Este repositorio alberga una colección completa y detallada de writeups de máquinas resueltas en la plataforma HackTheBox, una de las plataformas líderes en entrenamiento de pentesting y hacking ético a nivel mundial.
Cada writeup documenta de manera exhaustiva y profesional el proceso completo de compromiso de sistemas, desde el reconocimiento inicial hasta la obtención de privilegios máximos. La documentación incluye técnicas avanzadas de pentesting, metodologías de explotación, análisis de vulnerabilidades, y estrategias de escalada de privilegios aplicables en escenarios reales de seguridad ofensiva.
El propósito principal es proporcionar una guía de aprendizaje práctica y accesible para estudiantes, profesionales de ciberseguridad y entusiastas del hacking ético que deseen:
- Aprender técnicas reales de pentesting a través de ejemplos prácticos
- Comprender diferentes vectores de ataque y metodologías de explotación
- Mejorar habilidades de enumeración, reconocimiento y análisis de sistemas
- Desarrollar pensamiento crítico en la identificación de vulnerabilidades
- Prepararse para certificaciones profesionales (OSCP, eJPT, CEH, etc.)
- Estudiar casos reales documentados paso a paso
Cada writeup incluye:
- Información de la máquina: Dificultad, sistema operativo, rating y tags
- Enumeración detallada: Escaneo de puertos, análisis de servicios, reconocimiento web
- Identificación de vectores de ataque: CVEs, misconfigurations, vulnerabilidades conocidas
- Proceso de explotación completo: Comandos ejecutados, payloads utilizados, técnicas aplicadas
- Capturas de pantalla: Evidencias visuales de cada fase del proceso
- Escalada de privilegios: Técnicas de elevación y movimiento lateral
- Captura de flags: User flag y root flag con ubicaciones
- Herramientas utilizadas: Lista completa de tools y scripts empleados
- Lecciones aprendidas: Reflexiones y conocimientos clave de cada máquina
Los writeups están organizados por:
- Dificultad: Easy, Medium, Hard, Insane
- Sistema Operativo: Linux, Windows, FreeBSD, OpenBSD
- Categorías: Web, Reversing, Pwn, Crypto, Forensics, Misc
Este repositorio cubre una amplia gama de técnicas y vectores de ataque:
- Escaneo de puertos (nmap, masscan, rustscan)
- Enumeración de servicios (SMB, FTP, SSH, HTTP, DNS, LDAP)
- Análisis de tecnologías web (whatweb, wappalyzer)
- Fuzzing de directorios y subdominios
- SQL Injection (SQLi)
- Cross-Site Scripting (XSS)
- Local/Remote File Inclusion (LFI/RFI)
- Server-Side Request Forgery (SSRF)
- Deserialización insegura
- Command Injection
- Vulnerabilidades en CMS (WordPress, Drupal, Joomla)
- Exploits públicos (searchsploit, Metasploit)
- Buffer overflows
- Vulnerabilidades de versiones antiguas
- Ataques a servicios mal configurados
- Enumeración de usuarios y grupos
- Búsqueda de credenciales
- Análisis de procesos y servicios internos
- Movimiento lateral y pivoting
- SUID/SGID binaries
- Sudo misconfigurations
- Kernel exploits
- Tareas cron mal configuradas
- Path hijacking
- Capabilities abuse
- Cracking de contraseñas (John, Hashcat)
- Análisis de código fuente
- Reverse engineering
- Binary exploitation
- Active Directory attacks
Los writeups están diseñados para ser educativos y reproducibles, incluyendo:
- Explicaciones claras de cada paso
- Comandos completos con opciones y parámetros
- Referencias a recursos externos y documentación
- Advertencias sobre errores comunes
- Tips y trucos aprendidos durante la resolución
- Intenta resolver la máquina por ti mismo primero - El aprendizaje real viene de la práctica
- Consulta el writeup cuando estés bloqueado - Úsalo como guía, no como atajo
- Reproduce los pasos en tu propio laboratorio - La práctica hace al maestro
- Toma notas de técnicas nuevas - Construye tu propia metodología
- Experimenta con variaciones - Prueba diferentes herramientas y enfoques
- GitHub: https://github.com/pistacha-git
- LinkedIn: https://www.linkedin.com/in/nazaret-castillo-jim%C3%A9nez/
- HackTheBox: https://app.hackthebox.com/profile/2392414
