Contexto
Los Pollos Hermanos es una cadena de pollo frito de Albuquerque (sí, esa), propiedad del impecable Gustavo Fring y su matriz Madrigal Electromotive. Su web pública parece intachable... pero la gerencia dejó un panel interno "escondido" que nunca debió quedar accesible.
Te contratan para auditarla en caja negra: solo tienes el dominio.
Por qué importa
El bypass de autenticación por SQL Injection es el "hola mundo" de la inyección SQL y sigue apareciendo en aplicaciones reales. Esta máquina te lleva de la mano por el flujo completo: descubrir contenido oculto, leer los errores del backend para entender la consulta y construir tú mismo el payload que abre la puerta. Ideal si es tu primera SQLi.
Cómo abordarla
- Recon: recorre la web pública y haz inventario. ¿Qué se menciona pero no
- Fuzzing de directorios: lanza gobuster/ffuf/dirsearch con una wordlist
- Provoca un error: mete una comilla en el login y observa muy bien qué te
- Bypass: convierte la condición en siempre verdadera y comenta el resto.
- Post-explotación: una vez dentro, documenta el impacto real — datos
se enlaza?
común y busca el acceso restringido.
devuelve. Te va a regalar la consulta entera.
personales, contraseñas en claro y tarjetas de pago.