Rastreo OSINT: The Police

Rastreo OSINT – The Police

En este laboratorio, asumirás el rol de un analista de inteligencia digital que debe localizar a un agente encubierto que ha sido secuestrado por una organización criminal. Su última comunicación fue a través de una traza encontrada en un antiguo servidor de monitoreo. Antes de desaparecer, el agente dejó una pista oculta que podría ayudarte a descubrir su ubicación exacta. Tu misión será analizar las pistas, deducir su paradero, y acceder a un panel web vulnerable utilizando técnicas de enumeración y fuerza bruta.

En este laboratorio aprenderás:

• Razonamiento lógico y deducción a partir de pistas encubiertas
• Ataques de fuerza bruta automatizados con Hydra
• Identificación de archivos y rutas ocultas en servidores web

🌱 Cómo comenzar este laboratorio

👉 Este reto se resuelve desde tu navegador, pero la validación final se hace dentro de la máquina virtual web-threats-lab.

1. Si aún no la tienes, descarga la máquina virtual desde este enlace:

1https://storage.googleapis.com/cybersecurity-machines/web-threats-lab.ova

1. Importa la máquina virtual en VirtualBox o VMware.

2. Inicia la VM y accede como el usuario student:4geeks-lab.

3. Accede al sitio web investigado en tu navegador, por ejemplo: http://<ip_de_la_vm>/thepolice/

📄 Instrucciones

Hemos perdido contacto con el Oficial M., un agente infiltrado que investigaba una red de tráfico en Europa del Este. Es un país costero. La última traza digital que logramos recuperar apunta a una copia de seguridad de un antiguo panel web alojado en un servidor de vigilancia aislado. Según informes internos, este panel fue instalado con prisas, usando credenciales débiles basadas en la región de despliegue y nombres de ciudades cercanas. El agente dejó pistas antes de desaparecer, confiando en que alguien sabría interpretarlas.

En la web se detectó un archivo sospechoso. No aparece documentado, pero su nombre comienza con un punto. Tal vez el agente ocultó algo ahí...

Tu misión será:

1. Explora la estructura del sitio web desde un navegador o mediante herramientas en consola. No todo está a simple vista.
2. Busca pistas escondidas que te den contexto sobre el país en el que podría estar el agente.
3. Usa razonamiento lógico y geográfico: no todas las pistas son evidentes, pero si piensas como un investigador, el país correcto se vuelve claro.
4. Crea un archivo con nombres de ciudades reales que coincidan con la hipótesis anterior. Algunas fuentes públicas pueden ayudarte.
5. Utiliza técnicas de fuerza bruta controlada para probar combinaciones de credenciales hasta encontrar la correcta.
6. Si aciertas, el propio sistema web te lo hará saber: mostrará una confirmación junto con la flag.

Tip: Presta atención al comportamiento del formulario, cómo responde a distintos métodos, qué mensajes devuelve y qué parámetros usa. Allí se esconde más información de la que parece.

Descubre el país y la ciudad donde se encuentra el oficial. Solo entonces se revelará la flag que confirma el éxito de la misión.

¡Contamos contigo! 🕵️‍♀️