BancaNexo

25 may 2026

Submit flag

Envía tu flag

Flag

Sinopsis

Contexto

BancaNexo es una neobanca ficticia con sede en Madrid: cuentas, hipotecas, préstamos y un panel admin interno. Su equipo de seguridad ha pedido una auditoría tras detectar tráfico anómalo en el catálogo público de productos.

Tu objetivo: confirmar la vulnerabilidad, escalar de visitante anónimo hasta el panel de administración y capturar el token interno de acceso a sistemas (la flag).

Por qué importa

SQL Injection sigue siendo el #3 del OWASP Top 10. En esta máquina vas a encadenar un caso completo y real: recon + identificación + UNION attack + cracking offline + escalada a admin. Es exactamente el flujo que verás en un pentest profesional.

Cómo abordarla

Recon: mapea las rutas públicas y mira cómo se comportan los filtros del catálogo cuando manipulas parámetros.
Identifica la inyección: comilla simple, comentarios, payloads booleanos. La página NO devuelve errores explícitos.
UNION attack: determina el número de columnas, descubre el schema desde information_schema.
Pivota a otras tablas: extrae lo que necesitas para abrir la siguiente puerta.
Crackea offline con rockyou. Solo si el hash es lo bastante débil.
Login con privilegios y captura del token interno.

Qué te llevas al terminar

Aprendizajes

01
Identificar puntos de entrada vulnerables a SQL Injection en entornos reales
02
Determinar el número de columnas y tipos de datos con UNION attacks
03
Extraer credenciales de la base de datos a través del frontend
04
Reconocer hashes débiles (MD5 sin sal) y crackearlos con wordlists
05
Escalar de acceso anónimo a sesión administrativa

Si te atascas

Pistas progresivas

Cada pista te acerca a la solución. Úsalas solo si lo necesitas. El aprendizaje real está en resolver con el mínimo de pistas posible.

Pista 1

Empieza por mapear las rutas accesibles sin login. El catálogo público suele filtrar por parámetros — fíjate en cómo cambia la respuesta al manipularlos.

Pista 2

Cuando consigas inyectar, primero determina el número de columnas. La forma más fiable es UNION SELECT con valores NULL.

Pista 3

Las cards del catálogo renderizan campos del producto. ¿Qué otra tabla tienes en la BD que podría darte algo más interesante?

Pista 4

El hash que sale parece corto. Demasiado corto para SHA-256. Prueba con rockyou.

Writeups de la comunidad

Cargando writeups…

Cargando…