Customer Service - Control de acceso roto y cracking de contraseñas

Una empresa de servicios de hosting, dominios y VPS ha publicado una aplicación web con supuestas medidas de seguridad. Sin embargo, hay indicios de que algunas secciones del sistema podrían estar expuestas indebidamente y contener credenciales sensibles.

Tu misión es identificar si existen puntos de entrada no controlados, analizar posibles fallos de acceso y determinar si es posible simular el comportamiento de usuarios legítimos a partir de la información expuesta.

🌱 Cómo iniciar este laboratorio

Sigue las siguientes instrucciones para comenzar:

1. Descarga la máquina virtual desde este enlace:

1   https://storage.googleapis.com/cybersecurity-machines/customer-service-lab.ova

1. Importa la máquina en tu gestor de virtualización preferido (VirtualBox, VMware, etc.).
2. Inicia la VM e inicia el reto.

Herramientas recomendadas

Aunque el enfoque queda a tu criterio, podrías considerar el uso de las siguientes herramientas durante la investigación:

• Nmap – para el descubrimiento de hosts y servicios
• Gobuster, Dirb o FFUF – para la exploración de rutas ocultas
• John the Ripper, Hashcat – para el análisis y descifrado de contraseñas
• Burp Suite, cURL o tu navegador – para simular peticiones o iniciar sesión
• CyberChef – para manipulación rápida de texto y hashes

Recuerda: los sistemas no siempre fallan por fallos complejos. A veces, basta con omitir un control básico de acceso.

¡Buena suerte!