hackplayers

Entradas

¡Feliz Navidad!
import os import time import random WIDTH = 40 HEIGHT = 20 TREE_POS = WIDTH // 2 def clear(): os.system("cls" if os.name == "nt" else "clear") …

diciembre 24, 2025

EntraGoat: el laboratorio de seguridad para aprender ataques reales en Microsoft Entra ID
En el mundo de la ciberseguridad de identidad , la práctica lo es todo . Los entornos de producción están protegidos, y replicar escenarios reales de explotación sin riesgo es dif…

diciembre 21, 2025

TokenFlare y la nueva generación de AiTM serverless: cuando el phishing se convierte en infraestructura
Durante años, el phishing ha sido tratado como un problema “humano”: concienciación, banners, simulaciones internas y poco más. Sin embargo, el auge de los Adversary-in-the-Middle…

diciembre 21, 2025

PoC para desactivar Bitlocker usando objetos COM no documentados
Windows expone múltiples interfaces COM poco documentadas que permiten acceder a funcionalidades internas del sistema operativo. Entre estas, los Elevation Monikers introducidos …

diciembre 09, 2025

React2Shell: anatomía de una vulnerabilidad histórica en React Server Components
A comienzos de enero de 2025 , el investigador independiente J. C. Tommasi inició una revisión sistemática del flujo interno que React emplea para transportar y reconstruir compo…

diciembre 06, 2025

TaskHound: automatizando la detección de tareas programadas peligrosas en entornos Windows
En seguridad ofensiva y defensiva hay piezas del sistema que, por pura costumbre, terminan olvidadas. Todos hablamos de servicios, privilegios, ACLs, claves de registro o GPOs, pe…

noviembre 30, 2025

WhatsApp Contact Enumeration Flaw: anatomía de una vulnerabilidad que expuso datos de 3.500 millones de usuarios
Durante años, WhatsApp ha presumido —con razón— de su cifrado punto a punto y su arquitectura robusta basada en el protocolo Signal. Sin embargo, incluso los gigantes que dominan …

noviembre 20, 2025

Taller ROP - Parte 2 (ret2libc clásico)
Si echáis un vistazo al artículo anterior , iniciábamos un taller de ROP con un programa que era un pequeño código en C con una función vulnerable muy sencilla pero, que sin embar…

noviembre 12, 2025

Taller ROP - Parte 1 (control RIP)
El Return-Oriented Programming (ROP) es una técnica de explotación que permite ejecutar código arbitrario sin inyectar nuevo código: en lugar de eso se encadenan pequeñas secuenci…

noviembre 08, 2025

CVE‑2025‑59287 o cómo WSUS se rompió al deserializar
Si tenéis servidores WSUS respirad hondo. CVE-2025-59287 es una deserialización insegura en el servicio Windows Server Update Services (WSUS) que permite a un atacante no autent…

octubre 24, 2025

PromptIntel: cazando prompts adversariales en la jungla de la IA
Sí, has leído bien: adversarial prompts . No exploits de kernel, no inyecciones SQL. Prompts. Esas cadenas de texto que alimentan modelos de lenguaje —y que en 2025 se han conve…

octubre 13, 2025

StopFix: una extensión de navegador para detectar ClickFix y similares
Sergio Galán aka NaxoneZ se ha currado StopFix, una extensión de navegador diseñada para detectar y reportar ataques basados en el portapapeles, como FileFix, ClickFix y payload…

octubre 10, 2025

CVE-2025-61882: Cadena pre-auth RCE en Oracle E-Business Suite
El 4 de octubre de 2025, Oracle publicó una alerta de seguridad para la vulnerabilidad CVE-2025-61882 , que permite ejecución remota sin autenticación en Oracle E-Business Suite …

octubre 07, 2025

FlareProx: proxy HTTP por Cloudflare para rotación de IPs
Imagina por un momento que necesitas que tus solicitudes HTTP salgan desde direcciones distintas sin depender de terceros proxies comerciales: quieres control, automatización y la…

septiembre 29, 2025

De %TEMP% a SYSTEM: secuestro en caliente con SetupHijack
SetupHijack es una herramienta que automatiza la explotación de condiciones de carrera y la gestión insegura de ficheros en procesos de instalación y actualización en Windows. Su …

septiembre 25, 2025

ViKing: la IA que puede convertirse en un atacante autónomo de Vishing
Imagina recibir una llamada de tu jefe, de un compañero de trabajo o incluso de un familiar, donde cada palabra parece verosímil, cada pausa natural, y cada argumento persuasivo p…

septiembre 16, 2025

MITRE ATLAS: framework de amenazas en sistemas de IA
La inteligencia artificial y el machine learning han transformado el panorama tecnológico, pero también han introducido vectores de ataque inéditos. MITRE ATLAS (Adversarial Threa…

septiembre 16, 2025

hackplayers

Buscar este blog

Entradas

¡Feliz Navidad!
import os import time import random WIDTH = 40 HEIGHT = 20 TREE_POS = WIDTH // 2 def clear(): os.system("cls" if os.name == "nt" else "clear") …

EntraGoat: el laboratorio de seguridad para aprender ataques reales en Microsoft Entra ID
En el mundo de la ciberseguridad de identidad , la práctica lo es todo . Los entornos de producción están protegidos, y replicar escenarios reales de explotación sin riesgo es dif…

TokenFlare y la nueva generación de AiTM serverless: cuando el phishing se convierte en infraestructura
Durante años, el phishing ha sido tratado como un problema “humano”: concienciación, banners, simulaciones internas y poco más. Sin embargo, el auge de los Adversary-in-the-Middle…

PoC para desactivar Bitlocker usando objetos COM no documentados
Windows expone múltiples interfaces COM poco documentadas que permiten acceder a funcionalidades internas del sistema operativo. Entre estas, los Elevation Monikers introducidos …

React2Shell: anatomía de una vulnerabilidad histórica en React Server Components
A comienzos de enero de 2025 , el investigador independiente J. C. Tommasi inició una revisión sistemática del flujo interno que React emplea para transportar y reconstruir compo…

TaskHound: automatizando la detección de tareas programadas peligrosas en entornos Windows
En seguridad ofensiva y defensiva hay piezas del sistema que, por pura costumbre, terminan olvidadas. Todos hablamos de servicios, privilegios, ACLs, claves de registro o GPOs, pe…

Taller ROP - Parte 2 (ret2libc clásico)
Si echáis un vistazo al artículo anterior , iniciábamos un taller de ROP con un programa que era un pequeño código en C con una función vulnerable muy sencilla pero, que sin embar…

Taller ROP - Parte 1 (control RIP)
El Return-Oriented Programming (ROP) es una técnica de explotación que permite ejecutar código arbitrario sin inyectar nuevo código: en lugar de eso se encadenan pequeñas secuenci…

CVE‑2025‑59287 o cómo WSUS se rompió al deserializar
Si tenéis servidores WSUS respirad hondo. CVE-2025-59287 es una deserialización insegura en el servicio Windows Server Update Services (WSUS) que permite a un atacante no autent…

PromptIntel: cazando prompts adversariales en la jungla de la IA
Sí, has leído bien: adversarial prompts . No exploits de kernel, no inyecciones SQL. Prompts. Esas cadenas de texto que alimentan modelos de lenguaje —y que en 2025 se han conve…

StopFix: una extensión de navegador para detectar ClickFix y similares
Sergio Galán aka NaxoneZ se ha currado StopFix, una extensión de navegador diseñada para detectar y reportar ataques basados en el portapapeles, como FileFix, ClickFix y payload…

CVE-2025-61882: Cadena pre-auth RCE en Oracle E-Business Suite
El 4 de octubre de 2025, Oracle publicó una alerta de seguridad para la vulnerabilidad CVE-2025-61882 , que permite ejecución remota sin autenticación en Oracle E-Business Suite …

FlareProx: proxy HTTP por Cloudflare para rotación de IPs
Imagina por un momento que necesitas que tus solicitudes HTTP salgan desde direcciones distintas sin depender de terceros proxies comerciales: quieres control, automatización y la…

De %TEMP% a SYSTEM: secuestro en caliente con SetupHijack
SetupHijack es una herramienta que automatiza la explotación de condiciones de carrera y la gestión insegura de ficheros en procesos de instalación y actualización en Windows. Su …

ViKing: la IA que puede convertirse en un atacante autónomo de Vishing
Imagina recibir una llamada de tu jefe, de un compañero de trabajo o incluso de un familiar, donde cada palabra parece verosímil, cada pausa natural, y cada argumento persuasivo p…

MITRE ATLAS: framework de amenazas en sistemas de IA
La inteligencia artificial y el machine learning han transformado el panorama tecnológico, pero también han introducido vectores de ataque inéditos. MITRE ATLAS (Adversarial Threa…

Autores

Comentarios recientes