HackTheBox | Previous [Medium] Full Walkthrough (Retired 2026)

En este video resolvemos la máquina Previous de HackTheBox, clasificada como dificultad media y retirada en 2026. A lo largo de esta walkthrough completa, exploramos un entorno Linux con Next.js, enfocándonos en técnicas reales de Web Pentesting, API exploitation y Privilege Escalation.

✅ Enumeración inicial

-Escaneo completo de puertos con Nmap
-Identificación de servicios activos:

SSH (22)
HTTP (80)

Detección del framework Next.js mediante headers
Configuración de dominio local para análisis del sitio web

🔍 Explotación web

-Enumeración de rutas y endpoints API mediante fuzzing
-Identificación de una vulnerabilidad de bypass en Next.js según su versión
-Manipulación de HTTP Headers para saltar controles de acceso
-Descubrimiento de endpoints protegidos sin autenticación
-Identificación de un Local File Inclusion (LFI)
-Lectura de archivos internos del framework (.next)
-Extracción de credenciales del usuario Jeremy desde archivos de configuración

🚀 Acceso inicial y movimiento lateral

-Acceso remoto al sistema como el usuario Jeremy
-Enumeración del sistema y análisis de permisos
-Identificación de archivos y carpetas relacionadas con Terraform
-Detección de un plugin de Terraform ejecutado con privilegios elevados
-Modificación de la ruta del plugin para ejecutar código arbitrario

⬆️ Escalada de privilegios

-Creación de un binario malicioso en una ruta controlada por el usuario
-Ejecución del plugin modificado
-Obtención de acceso root al sistema
-Lectura de la flag final

Herramientas utilizadas

-Nmap
-gobuster / ffuf
-Burp Suite
-curl
-Bash scripting
-Node.js

#APIExploitation #LFI #WebPentesting #PrivilegeEscalation #LinuxPrivEsc
#Terraform #Cybersecurity #Pentesting #Hacking #Ciberseguridad
#eWPT #eWPTv2 #eWPTXv3 #BSCP #eLearnSecurity #NextJS #HackTheBox
Terraform