En este laboratorio vas a explotar una vulnerabilidad clásica de SQL Injection para acceder al panel de administración de una app de citas. A partir de allí, obtendrás credenciales sensibles y avanzarás hasta descubrir relaciones ocultas, directorios secretos y usuarios privilegiados. En este laboratorio aprenderás:
hashcatSigue las siguientes instrucciones para comenzar:
Estás frente a una aplicación web romántica y vulnerable. Tu misión es usar tus habilidades técnicas para descubrir los secretos detrás de este panel.
Descubre la dirección IP de la máquina The lovers.
nmap, netdiscover o arp-scan para escanear la red.Accede al sitio web alojado en el servidor.: Encontrarás una landing con login típico de apps de citas. Usa SQL Injection para acceder sin credenciales reales.
Accede al panel de administración del usuario Mike.
Conéctate por SSH al servidor como Mike.
Encuentra la primera flag.
Explora el directorio secrets.
Descubre la contraseña de Amanda y cambia de usuario.
Accede a la flag final como root.
Recuerda: incluso los amores secretos dejan huellas digitales. 💔
¡Buena suerte!