Proyecto de Explotación en Pentesting - The Lovers

Proyecto de Explotación en Pentesting – The Lovers

En esta tercera fase del pentest sobre la máquina vulnerable The Lovers pasarás de la enumeración a la explotación práctica. Tu objetivo es aprovechar la información recolectada en fases anteriores para obtener acceso al sistema, explorar sus recursos y elevar privilegios hasta el control total.

Requisitos

1. Haber completado la Fase 2 – Reconocimiento web.
2. Máquina virtual The Lovers (ya en ejecución).
3. Máquina atacante: Kali Linux.

📝 Instrucciones

1. Analiza el formulario de login

   • Usa lo que descubriste en la fase anterior.
   • Piensa: ¿qué técnica de inyección podría aplicarse aquí?
   • ¿Puedes automatizar el ataque con alguna herramienta?

2. Obtén credenciales útiles

   • Una vez dentro, busca información sensible.
   • Identifica posibles usuarios del sistema y contraseñas.

3. Accede a la máquina objetivo

   • Intenta conectarte con los datos recolectados.
   • Si tienes éxito, confirma tu acceso y documenta el proceso.

4. Explora el sistema

   • Navega por los directorios de usuario.
   • Busca archivos ocultos o con información sospechosa.

5. Investiga los hallazgos

   • Podrías encontrarte con archivos que requieran análisis más profundo.
   • Considera técnicas de extracción o cracking si lo ves necesario.

6. Escala privilegios

   • Revisa qué usuarios adicionales existen.
   • Identifica oportunidades para cambiar de usuario o elevar privilegios.
   • El objetivo es alcanzar el máximo control del sistema.

Entrega

En este proyecto tu única entrega oficial en la plataforma serán las flags encontradas.

⚠️ ¡Importante! aunque solo debas subir las flags, debes anotar detalladamente todo el proceso de explotación.

• Evidencias de la explotación inicial: Explica cómo identificaste la vulnerabilidad y demuestra el acceso inicial con capturas de pantalla.

• Credenciales y accesos obtenidos: Documenta cualquier usuario, contraseña o token que hayas descubierto.

• Exploración del sistema: Incluye capturas y notas sobre directorios, archivos sospechosos o configuraciones relevantes que encontraste.

• Técnica de escalada de privilegios: Describe detalladamente el procedimiento seguido para elevar privilegios, con pruebas visuales de cada paso.

• Control total de la máquina: Evidencia que lograste acceso completo al sistema (ejemplo: ejecución de comandos como administrador o root).

Estas notas no se entregan ahora, pero serán obligatorias en el siguiente módulo, donde deberás elaborar tu informe de reporte y mitigación de vulnerabilidades basándote en lo que documentaste durante esta práctica.