Análisis exhaustivo de las amenazas de seguridad en Large Language Models (LLMs), técnicas de ataque como prompt injection, y caso práctico del reto A.D.I.C. 7 del CyberH2O CTF.
Write-up de la tercera y última máquina del cyberchallenge de CyberH2O, un entorno industrial con SNMP, OPC UA, Node-RED y escalada de privilegios.
Write-up de la segunda máquina del cyberchallenge de CyberH2O, un entorno híbrido con contenedores Docker y escalada de privilegios vía Portainer.
Write-up del primer reto del cyberchallenge de CyberH2O, centrado en OSINT para localizar un PLC expuesto en un municipio específico.
Resolución completa de la máquina propuesta en el UPSA CTF 2020 (TryHackMe): explotación de LFI con wrappers PHP para leer código fuente, subida de webshell vía race condition en phpinfo() y envenenamiento de logs, y escalada a root abusando de un script setuid vulnerable a command injection.
Write-up de un reto clásico de ASIS CTF: bypass de un filtro preg_match que prohíbe letras (A-Za-z) usando XOR para generar cadenas sin letras que, al ejecutarse en eval(), llaman funciones como phpinfo() o show_source(). Técnica muy útil para entender type juggling y bypass de WAF en PHP.
Explotación de XSS con bypass de filtros usando HTML encoding y eval+atob para realizar CSRF y exfiltrar información sensible del administrador en un CTF.
Write-up del reto JSHorror (Web) de CyberCamp 2019: deofuscación de JavaScript en cliente para recuperar la contraseña y obtener la flag.
Segunda entrega de la serie en la que resolvemos retos de HackCon 2019. Cubrimos desafíos de criptografía (OTP, Vigenère, lenguajes esotéricos) y reversing (análisis de binarios ELF). Incluye explicaciones detalladas y código actualizado.
Write-up de retos sencillos de CTF (web y stego/cripto): type juggling en PHP, condiciones imposibles con is_numeric, parámetros ocultos en source y stego con Stegsolve/hex.
Tercera parte del write-up del CTF H-C0N: Austrinus (acceso básico vía FTP anónimo y ejecución remota en .cmd.jsp, escalada a root abusando de sudo en nagios init script con reverse shell, y análisis forense de MFT para encontrar URL de exfiltración).
Primera parte del write-up del CTF H-C0N organizado por iHackLabs y HackPlayers: Telescopium (acceso básico vía NFS y crackeo de hash SHA-512, acceso admin vía code injection en binario setuid, y reto de reversing en C con truco de for loop vacío).