> For the complete documentation index, see [llms.txt](https://ne0b1t3.gitbook.io/vault/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://ne0b1t3.gitbook.io/vault/prolabs/offshore.md).

# Offshore

## <mark style="color:$danger;">Certification of Completition</mark>

<figure><img src="/files/FG6AAndpHHs44LHngGVF" alt=""><figcaption></figcaption></figure>

Offshore es probablemente una de las **Pro Labs más completas de Hack The Box** en términos de variedad técnica. A diferencia de laboratorios centrados exclusivamente en Active Directory o en entornos Windows, aquí te enfrentas a una infraestructura heterogénea donde conviven sistemas Linux y Windows, aplicaciones web, bases de datos, servicios corporativos y múltiples dominios interconectados mediante relaciones de confianza.

Lo que diferencia Offshore de otras Pro Labs es la **escala y diversidad**: no es solo AD, hay máquinas Linux con servicios como Splunk, PostgreSQL, GLPI o aplicaciones PHP personalizadas. En cualquier momento puedes pasar de explotar una aplicación web a hacer un Golden Ticket.

### <mark style="color:$primary;">Topología Aproximada</mark>&#x20;

Comienzas desde una posición externa, sin acceso privilegiado a la red interna, y a partir de ahí debes ir encadenando compromisos, credenciales y pivots hasta alcanzar los entornos más protegidos. Hay un par de equipos standlone (non-domain joined) que hacen sentir el entorno mucho más realista y vivo.

La topología se va descubriendo progresivamente. No hay un mapa completo al principio, es decir, cada máquina comprometida revela nuevas subredes y hosts. Tener Ligolo-ng bien configurado con múltiples interfaces desde el principio es clave.\
Encontrarás un entorno de hasta 7 puntos de pivot, siendo está, el entorno más grande que tiene la plataforma.

<figure><img src="/files/uMCPZO7Ymi3jskE540aB" alt=""><figcaption><p>Todas los equipos a comprometer</p></figcaption></figure>

El laboratorio está diseñado para simular una organización de gran tamaño, por lo que el reto no reside únicamente en explotar vulnerabilidades concretas, sino en gestionar una cantidad considerable de información, credenciales, accesos y rutas de movimiento lateral.

Hay 38 flags repartidas por todo el entorno. Algunas son bastante directas, mientras que otras requieren encadenar varias técnicas y volver sobre pasos anteriores con nueva información.

Esto, en algunos momentos, se puede hacer un poco pesado, porque no se trata únicamente de comprometer sistemas, sino de exprimirlos desde distintos ángulos y rutas alternativas, lo que añade complejidad y también cierta sensación de “rebuscar” en lo ya explorado.

Aun así, encaja bien con la filosofía del laboratorio, ya que refuerza mucho la enumeración, la correlación de información y la necesidad de no dar por “terminado” un sistema tras obtener acceso. En realidad, el progreso no es lineal, y eso es parte del reto.

<figure><img src="/files/VQivoZj5pM9dCaEhjnJ5" alt=""><figcaption><p>Infraestructura del Laboratorio</p></figcaption></figure>

***

### <mark style="color:$primary;">Campos a dominar antes de realizarla</mark>

Durante el recorrido vas alternando constantemente entre enumeración de Active Directory, explotación web, movimiento lateral, pivoting, post-explotación y extracción de credenciales. Herramientas como **BloodHound**, **NetExec**, **PowerView**, **bloodyAD**, **Impacket** o **Ligolo-ng** aparecen continuamente y terminan formando parte del flujo de trabajo diario.

También es recomendable <mark style="color:$primary;">llevar preparado un pequeño repositorio offline</mark> con binarios y dependencias habituales. Existen segmentos donde descargar herramientas o instalar paquetes resulta incómodo o directamente imposible, por lo que tener preparadas utilidades relacionadas con **Kerberos**, **DPAPI**, **post-explotación** y enumeración local puede ahorrar bastante tiempo.

Personalmente hubo varias herramientas que terminé utilizando mucho más de lo que esperaba. **Seatbelt** y **SharpHound** me ayudaron enormemente durante la fase de reconocimiento interno; **SharpDPAPI** y **DonPAPI** resultaron especialmente útiles para exprimir sistemas ya comprometidos; mientras que Ligolo-ng se convirtió en una pieza crítica para gestionar la gran cantidad de túneles y rutas necesarias a medida que el entorno iba creciendo.

***

### <mark style="color:$primary;">Técnicas Predominantes</mark>

La **enumeración** tiene un peso enorme durante todo el laboratorio. No solo hablamos de Active Directory, sino también de reconocimiento de red, descubrimiento de hosts, enumeración SMB, LDAP, bases de datos, aplicaciones web y captura de tráfico.

Hay que tener en cuenta que se trata de una infraestructura amplia, con múltiples dominios y sistemas interconectados, donde el tráfico entre servicios es constante. Por este motivo, en determinados puntos del laboratorio el <mark style="color:$primary;">análisis de red</mark> se vuelve especialmente relevante: no solo como apoyo puntual, sino como una fuente directa de credenciales, rutas de acceso o pistas que permiten avanzar cuando el progreso se bloquea.

La <mark style="color:$primary;">parte web</mark> también tiene **bastante protagonismo**. Aparecen aplicaciones corporativas, paneles de administración y servicios internos donde la explotación se basa en identificar configuraciones inseguras, vulnerabilidades clásicas o funcionalidades que permiten ejecución de código una vez se obtiene acceso privilegiado. \
Entre las más **comunes** se encuentran SQL Injection, XXE en servicios SOAP, inyecciones en PHP, subida de archivos maliciosos, bypass de autenticación, uso indebido de JWT en APIs internas y explotación de CVEs conocidos. No es una Pro Lab centrada en web, pero sí lo suficiente como para obligarte a salir constantemente del contexto de Active Directory.

Por supuesto, **Active Directory** sigue siendo uno de los pilares del laboratorio. Técnicas como Kerberoasting, AS-REP Roasting, abuso de delegaciones, explotación de ACLs, cuentas gMSA y relaciones de confianza entre dominios aparecen de forma recurrente, junto con diferentes formas de movimiento lateral.

Otro aspecto especialmente relevante es la presencia de <mark style="color:$primary;">sistemas Linux</mark> con un peso mucho mayor que en otras Pro Labs centradas en Active Directory. En muchos casos no actúan únicamente como puntos de entrada, sino como sistemas intermedios o incluso objetivos finales. Esto obliga a sentirse cómodo con escaladas de privilegios, análisis de servicios, configuraciones inseguras, tareas automatizadas ejecutadas por otros usuarios y técnicas de bypass en shells restringidas o entornos con filtrado de tráfico.

Finalmente, Offshore exige una mentalidad muy centrada en la <mark style="color:$primary;">**post-explotación y exfiltración de datos**</mark>. Obtener acceso a una máquina rara vez es el objetivo final. Lo realmente importante es exprimir cada sistema al máximo: credenciales almacenadas, secretos DPAPI, configuraciones, bases de datos, tickets Kerberos, sesiones activas, GPOs, credenciales hardcodeadas en scripts o archivos de configuración, monturas o incluso discos virtuales. De hecho, una parte importante de las flags se encuentra precisamente en este tipo de artefactos, por lo que una enumeración exhaustiva tras obtener privilegios elevados no es opcional; de lo contrario, es muy probable tener que volver atrás más adelante.

***

### <mark style="color:$primary;">Lección Aprendida</mark>

Personalmente, uno de los aprendizajes clave, y probablemente el objetivo principal de la Pro Lab, es aprender a <mark style="color:$primary;">**sentirse cómodo cambiando constantemente de contexto**</mark> <mark style="color:$primary;"></mark><mark style="color:$primary;">entre tecnologías, aplicaciones, sistemas operativos y servicios</mark>. Pasas de web a Active Directory, de Linux a Windows, de explotación a pivoting, y de ahí otra vez a enumeración profunda. No hay un flujo lineal, sino completamente iterativo, donde cada hallazgo redefine lo que tiene sentido hacer a continuación.

Por último, queda muy marcado el valor de la **post-explotación** en un entorno realista. En esta ocasión, no basta con obtener privilegios altos: el laboratorio te obliga a revisar el sistema a fondo y buscar alternativas de explotación o escalada, ya que una parte importante del progreso depende de información que no está visible a primera vista tras comprometer una máquina.

<figure><img src="/files/7n15c8CYusPq7HqLxLw2" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://ne0b1t3.gitbook.io/vault/prolabs/offshore.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.