por defecto (admin:admin) en puerto 3333
- Ataque de Prototype Pollution modificando isAdmin=true en JSON y ajustando Content-Type → permite descarga de archivos
- Envío de reverse shell con BusyBox para obtener acceso inicial
- Detección de tarea cron con pspy64 ejecutando grasioso.sh cada minuto
- que es escribible
- Inyección de reverse shell en el cron escribible y obtención de shell como root al ejecutarse automáticamente después de 1 minuto :
REBIND
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/rebind.png","level":"AVANZADO","certifications":["eJPT","OSCP","eCPPTv3","eWPT","OSEP"],"techniques":["- Reconocimiento y escaneo de servicios con Nmap (SSH"," MySQL"," Redis"," Apache"," etc.) \n- Análisis de código fuente de páginas web en busca de pistas ocultas \n- Esteganografía en imágenes (uso de steghide para extraer mensajes) \n- Descifrado de contraseñas y análisis de patrones (base64 + cadenas estructuradas) \n- Acceso remoto vía SSH con credenciales descubiertas \n- Pivoting hacia otros servidores (salto de Servidor1 a Servidor2) \n- Uso de credenciales adicionales para moverse entre entornos de red \n- Explotación de servicio HTTP expuesto en puerto alternativo (debug endpoint) \n- Envío de payload mediante petición POST con código malicioso embebido \n- Obtención de reverse shell como root a través de servicio vulnerable "],"learning_objectives":"
- Reconocimiento y escaneo de servicios con Nmap (SSH
- MySQL
- Redis
- Apache
- etc.)
- Análisis de código fuente de páginas web en busca de pistas ocultas
- Esteganografía en imágenes (uso de steghide para extraer mensajes)
- Descifrado de contraseñas y análisis de patrones (base64 + cadenas estructuradas)
- Acceso remoto vía SSH con credenciales descubiertas
- Pivoting hacia otros servidores (salto de Servidor1 a Servidor2)
- Uso de credenciales adicionales para moverse entre entornos de red
- Explotación de servicio HTTP expuesto en puerto alternativo (debug endpoint)
- Envío de payload mediante petición POST con código malicioso embebido
- Obtención de reverse shell como root a través de servicio vulnerable
RUNERS
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/runers.png","level":"PRINCIPIANTE","certifications":["eJPT","eWPT","OSCP","eCPPTv3","OSWE"],"techniques":["- Descubrimiento de parámetro inyectable en web y explotación SQLi con `sqlmap` para volcar base de datos `blog`"," incluyendo usuarios hashed \n- Crackeo de hashes SHA-256 con `john` para obtener credenciales válidas y acceso SSH al sistema \n- Descubrimiento de archivo ZIP protegido en directorio oculto; extracción del hash y crackeo con `john`; obtención de archivo `.xlsx` con más credenciales \n- Conexión SSH usando credenciales obtenidas del XLSX \n- Ejecución de `pspy64` y detección de script `backup.sh` con permiso de escritura: modificación para otorgarse SUID a Bash dentro del contenedor \n- Uso del Bash SUID modificado para shell con privilegios elevados dentro del contenedor \n- Lectura de archivo de texto que contiene pista de contraseña reutilizada del usuario \"Ian\" \n- Descubrimiento y crackeo de archivo `.psafe3` con `pwsafe2john` y `john` para obtener nuevas credenciales \n- Acceso vía SSH con nuevas credenciales al sistema; confirmación de pertenencia al grupo `docker` \n- Levantamiento de contenedor donde Bash se ejecuta como root"," lo que resulta en una shell root fuera del contenedor "],"learning_objectives":"
- Descubrimiento de parámetro inyectable en web y explotación SQLi con sqlmap para volcar base de datos blog
- incluyendo usuarios hashed
- Crackeo de hashes SHA-256 con john para obtener credenciales válidas y acceso SSH al sistema
- Descubrimiento de archivo ZIP protegido en directorio oculto
- extracción del hash y crackeo con john
- obtención de archivo .xlsx con más credenciales
- Conexión SSH usando credenciales obtenidas del XLSX
- Ejecución de pspy64 y detección de script backup.sh con permiso de escritura: modificación para otorgarse SUID a Bash dentro del contenedor
- Uso del Bash SUID modificado para shell con privilegios elevados dentro del contenedor
- Lectura de archivo de texto que contiene pista de contraseña reutilizada del usuario \"Ian\"
- Descubrimiento y crackeo de archivo .psafe3 con pwsafe2john y john para obtener nuevas credenciales
- Acceso vía SSH con nuevas credenciales al sistema
- confirmación de pertenencia al grupo docker
- Levantamiento de contenedor donde Bash se ejecuta como root
- lo que resulta en una shell root fuera del contenedor
SECURITRON
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/securitron.png","level":"PROFESIONAL","certifications":["eWPT","eWPTXv2","OSCP","eCPPTv3","OSWE","OSEP"],"techniques":["- Explotación de IA para filtrar subdominio `admin19-32.securitron.thl` y API-Key ‘imagine-no-heaven-no-countries-no-possessions’ :contentReference[oaicite:1]{index=1} \n- SQLi automatizado usando `sqlmap` contra formulario de login en `Admin/login.php` y extracción de credenciales sin hash :contentReference[oaicite:2]{index=2} \n- Upload de PHP reverse shell (renombrada `avatar.php.png` a `avatar.php`) via funcionalidad de avatar en la app web para obtener shell :contentReference[oaicite:3]{index=3} \n- Descubrimiento de puerto 3000 y endpoint API JSON accedido localmente mediante `curl` y Node.js integrado :contentReference[oaicite:4]{index=4} \n- Acceso a endpoints `/api/models` usando la API-Key filtrada"," listando y descargando modelos GGUF :contentReference[oaicite:5]{index=5} \n- Lectura remota de archivos sensibles (`index.js`"," `user.txt`) mediante path traversal desde API vulnerable + API-Key"," obteniendo flag y credenciales de `securitybot` :contentReference[oaicite:6]{index=6} \n- Escalada a `securitybot` usando la credencial obtenida :contentReference[oaicite:7]{index=7} \n- Uso de `sudo` para ejecutar binario `ar` según documentación GTFOBins"," permitiendo extracción de archivos root :contentReference[oaicite:8]{index=8} \n- Lateral movement mediante análisis de crontab de root: despliegue de script `backup_bd.sh` que ejecuta `date` sin path absoluto :contentReference[oaicite:9]{index=9} \n- Preparación de binario `date` malicioso en `$HOME/.local/bin` (planting binario)"," interceptando ejecución desde cron y obteniendo root shell :contentReference[oaicite:10]{index=10} \n"],"learning_objectives":"
- Explotación de IA para filtrar subdominio admin19-32.securitron.thl y API-Key ‘imagine-no-heaven-no-countries-no-possessions’ :contentReference[oaicite:1]{index=1}
- SQLi automatizado usando sqlmap contra formulario de login en Admin/login.php y extracción de credenciales sin hash :contentReference[oaicite:2]{index=2}
- Upload de PHP reverse shell (renombrada avatar.php.png a avatar.php) via funcionalidad de avatar en la app web para obtener shell :contentReference[oaicite:3]{index=3}
- Descubrimiento de puerto 3000 y endpoint API JSON accedido localmente mediante curl y Node.js integrado :contentReference[oaicite:4]{index=4}
- Acceso a endpoints /api/models usando la API-Key filtrada
- listando y descargando modelos GGUF :contentReference[oaicite:5]{index=5}
- Lectura remota de archivos sensibles (index.js
- user.txt) mediante path traversal desde API vulnerable + API-Key
- obteniendo flag y credenciales de securitybot :contentReference[oaicite:6]{index=6}
- Escalada a securitybot usando la credencial obtenida :contentReference[oaicite:7]{index=7}
- Uso de sudo para ejecutar binario ar según documentación GTFOBins
- permitiendo extracción de archivos root :contentReference[oaicite:8]{index=8}
- Lateral movement mediante análisis de crontab de root: despliegue de script backup_bd.sh que ejecuta date sin path absoluto :contentReference[oaicite:9]{index=9}
- Preparación de binario date malicioso en $HOME/.local/bin (planting binario)
- interceptando ejecución desde cron y obteniendo root shell :contentReference[oaicite:10]{index=10}
SINPLOMO98
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/sinplomo98.png","level":"AVANZADO","certifications":["eWPT","eWPTXv2","OSCP","eCPPTv3","OSWE","OSEP"],"techniques":["- Identificación de vulnerabilidad Server-Side Template Injection (SSTI) en web mediante operación aritmética entre corchetes :contentReference[oaicite:1]{index=1} \n- Ejecución de reverse shell vía payload de SSTI usando “PayloadAllTheThings” :contentReference[oaicite:2]{index=2} \n- Verificación de pertenencia del usuario a grupo `disk` y exploración de privilegios de lectura/escritura :contentReference[oaicite:3]{index=3} \n- Lectura de fichero `id_rsa` de root (con permisos de disco)"," extracción de hash y crackeo de passphrase con **John** :contentReference[oaicite:4]{index=4} \n- Ajuste de permisos al fichero (`chmod 600`) y uso directo de la clave para escalar a root :contentReference[oaicite:5]{index=5} "],"learning_objectives":"
- Identificación de vulnerabilidad Server-Side Template Injection (SSTI) en web mediante operación aritmética entre corchetes :contentReference[oaicite:1]{index=1}
- Ejecución de reverse shell vía payload de SSTI usando “PayloadAllTheThings” :contentReference[oaicite:2]{index=2}
- Verificación de pertenencia del usuario a grupo disk y exploración de privilegios de lectura/escritura :contentReference[oaicite:3]{index=3}
- Lectura de fichero id_rsa de root (con permisos de disco)
- extracción de hash y crackeo de passphrase con John :contentReference[oaicite:4]{index=4}
- Ajuste de permisos al fichero (chmod 600) y uso directo de la clave para escalar a root :contentReference[oaicite:5]{index=5}
STATUE
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/statue.png","level":"PRINCIPIANTE","certifications":["eWPT","eWPTXv2","OSCP","eCPPTv3","OSWE","OSEP"],"techniques":["- Fuzzing web para descubrir panel oculto `/admin`\n- Extracción de credenciales desde `README.md` con 17 capas Base64\n- Explotación de vulnerabilidad web (**CVE-2024-43042**) para RCE\n- Carga de reverse shell empaquetada en ZIP como módulo/plugin\n- Acceso inicial como `www-data` mediante ejecución de payload\n- Decodificación de credenciales (7 capas Base64 + Playfair) para acceso a `charles`\n- Uso de credenciales descubiertas para escalar a usuario `charles`\n- Análisis de binario con `strings` para extraer credenciales embebidas\n- Identificación de `python3.12` con bit SUID\n- Abuso de SUID Python vía **GTFOBins** para obtener root"],"learning_objectives":"
- Fuzzing web para descubrir panel oculto /admin
- Extracción de credenciales desde README.md con 17 capas Base64
- Explotación de vulnerabilidad web (CVE-2024-43042) para RCE
- Carga de reverse shell empaquetada en ZIP como módulo/plugin
- Acceso inicial como www-data mediante ejecución de payload
- Decodificación de credenciales (7 capas Base64 + Playfair) para acceso a charles
- Uso de credenciales descubiertas para escalar a usuario charles
- Análisis de binario con strings para extraer credenciales embebidas
- Identificación de python3.12 con bit SUID
- Abuso de SUID Python vía GTFOBins para obtener root
TEMPLO
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/templo.png","level":"PRINCIPIANTE","certifications":["OSCP","eWPT","eCPPTv3"],"techniques":["- LFI (Local File Inclusion)\n- Subida de webshell PHP (PentestMonkey)\n- Decodificación ROT13 de nombres de archivo\n- Descarga y crackeo de backup.zip protegido por contraseña (John)\n- Acceso con credenciales obtenidas\n- Abuso de privilegio LXD para obtener root"],"learning_objectives":"
- LFI (Local File Inclusion)
- Subida de webshell PHP (PentestMonkey)
- Decodificación ROT13 de nombres de archivo
- Descarga y crackeo de backup.zip protegido por contraseña (John)
- Acceso con credenciales obtenidas
- Abuso de privilegio LXD para obtener root
THEFIRSTAVENGER
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/thefirstavenger.png","level":"PRINCIPIANTE","certifications":["eWPT","eWPTXv2","OSCP","eCPPTv3","OSWE"],"techniques":["- Identificación de instalación de WordPress mediante fuzzing web\n- Explotación de vulnerabilidad LFI detectada con WPScan para extraer credenciales (usuario 'admin')\n- Fuerza bruta contra WordPress usando RockYou y acceso exitoso\n- Uso de Wordpwn para empaquetar una reverse shell (“zip como plugin”)"," subida y activación para obtener shell\n- Extracción de credenciales de base de datos desde `wp-config.php` y acceso al contenido de la tabla `avengers` con hashes MD5\n- Decodificación de hash MD5 (“Steve”) en crackstation y acceso SSH inicial como usuario válido\n- Configuración de port-forwarding sobre SSH para redirigir el puerto 7092 localmente y acceder al servicio en localhost\n- Identificación de vulnerabilidad SSTI (Server-Side Template Injection) en servicio local\n- Ejecución de payload SSTI en Jinja2 para abrir reverse shell remota "],"learning_objectives":"
- Identificación de instalación de WordPress mediante fuzzing web
- Explotación de vulnerabilidad LFI detectada con WPScan para extraer credenciales (usuario 'admin')
- Fuerza bruta contra WordPress usando RockYou y acceso exitoso
- Uso de Wordpwn para empaquetar una reverse shell (“zip como plugin”)
- subida y activación para obtener shell
- Extracción de credenciales de base de datos desde wp-config.php y acceso al contenido de la tabla avengers con hashes MD5
- Decodificación de hash MD5 (“Steve”) en crackstation y acceso SSH inicial como usuario válido
- Configuración de port-forwarding sobre SSH para redirigir el puerto 7092 localmente y acceder al servicio en localhost
- Identificación de vulnerabilidad SSTI (Server-Side Template Injection) en servicio local
- Ejecución de payload SSTI en Jinja2 para abrir reverse shell remota
THLCPPT_V16
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/thlcppt_v16.png","level":"EXPERTO","certifications":["eJPT","OSCP","eCPPTv3","eWPT"],"techniques":["- Explotación de SQL Injection (basada en tiempo) en el plugin My Calendar (WordPress REST API) para extraer base de datos"," usuarios y hashes.\n- Crackeo de contraseñas con John para obtener acceso web como usuario `tom`"," lo que permite autenticación en panel WordPress.\n- Uso de filtro PHP (`php://filter` + WrapWrap) para leer archivos sensibles (`/etc/passwd`"," `wp-config.php`) y descubrir credenciales SSH de los usuarios `tom`"," `rafael` y `jerry`.\n- Conexión remota vía SSH con las credenciales descubiertas y extracción de contraseña de `jerry` mediante decodificación ROT13 de archivo `.dll`.\n- Acceso a máquina `rafael` usando VPN (Ligolo-NG) configurada con WireGuard y pivoting hacia nueva red interna para llegar a usuario `jerry`.\n- Enumeración local como `jerry`"," abusando de configuración APT Pre-Invoke para asignar SUID a Bash e incrementar privilegios.\n- Conexión a la máquina host con credenciales de `jerry` y exploit mediante `nginx` con permisos sudo"," inyectando clave SSH en `authorized_keys` para obtener acceso root completo."],"learning_objectives":"
- Explotación de SQL Injection (basada en tiempo) en el plugin My Calendar (WordPress REST API) para extraer base de datos
- usuarios y hashes.
- Crackeo de contraseñas con John para obtener acceso web como usuario tom
- lo que permite autenticación en panel WordPress.
- Uso de filtro PHP (php://filter + WrapWrap) para leer archivos sensibles (/etc/passwd
- wp-config.php) y descubrir credenciales SSH de los usuarios tom
- rafael y jerry.
- Conexión remota vía SSH con las credenciales descubiertas y extracción de contraseña de jerry mediante decodificación ROT13 de archivo .dll.
- Acceso a máquina rafael usando VPN (Ligolo-NG) configurada con WireGuard y pivoting hacia nueva red interna para llegar a usuario jerry.
- Enumeración local como jerry
- abusando de configuración APT Pre-Invoke para asignar SUID a Bash e incrementar privilegios.
- Conexión a la máquina host con credenciales de jerry y exploit mediante nginx con permisos sudo
- inyectando clave SSH en authorized_keys para obtener acceso root completo.
TOKEN OF LOVE
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/token_of_love.png","level":"PROFESIONAL","certifications":["eCPPTv3","eCPTXv2","OSCP","eWPT","eWPTXv2","OSWE"],"techniques":["- Enumeración del entorno web y operación exitosa como usuario inicial\n- Descubrimiento de pista oculta en IPFS que revela la clave privada para manipular JWT\n- Manipulación del token JWT para escalar privilegios dentro de la aplicación\n- Explotación de vulnerabilidades en la lógica Node.js para lograr ejecución remota de código (RCE)\n- Escalada de privilegios local mediante abuso de `sudo tee` junto con vulnerabilidad de comodines en `rsync`\n- Obtención de privilegios root de manera efectiva "],"learning_objectives":"
- Enumeración del entorno web y operación exitosa como usuario inicial
- Descubrimiento de pista oculta en IPFS que revela la clave privada para manipular JWT
- Manipulación del token JWT para escalar privilegios dentro de la aplicación
- Explotación de vulnerabilidades en la lógica Node.js para lograr ejecución remota de código (RCE)
- Escalada de privilegios local mediante abuso de sudo tee junto con vulnerabilidad de comodines en rsync
- Obtención de privilegios root de manera efectiva
TORRIJAS
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/torrijas.png","level":"PRINCIPIANTE","certifications":["eJPT","eWPT","OSCP","eWPTXv2","eCPPTv3","OSWE"],"techniques":["- Enumeración del sitio web con WordPress y detección de plugin vulnerable (`web-directory-free`) que permite enumerar usuarios \n- Acceso SSH mediante fuerza bruta con Hydra"," obteniendo credenciales del usuario `premo` \n- Descubrimiento de credenciales de base de datos en `wp-config.php` \n- Acceso a la base de datos MariaDB y extracción de credenciales en texto plano para el usuario `primo` \n- Escalada de privilegios mediante abuso de `sudo -l`: el usuario `primo` puede ejecutar `/usr/bin/bpftrace` sin contraseña \n- Ejecución de `bpftrace` para obtener shell con privilegios de root (según GTFOBins) "],"learning_objectives":"
- Enumeración del sitio web con WordPress y detección de plugin vulnerable (web-directory-free) que permite enumerar usuarios
- Acceso SSH mediante fuerza bruta con Hydra
- obteniendo credenciales del usuario premo
- Descubrimiento de credenciales de base de datos en wp-config.php
- Acceso a la base de datos MariaDB y extracción de credenciales en texto plano para el usuario primo
- Escalada de privilegios mediante abuso de sudo -l: el usuario primo puede ejecutar /usr/bin/bpftrace sin contraseña
- Ejecución de bpftrace para obtener shell con privilegios de root (según GTFOBins)
WEBOS
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/webos.png","level":"AVANZADO","certifications":["OSCP","eWPT","eWPTXv2","OSWE"],"techniques":["- Fuerza bruta SMB (Medusa)\n- Decodificación Brainfuck para obtener credenciales\n- Modificación de /etc/hosts\n- Fuerza bruta de directorios (admin)\n- Explotación Grav CMS (CVE-2024-28116) – Authenticated SSTI con sandbox bypass\n- Obtención de id_rsa y crackeo de passphrase\n- Abuso de capability de Python para ejecutar comandos como root"],"learning_objectives":"
- Fuerza bruta SMB (Medusa)
- Decodificación Brainfuck para obtener credenciales
- Modificación de /etc/hosts
- Fuerza bruta de directorios (admin)
- Explotación Grav CMS (CVE-2024-28116) – Authenticated SSTI con sandbox bypass
- Obtención de id_rsa y crackeo de passphrase
- Abuso de capability de Python para ejecutar comandos como root
SHADOWGATE
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/shadowgate.png","level":"AVANZADO","certifications":["eCPPTv3","eCPTXv2","OSCP","eWPT","eWPTXv2","OSWE"],"techniques":["- Enumeración inicial de servicios: SSH (22)"," HTTP (8080) y servicio personalizado en 56789 \n- Fuzzing web para descubrir ruta `/login`; detección de requisitos de método HTTP específico \n- Conexión al servicio Shadow Gate (puerto 56789) enviando “n0cturne” para recibir valores codificados \n- Análisis de cadenas Base64: decodificación del primer valor para obtener semilla (seed)"," aplicación de SHA-256 como clave AES"," decodificación de bloques cifrados para extraer el patrón `v4u1tgx9` \n- Uso de `v4u1tgx9` como usuario en login vía POST"," captura del token `X-Shadow-MFA` y descubrimiento del endpoint `/verify` \n- Validación HTTP de usuario + token que provoca cambios en el servicio"," obteniendo credenciales SSH (`mars` / `sshpassword123`) \n- Acceso SSH como `mars` y exploración del sistema: identificación de script local (`shadow-client.py`) que inicia REPL Python en localhost:4444 \n- Conexión a REPL desde la máquina víctima y ejecución de código Python arbitrario para abrir reverse shell remota con privilegios root \n- Obtención de acceso root y extracción del flag final "],"learning_objectives":"
- Enumeración inicial de servicios: SSH (22)
- HTTP (8080) y servicio personalizado en 56789
- Fuzzing web para descubrir ruta /login
- detección de requisitos de método HTTP específico
- Conexión al servicio Shadow Gate (puerto 56789) enviando “n0cturne” para recibir valores codificados
- Análisis de cadenas Base64: decodificación del primer valor para obtener semilla (seed)
- aplicación de SHA-256 como clave AES
- decodificación de bloques cifrados para extraer el patrón v4u1tgx9
- Uso de v4u1tgx9 como usuario en login vía POST
- captura del token X-Shadow-MFA y descubrimiento del endpoint /verify
- Validación HTTP de usuario + token que provoca cambios en el servicio
- obteniendo credenciales SSH (mars / sshpassword123)
- Acceso SSH como mars y exploración del sistema: identificación de script local (shadow-client.py) que inicia REPL Python en localhost:4444
- Conexión a REPL desde la máquina víctima y ejecución de código Python arbitrario para abrir reverse shell remota con privilegios root
- Obtención de acceso root y extracción del flag final
BOCATA DE ATÚN
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/bocata_de_at_n.png","level":"PRINCIPIANTE","certifications":["eWPT","eWPTXv2","OSCP","eCPPTv3","OSWE","OSEP"],"techniques":["- Enumeración web con Gobuster \n- Análisis de nombres en hexadecimal \n- Esteganografía con stegseek y exiftool \n- Explotación de vulnerabilidad IDOR \n- OSINT en personajes de series (The Walking Dead) \n- Revisión de metadatos de imágenes \n- Uso de Google Dorks para cámaras Axis "],"learning_objectives":"
- Enumeración web con Gobuster
- Análisis de nombres en hexadecimal
- Esteganografía con stegseek y exiftool
- Explotación de vulnerabilidad IDOR
- OSINT en personajes de series (The Walking Dead)
- Revisión de metadatos de imágenes
- Uso de Google Dorks para cámaras Axis
CURIOSITY3
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/curiosity3.png","level":"PROFESIONAL","certifications":["OSCP","eCPPTv3","eCPTXv2"],"techniques":["- Enumeración de servicios en entorno Windows/Active Directory (SMB"," LDAP"," Kerberos"," WinRM"," RPC)\n- Enumeración de superficie web sobre IIS y análisis de métodos HTTP potencialmente inseguros (TRACE)\n- Fuzzing de directorios y recursos web mediante feroxbuster utilizando wordlists (SecLists)\n- Identificación de directorio expuesto y habilitado para listing (/logs/)\n- Exposición de información sensible (credenciales en texto plano) a través de archivo accesible públicamente\n- Acceso inicial mediante autenticación remota vía WinRM utilizando credenciales válidas (Evil-WinRM)\n- Enumeración interna del sistema y usuarios mediante comandos nativos de Windows\n- Validación y reutilización de credenciales mediante técnicas de fuerza bruta/credential spraying (CrackMapExec)\n- Movimiento lateral entre cuentas del dominio (pivoting entre usuarios)\n- Transferencia de herramientas mediante utilidades nativas del sistema (LOLBins - certutil)\n- Enumeración de vectores de escalada de privilegios mediante PowerUp (PowerSploit)\n- Identificación de configuraciones inseguras en servicios (AutoRun Registry - FileZilla Server)\n- Abuso de permisos sobre rutas y binarios asociados a servicios (Service/Binary Hijacking)\n- Generación de payload malicioso (reverse shell Meterpreter) mediante msfvenom\n- Configuración de listener y gestión de sesión mediante Metasploit Framework (multi/handler)\n- Sustitución de binario legítimo por payload malicioso en servicio vulnerable\n- Reinicio del servicio para ejecución del payload con privilegios elevados\n- Escalada de privilegios a NT AUTHORITY\\SYSTEM mediante ejecución de servicio comprometido"],"learning_objectives":"
- Enumeración de servicios en entorno Windows/Active Directory (SMB
- LDAP
- Kerberos
- WinRM
- RPC)
- Enumeración de superficie web sobre IIS y análisis de métodos HTTP potencialmente inseguros (TRACE)
- Fuzzing de directorios y recursos web mediante feroxbuster utilizando wordlists (SecLists)
- Identificación de directorio expuesto y habilitado para listing (/logs/)
- Exposición de información sensible (credenciales en texto plano) a través de archivo accesible públicamente
- Acceso inicial mediante autenticación remota vía WinRM utilizando credenciales válidas (Evil-WinRM)
- Enumeración interna del sistema y usuarios mediante comandos nativos de Windows
- Validación y reutilización de credenciales mediante técnicas de fuerza bruta/credential spraying (CrackMapExec)
- Movimiento lateral entre cuentas del dominio (pivoting entre usuarios)
- Transferencia de herramientas mediante utilidades nativas del sistema (LOLBins - certutil)
- Enumeración de vectores de escalada de privilegios mediante PowerUp (PowerSploit)
- Identificación de configuraciones inseguras en servicios (AutoRun Registry - FileZilla Server)
- Abuso de permisos sobre rutas y binarios asociados a servicios (Service/Binary Hijacking)
- Generación de payload malicioso (reverse shell Meterpreter) mediante msfvenom
- Configuración de listener y gestión de sesión mediante Metasploit Framework (multi/handler)
- Sustitución de binario legítimo por payload malicioso en servicio vulnerable
- Reinicio del servicio para ejecución del payload con privilegios elevados
- Escalada de privilegios a NT AUTHORITY\\SYSTEM mediante ejecución de servicio comprometido
ACEITUNA BRAVA
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/aceituna.png","level":"EXPERTO","certifications":["eJPT","OSCP","eCPPTv3","eWPT","OSEP","OSED (por la parte de explotación de binarios y ROP)"],"techniques":["- Enumeración de aplicación web vulnerable (Chamilo LMS – CVE-2023-4220) \n- Subida de archivos maliciosos mediante bypass de validaciones (file upload) \n- Acceso a configuración sensible y extracción de credenciales (config files"," DB dumps) \n- Cracking de contraseñas con reglas específicas (hashcat + diccionarios filtrados) \n- Acceso inicial vía SSH con credenciales válidas \n- Resolución de reto criptográfico con Z3 solver (constraint solving para recuperar password) \n- Uso de proxy local (Squid) para descubrir servicios internos ocultos \n- Análisis de binario y explotación de Buffer Overflow con ROP chain \n- Escalada de privilegios con binario autorizado en sudo \n- Desencriptado de archivo protegido con PBKDF2 + Fernet (AES + HMAC-SHA256) "],"learning_objectives":"
- Enumeración de aplicación web vulnerable (Chamilo LMS – CVE-2023-4220)
- Subida de archivos maliciosos mediante bypass de validaciones (file upload)
- Acceso a configuración sensible y extracción de credenciales (config files
- DB dumps)
- Cracking de contraseñas con reglas específicas (hashcat + diccionarios filtrados)
- Acceso inicial vía SSH con credenciales válidas
- Resolución de reto criptográfico con Z3 solver (constraint solving para recuperar password)
- Uso de proxy local (Squid) para descubrir servicios internos ocultos
- Análisis de binario y explotación de Buffer Overflow con ROP chain
- Escalada de privilegios con binario autorizado en sudo
- Desencriptado de archivo protegido con PBKDF2 + Fernet (AES + HMAC-SHA256)
MERCHAN
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/merchan.png","level":"AVANZADO","certifications":["eJPT","OSCP","eCPPTv3","eWPT","OSEP"],"techniques":["- Escaneo de puertos y servicios (Nmap con detección de versiones) \n- Fuzzing de subdominios y directorios web (ffuf"," feroxbuster) \n- Análisis de código ofuscado en JavaScript para descubrir rutas ocultas \n- Bypass de restricciones HTTP (403) mediante encabezados y variantes de URL \n- Vulnerabilidad de inclusión / lectura de archivos (LFI → file read) \n- Enumeración de credenciales y fuerza bruta de contraseñas con diccionarios \n- Acceso inicial vía servicio expuesto con credenciales válidas \n- Escalada de privilegios mediante abuso de configuración de apt (APT::Pre-Invoke → asignación SUID a binario) "],"learning_objectives":"
- Escaneo de puertos y servicios (Nmap con detección de versiones)
- Fuzzing de subdominios y directorios web (ffuf
- feroxbuster)
- Análisis de código ofuscado en JavaScript para descubrir rutas ocultas
- Bypass de restricciones HTTP (403) mediante encabezados y variantes de URL
- Vulnerabilidad de inclusión / lectura de archivos (LFI → file read)
- Enumeración de credenciales y fuerza bruta de contraseñas con diccionarios
- Acceso inicial vía servicio expuesto con credenciales válidas
- Escalada de privilegios mediante abuso de configuración de apt (APT::Pre-Invoke → asignación SUID a binario)
WATCHSTORE
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/wachtsote.png","level":"PRINCIPIANTE","certifications":["eCPPTv3","eCPTXv2","OSCP","eWPT","eWPTXv2","OSWE"],"techniques":["- Enumeración web para descubrir rutas ocultas como `/console`"," `/read` y `/products`\n- Detección de vulnerabilidad de Inclusión Local de Archivos (LFI)"," aprovechada para extraer un PIN desde los registros del servidor\n- Uso del PIN para desbloquear `/console` y lograr ejecución remota de código (RCE)\n- Escalada de privilegios a root mediante abuso de `neofetch` con sudo sin contraseña "],"learning_objectives":"
- Enumeración web para descubrir rutas ocultas como /console
- /read y /products
- Detección de vulnerabilidad de Inclusión Local de Archivos (LFI)
- aprovechada para extraer un PIN desde los registros del servidor
- Uso del PIN para desbloquear /console y lograr ejecución remota de código (RCE)
- Escalada de privilegios a root mediante abuso de neofetch con sudo sin contraseña
PHISHING
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/phishing.png","level":"PRINCIPIANTE","certifications":["GCTI","GOSI","SEC504","CTIA (EC","Council)","Threat Intelligence Analyst (CompTIA)","SANS SEC488"],"techniques":["- Análisis de URL sospechosa con certificado SSL (reconocer que SSL no garantiza seguridad del contenido) \n- Identificación de subdominios poco descriptivos como indicador de posible actividad maliciosa \n- Verificación de URL en plataformas de análisis de amenazas (ej. VirusTotal) \n- Correlación de resultados de múltiples motores antivirus y reputación de dominios \n- Detección de indicadores de phishing en un sitio web "],"learning_objectives":"
- Análisis de URL sospechosa con certificado SSL (reconocer que SSL no garantiza seguridad del contenido)
- Identificación de subdominios poco descriptivos como indicador de posible actividad maliciosa
- Verificación de URL en plataformas de análisis de amenazas (ej. VirusTotal)
- Correlación de resultados de múltiples motores antivirus y reputación de dominios
- Detección de indicadores de phishing en un sitio web
SECURITRONA
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/securitrona.png","level":"AVANZADO","certifications":["eJPT","OSCP","eCPPTv3","OSEP"],"techniques":["- Explotación de path traversal en una aplicación web para acceder a ficheros internos\n- Obtención y crackeo de clave privada SSH para acceso al sistema\n- Abuso de binario con permisos SUID para obtener ejecución privilegiada "],"learning_objectives":"
- Explotación de path traversal en una aplicación web para acceder a ficheros internos
- Obtención y crackeo de clave privada SSH para acceso al sistema
- Abuso de binario con permisos SUID para obtener ejecución privilegiada
NODECEPTION
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/NodeCeption.jpg","level":"PRINCIPIANTE","certifications":["eJPT","OSCP","eCPPTv3","OSEP"],"techniques":["- Fuerza bruta contra el formulario de autenticación web (login.php) usando credenciales filtradas según política (mín. 8 caracteres"," número y mayúscula).\n- Acceso al panel web con usuario válido.\n- Explotación de instancia n8n para lograr ejecución remota de comandos (RCE) mediante la creación de un workflow que lanza una reverse shell.\n- Obtención de shell como usuario `thl` y mejora de entorno de terminal para mayor estabilidad.\n- Enumeración de permisos sudo (`sudo -l`) para identificar ejecución de `vi` sin contraseña.\n- Explotación de `vi` vía GTFOBins para obtener shell privilegiada (root)."],"learning_objectives":"
- Fuerza bruta contra el formulario de autenticación web (login.php) usando credenciales filtradas según política (mín. 8 caracteres
- número y mayúscula).
- Acceso al panel web con usuario válido.
- Explotación de instancia n8n para lograr ejecución remota de comandos (RCE) mediante la creación de un workflow que lanza una reverse shell.
- Obtención de shell como usuario thl y mejora de entorno de terminal para mayor estabilidad.
- Enumeración de permisos sudo (sudo -l) para identificar ejecución de vi sin contraseña.
- Explotación de vi vía GTFOBins para obtener shell privilegiada (root).
MENTALLITY
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/metality.jpg","level":"PROFESIONAL","certifications":["OSCP","eCPPTv3","OSEP","Active Directory"],"techniques":["- Reconocimiento del entorno web y descubrimiento de directorio `/admin/` con credenciales persistentes en JavaScript. \n- Acceso al panel administrativo y obtención de token base64 que revela credenciales de FTP (`ftpuser`). \n- Conexión FTP y descarga de archivo `PingCastle`"," que expone credenciales de `svcapp1`. \n- Enumeración de Active Directory Certificate Services (ADCS) usando las credenciales obtenidas. \n- Explotación de la vulnerabilidad ESC7 en ADCS: \n - Abuso del rol de Certificate Manager para autoaprobar un certificado SubCA. \n - Solicitud de certificado con identidad del Administrador. \n - Emisión y descarga del certificado (`administrator.pfx`). \n- Autenticación contra Active Directory utilizando PKINIT con el certificado de Administrador. \n- Extracción del hash NTLM del Administrador. \n- Escalada final: ejecución remota como Administrador mediante hash con PsExec. "],"learning_objectives":"
- Reconocimiento del entorno web y descubrimiento de directorio /admin/ con credenciales persistentes en JavaScript.
- Acceso al panel administrativo y obtención de token base64 que revela credenciales de FTP (ftpuser).
- Conexión FTP y descarga de archivo PingCastle
- que expone credenciales de svcapp1.
- Enumeración de Active Directory Certificate Services (ADCS) usando las credenciales obtenidas.
- Explotación de la vulnerabilidad ESC7 en ADCS:
- Abuso del rol de Certificate Manager para autoaprobar un certificado SubCA.
- Solicitud de certificado con identidad del Administrador.
- Emisión y descarga del certificado (administrator.pfx).
- Autenticación contra Active Directory utilizando PKINIT con el certificado de Administrador.
- Extracción del hash NTLM del Administrador.
- Escalada final: ejecución remota como Administrador mediante hash con PsExec.
DRAGON
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/dragon.png","level":"PRINCIPIANTE","certifications":["eCPPTv3","OSCP","eWPT","eWPTXv2","OSWE"],"techniques":["- Enumeración web identificando directorio `/secret` con pistas sobre nombre de usuario\n- Fuerza bruta SSH sobre el usuario identificado (`dragon`) para acceso inicial\n- Escalada de privilegios aprovechando `vim` con sudo sin contraseña para ejecutar shell como root "],"learning_objectives":"
- Enumeración web identificando directorio /secret con pistas sobre nombre de usuario
- Fuerza bruta SSH sobre el usuario identificado (dragon) para acceso inicial
- Escalada de privilegios aprovechando vim con sudo sin contraseña para ejecutar shell como root
PA QUE AIGA LUJO
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/lujo.png","level":"AVANZADO","certifications":["eJPT","OSCP","eCPPTv3","eWPT","OSEP"],"techniques":["- Escaneo completo de puertos y detección de servicios con Nmap \n- Enumeración de directorios y recursos web ocultos (dirsearch"," feroxbuster) \n- Descubrimiento de información desde nombres o datos visibles (OSINT interno) \n- Exploración del entorno local en contenedores / red interna (fscan → IPs internas detectadas) \n- Explotación de vulnerabilidad Drupal **CVE-2018-7600** (Drupalgeddon2) para ejecución remota de código (RCE) \n- Uso de shell remota (bind/reverse shell) para obtener acceso inicial \n- Identificación de binarios SUID modificables o reemplazables para escalada de privilegios (root) "],"learning_objectives":"
- Escaneo completo de puertos y detección de servicios con Nmap
- Enumeración de directorios y recursos web ocultos (dirsearch
- feroxbuster)
- Descubrimiento de información desde nombres o datos visibles (OSINT interno)
- Exploración del entorno local en contenedores / red interna (fscan → IPs internas detectadas)
- Explotación de vulnerabilidad Drupal CVE-2018-7600 (Drupalgeddon2) para ejecución remota de código (RCE)
- Uso de shell remota (bind/reverse shell) para obtener acceso inicial
- Identificación de binarios SUID modificables o reemplazables para escalada de privilegios (root)
MR. ROBOTS
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/mrrobots.png","level":"EXPERTO","certifications":["eJPT","OSCP","eCPPTv3","eWPT","OSEP","Active Directory (track o especialización en AD)"],"techniques":["- Escaneo y enumeración de puertos con Nmap \n- Fuzzing web para localizar panel oculto \n- Inyección LaTeX para lectura de ficheros \n- Obtención de hashes y credenciales desde archivos y servicios \n- Uso de herramientas de cracking (John"," base64"," etc.) \n- Port forwarding para acceder a servicios internos \n- Explotación de vulnerabilidad de serialización para RCE \n- Escalada de privilegios mediante binarios con sudo (GTFOBins) \n- Análisis de imagen de disco y extracción de credenciales útiles \n- Enumeración y análisis en Active Directory con BloodHound \n- Abuso de permisos GenericAll para añadirse a grupos (AddSelf) \n- Reseteo de contraseñas de usuarios privilegiados (ForceChangePassword) \n- Reversing de binarios y abuso de DLL hijacking para obtener shell \n- Escalada a usuarios con más privilegios mediante credenciales filtradas \n- Dump de hashes con técnicas tipo DCSync (Impacket secretsdump) \n- Pass-The-Hash para autenticarse como Administrador de dominio "],"learning_objectives":"
- Escaneo y enumeración de puertos con Nmap
- Fuzzing web para localizar panel oculto
- Inyección LaTeX para lectura de ficheros
- Obtención de hashes y credenciales desde archivos y servicios
- Uso de herramientas de cracking (John
- base64
- etc.)
- Port forwarding para acceder a servicios internos
- Explotación de vulnerabilidad de serialización para RCE
- Escalada de privilegios mediante binarios con sudo (GTFOBins)
- Análisis de imagen de disco y extracción de credenciales útiles
- Enumeración y análisis en Active Directory con BloodHound
- Abuso de permisos GenericAll para añadirse a grupos (AddSelf)
- Reseteo de contraseñas de usuarios privilegiados (ForceChangePassword)
- Reversing de binarios y abuso de DLL hijacking para obtener shell
- Escalada a usuarios con más privilegios mediante credenciales filtradas
- Dump de hashes con técnicas tipo DCSync (Impacket secretsdump)
- Pass-The-Hash para autenticarse como Administrador de dominio
PATATA MAGICA
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/patatamagica.png","level":"PRINCIPIANTE","certifications":["eJPT","OSCP","eCPPTv3","eWPT","OSEP","Active Directory (especialización)"],"techniques":["- Subida de archivos y bypass de restricciones \n- Local File Inclusion (LFI) \n- Reverse shell vía web \n- Escalada de privilegios con exploit local en Windows \n- Conexión estable mediante WinRM \n- Gestión de usuarios privilegiados en el sistema "],"learning_objectives":"
- Subida de archivos y bypass de restricciones
- Local File Inclusion (LFI)
- Reverse shell vía web
- Escalada de privilegios con exploit local en Windows
- Conexión estable mediante WinRM
- Gestión de usuarios privilegiados en el sistema
TORTUGA
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/tortuga.png","level":"PRINCIPIANTE","certifications":["OSCP","eJPT","OSWA","OSEP","CRTP"],"techniques":["- Escaneo y enumeración de servicios con Nmap para identificar puertos abiertos (SSH"," HTTP) y versiones de software.\n- Enumeración de directorios y fuzzing web (ffuf feroxbuster...)\n- Descubrimiento de un parámetro oculto con fuzzing\n- Local File Inclusion (LFI)\n- Abuso de capabilities en el binario python3.11"],"learning_objectives":"
- Escaneo y enumeración de servicios con Nmap para identificar puertos abiertos (SSH
- HTTP) y versiones de software.
- Enumeración de directorios y fuzzing web (ffuf feroxbuster...)
- Descubrimiento de un parámetro oculto con fuzzing
- Local File Inclusion (LFI)
- Abuso de capabilities en el binario python3.11
Sulaco
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/sulaco.jpg","level":"AVANZADO","certifications":["OSCP","eJPT","OSWA","OSEP","PNPT","CRTP","eWPT"],"techniques":["- Enumeración de directorios y fuzzing web (ffuf"," feroxbuster) \n- Revisión de robots.txt \n- Acceso a panel de administración descubierto vía fuzzing \n- Manipulación de cookies / generación de nonce aleatorio (openssl rand -hex 16) \n- Uso de tokens dinámicos (ID en notas) para autenticación y extracción de flags"],"learning_objectives":"
- Enumeración de directorios y fuzzing web (ffuf
- feroxbuster)
- Revisión de robots.txt
- Acceso a panel de administración descubierto vía fuzzing
- Manipulación de cookies / generación de nonce aleatorio (openssl rand -hex 16)
- Uso de tokens dinámicos (ID en notas) para autenticación y extracción de flags
LavaShop
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/lavashop.jpg","level":"PRINCIPIANTE","certifications":["OSCP","eJPT","OSWA","OSEP","PNPT","CRTP","eWPT"],"techniques":["- Enumeración web inicial (reconocimiento de la web en http://lavashop.thl). \n- Búsqueda de LFI (Local File Inclusion) usando el parámetro `page=products&file=...` para leer `/etc/passwd` y otros ficheros. \n- Intento / evaluación de Log Poisoning (determinación de protección/mitigación). \n- Enumeración de procesos mediante lectura de `/proc/
- Enumeración web inicial (reconocimiento de la web en http://lavashop.thl).
- Búsqueda de LFI (Local File Inclusion) usando el parámetro page=products&file=... para leer /etc/passwd y otros ficheros.
- Intento / evaluación de Log Poisoning (determinación de protección/mitigación).
- Enumeración de procesos mediante lectura de /proc/<pid>/cmdline (script automatizado con curl para iterar PIDs).
- Identificación de gdbserver corriendo en la máquina objetivo.
- Investigación del vector de depuración remoto y su explotabilidad (uso de gdbserver como vector).
- Generación de payload ELF reverse shell con msfvenom (linux/x64 shell_reverse_tcp).
- Conexión a gdbserver remoto usando GDB local (target extended-remote).
- Transferencia del binario al host remoto vía comandos remotos de GDB (remote put) y configuración con set remote exec-file.
- Ejecución remota del binario desde la sesión GDB (run) para lanzar la reverse shell.
- Recepción de la reverse shell en el atacante (listener con nc) y post-explotación: extracción de variables/archivos sensibles (por ejemplo /etc/environment para obtener ROOT_PASS).
- Post-explotación básica: enumeración de archivos sensibles y lectura de variables de entorno para escalar o mantener acceso.
THLPWN
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/thlpwn.png","level":"PRINCIPIANTE","certifications":["OSCP","eJPT","eCPPTv2","PNPT","GPEN","OSCE"],"techniques":["- Alta de vhost en /etc/hosts (virtual hosting)\n- Fuzzing / exploración del panel web / API\n- Descubrimiento de credenciales en archivos públicos (Downloads / ficheros)\n- Acceso SSH con credenciales descubiertas\n- Enumeración local (sudo -l)\n- Abuso de sudo NOPASSWD para /bin/bash (escalada a root)\n- Extracción de flags (user/root)"],"learning_objectives":"
- Alta de vhost en /etc/hosts (virtual hosting)
- Fuzzing / exploración del panel web / API
- Descubrimiento de credenciales en archivos públicos (Downloads / ficheros)
- Acceso SSH con credenciales descubiertas
- Enumeración local (sudo -l)
- Abuso de sudo NOPASSWD para /bin/bash (escalada a root)
- Extracción de flags (user/root)
ZAPP
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/ZAPP.png","level":"PRINCIPIANTE","certifications":["OSCP","eJPT","eCPPTv2","PNPT","OSWE","OSCE"],"techniques":["- Escaneo de puertos con Nmap (TCP SYN"," scripts y versión"," sin DNS) — `nmap -sSCV -n -p21","22","80`\n- Acceso anónimo a FTP y enumeración de ficheros — login `anonymous`"," listado de `login.txt` y `secret.txt`\n- Fuzzing / enumeración de directorios web (ffuf) — descubrimiento de `dorset` y `waterloo`\n- Decodificación de cadenas Base64 en el código fuente — pista en Base64 para progresar\n- Cracking de RAR protegido (rar2john + John the Ripper) — `rar2john ./Sup3rP4ss.rar` → `john --wordlist`\n- Fuerza bruta SSH (tentativa con Hydra) — intentos fallidos documentados\n- Abuso de privilegios en sudoers (binario `zsh`) / GTFOBins — `sudo zsh` para root"],"learning_objectives":"
- Escaneo de puertos con Nmap (TCP SYN
- scripts y versión
- sin DNS) — nmap -sSCV -n -p21<br>- 22<br>- 80
- Acceso anónimo a FTP y enumeración de ficheros — login anonymous
- listado de login.txt y secret.txt
- Fuzzing / enumeración de directorios web (ffuf) — descubrimiento de dorset y waterloo
- Decodificación de cadenas Base64 en el código fuente — pista en Base64 para progresar
- Cracking de RAR protegido (rar2john + John the Ripper) — rar2john ./Sup3rP4ss.rar → john --wordlist
- Fuerza bruta SSH (tentativa con Hydra) — intentos fallidos documentados
- Abuso de privilegios en sudoers (binario zsh) / GTFOBins — sudo zsh para root
El Topo DNS
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/TOPO.png","level":"PRINCIPIANTE","certifications":["eJPT","eCPPTv2","PNPT","OSCE"],"techniques":["- Análisis de logs web — correlación de `GET/POST` para identificar punto de entrada (`upload.php`)\n- Detección de beaconing y exfiltración por DNS — consultas `1.beacon.c2.eltopo.thl` y subdominios `*.data.eltopo.thl`\n- Movimiento lateral / pivoting vía FTP — autenticación `devuser:developer123` contra `10.0.0.50`\n- Exfiltración de archivo interno — robo de `client_database_backup.zip` por FTP"],"learning_objectives":"
- Análisis de logs web — correlación de GET/POST para identificar punto de entrada (upload.php)
- Detección de beaconing y exfiltración por DNS — consultas 1.beacon.c2.eltopo.thl y subdominios *.data.eltopo.thl
- Movimiento lateral / pivoting vía FTP — autenticación devuser:developer123 contra 10.0.0.50
- Exfiltración de archivo interno — robo de client_database_backup.zip por FTP
Operación Pescador
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/pescador.png","level":"AVANZADO","certifications":["eWPT","eWPTXv2","OSCP","eCPPTv3","OSWE","OSEP"],"techniques":["- Escaneo y enumeración de servicios con Nmap para identificar puertos abiertos (SSH"," HTTP) y versiones de software.\n- Manipulación de archivos de configuración locales (`/etc/hosts`) para resolver dominios internos no públicos.\n- Análisis de aplicaciones web para identificar formularios de recuperación de contraseña vulnerables a enumeración de usuarios.\n- Ataque de fuerza bruta dirigido (Hydra) contra servicios web utilizando diccionarios conocidos (rockyou.txt).\n- Intercepción y manipulación de tráfico HTTP (Burp Suite) para analizar respuestas y detectar diferencias sutiles (Oracle de usuario).\n- Extracción y análisis de metadatos (ExifTool) en archivos PDF y de imagen para obtener información oculta (usuarios"," software).\n- Explotación de vulnerabilidad de inyección de comandos (RCE) en scripts PHP mal configurados mediante parámetros URL.\n- Establecimiento de acceso inicial mediante Reverse Shell (Netcat / Penelope) y actualización a shell interactiva (PTY).\n- Enumeración local de archivos y permisos (SUID/SGID) para identificar vectores de escalada de privilegios.\n- Análisis de binarios y scripts personalizados (`get-report`) para encontrar credenciales o rutas inseguras en el sistema.\n- Escalada de privilegios mediante abuso de permisos de D-Bus y ejecución de métodos privilegiados."],"learning_objectives":"
- Escaneo y enumeración de servicios con Nmap para identificar puertos abiertos (SSH
- HTTP) y versiones de software.
- Manipulación de archivos de configuración locales (/etc/hosts) para resolver dominios internos no públicos.
- Análisis de aplicaciones web para identificar formularios de recuperación de contraseña vulnerables a enumeración de usuarios.
- Ataque de fuerza bruta dirigido (Hydra) contra servicios web utilizando diccionarios conocidos (rockyou.txt).
- Intercepción y manipulación de tráfico HTTP (Burp Suite) para analizar respuestas y detectar diferencias sutiles (Oracle de usuario).
- Extracción y análisis de metadatos (ExifTool) en archivos PDF y de imagen para obtener información oculta (usuarios
- software).
- Explotación de vulnerabilidad de inyección de comandos (RCE) en scripts PHP mal configurados mediante parámetros URL.
- Establecimiento de acceso inicial mediante Reverse Shell (Netcat / Penelope) y actualización a shell interactiva (PTY).
- Enumeración local de archivos y permisos (SUID/SGID) para identificar vectores de escalada de privilegios.
- Análisis de binarios y scripts personalizados (get-report) para encontrar credenciales o rutas inseguras en el sistema.
- Escalada de privilegios mediante abuso de permisos de D-Bus y ejecución de métodos privilegiados.
Nematodos
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/Nematodos.png","level":"AVANZADO","certifications":["eCIR","ECFPD","GCFA","CFCE","CCE","CHFI","CCFP"],"techniques":["- Análisis forense de tráfico de red (PCAP) para identificar hosts infectados y patrones de comunicación anómalos.\n- Identificación de direcciones IP y MAC de la víctima mediante el análisis de tráfico ARP y conexiones salientes.\n- Descubrimiento pasivo del Hostname y cuentas de usuario de Windows mediante inspección de protocolos NBNS"," LLMNR y Kerberos (TGS-REP).\n- Detección de dominios maliciosos y de *Typosquatting* mediante análisis de consultas DNS y tráfico HTTP/HTTPS.\n- Identificación de sitios web legítimos comprometidos utilizados como intermediarios o *redirectors* en la cadena de infección.\n- Análisis de tráfico cifrado (TLS/HTTPS) para detectar canales de Comando y Control (C2) y exfiltración de datos.\n- Correlación de indicadores de compromiso (IOCs) con inteligencia de amenazas (VirusTotal"," Urlscan.io) para confirmar la naturaleza del malware (NetSupport RAT).\n- Reconstrucción de la cadena de ataque"," desde la redirección inicial hasta la comunicación con el C2."],"learning_objectives":"
- Análisis forense de tráfico de red (PCAP) para identificar hosts infectados y patrones de comunicación anómalos.
- Identificación de direcciones IP y MAC de la víctima mediante el análisis de tráfico ARP y conexiones salientes.
- Descubrimiento pasivo del Hostname y cuentas de usuario de Windows mediante inspección de protocolos NBNS
- LLMNR y Kerberos (TGS-REP).
- Detección de dominios maliciosos y de Typosquatting mediante análisis de consultas DNS y tráfico HTTP/HTTPS.
- Identificación de sitios web legítimos comprometidos utilizados como intermediarios o redirectors en la cadena de infección.
- Análisis de tráfico cifrado (TLS/HTTPS) para detectar canales de Comando y Control (C2) y exfiltración de datos.
- Correlación de indicadores de compromiso (IOCs) con inteligencia de amenazas (VirusTotal
- Urlscan.io) para confirmar la naturaleza del malware (NetSupport RAT).
- Reconstrucción de la cadena de ataque
- desde la redirección inicial hasta la comunicación con el C2.
Cuento
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/cuento.jpg","level":"PROFESIONAL","certifications":["eWPT","eWPTxv2"],"techniques":["- Escaneo y enumeración de servicios con Nmap para identificar puertos abiertos (SSH"," HTTP) y versiones de software.\n- Enumeración de directorios y fuzzing web (ffuf"," feroxbuster...)\n- Credenciales predeterminadas vboxuser\n- Empleo del CVE-2024-23334 para explotar un LFI en aiohttp 3.9.1\n- Enumeración de servicios internos\n- Revisión de código Python\n- Command Injection"],"learning_objectives":"
- Escaneo y enumeración de servicios con Nmap para identificar puertos abiertos (SSH
- HTTP) y versiones de software.
- Enumeración de directorios y fuzzing web (ffuf
- feroxbuster...)
- Credenciales predeterminadas vboxuser
- Empleo del CVE-2024-23334 para explotar un LFI en aiohttp 3.9.1
- Enumeración de servicios internos
- Revisión de código Python
- Command Injection
Horizon
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/Horizon.png","level":"AVANZADO","certifications":[" "],"techniques":["- Estenografía de muestras de audios\n- Decodificación de texto oculto en morse\n- Descubrimiento de web oculta\n- OSINT para descubrir la contraseña\n- Análisis de logs internos"],"learning_objectives":"
- Estenografía de muestras de audios
- Decodificación de texto oculto en morse
- Descubrimiento de web oculta
- OSINT para descubrir la contraseña
- Análisis de logs internos
Brocoli
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/brocol.jpg","level":"PRINCIPIANTE","certifications":["eJPT"],"techniques":["- Escaneo y enumeración de servicios con Nmap para identificar puertos abiertos (SSH"," HTTP) y versiones de software.\n- Enumeración de directorios y fuzzing web (ffuf"," feroxbuster...) \n- Descubrimiento del parámetro cmd permitiendo una ejecución de comandos\n- Obtención de credenciales en el archivo credenciales.txt\n- Movimiento lateral al usuario brocolon mediante el abuso del permiso SUDOER en el binario find\n- Abuso del permiso SUDOER del binario java para escalar privilegios"],"learning_objectives":"
- Escaneo y enumeración de servicios con Nmap para identificar puertos abiertos (SSH
- HTTP) y versiones de software.
- Enumeración de directorios y fuzzing web (ffuf
- feroxbuster...)
- Descubrimiento del parámetro cmd permitiendo una ejecución de comandos
- Obtención de credenciales en el archivo credenciales.txt
- Movimiento lateral al usuario brocolon mediante el abuso del permiso SUDOER en el binario find
- Abuso del permiso SUDOER del binario java para escalar privilegios
Castor
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/castor.png","level":"PRINCIPIANTE","certifications":["eJPT","eWPT"],"techniques":["- Escaneo y enumeración de servicios con Nmap para identificar puertos abiertos (SSH"," HTTP) y versiones de software.\n- Enumeración de directorios y fuzzing web (ffuf"," feroxbuster...) \n- XXE en upload.php\n- Abuso de permisos SUDOERS en el binario sed"],"learning_objectives":"
- Escaneo y enumeración de servicios con Nmap para identificar puertos abiertos (SSH
- HTTP) y versiones de software.
- Enumeración de directorios y fuzzing web (ffuf
- feroxbuster...)
- XXE en upload.php
- Abuso de permisos SUDOERS en el binario sed
Ipeuveseis
","image_url":"https://labs.thehackerslabs.com/static/uploads/machines/ipv6.png","level":"EXPERTO","certifications":[" "],"techniques":["- Escaneo y enumeración de servicios con Nmap para identificar puertos abiertos y versiones de software\n- Fuerza bruta panel de autentificación\n- Log Poisoning -> RCE\n- Obtención de credenciales en los archivos de la aplicación web\n- Escapar del contenedor Docker\n- Abuso de sudoers en el binario ip"],"learning_objectives":"
- Escaneo y enumeración de servicios con Nmap para identificar puertos abiertos y versiones de software
- Fuerza bruta panel de autentificación
- Log Poisoning -> RCE
- Obtención de credenciales en los archivos de la aplicación web
- Escapar del contenedor Docker
- Abuso de sudoers en el binario ip