150 challenges · 4 scenarios · 39.2K points · 100% OSS

Boss of the SOC,
ahora sobre Wazuh.

Separando los cachorros de los perros salvajes.

Plataforma educativa de retos CTF — formada por SOC analysts, para SOC analysts. 150 retos repartidos en 4 escenarios reales de detección, triage y hunting sobre Wazuh 4.x. 36/36/36/42 retos por escenario, en cuatro tiers wolf: Pup → Hunter → Alpha → Fenrir.

Splunk BOTSv1 + v2 + v3 ~136 retos
WazuhBOTS v1 inaugural 150 retos
deploy en 10 min ver en GitHub
ACTIVE / STABLE — v1.0 Wazuh 4.14.3 MIT License
~/wazuhbots — bash
$ ./scripts/setup.sh
[phase 1/3] starting wazuh-indexer + opensearch...
indexer cluster green (1 node)
[phase 2/3] applying securityadmin + roles...
internal_users seeded · API certs ok
[phase 3/3] launching dashboard + ctfd + manager...
ingested 11,700 alert documents
150 challenges loaded into ctfd
stack ready → https://localhost
$ _
// scenarios

Cuatro escenarios. Una historia ofensiva por cada uno.

Cada escenario simula una intrusión real con datasets generados por nosotros: alertas de Wazuh manager, eventos Sysmon/auditd, logs de red y FIM. 150 retos en total · 11.700 alertas ingestadas · víctimas reales corriendo en contenedores. No son retos sintéticos — son timelines ofensivos completos.

01 10P · 10H · 9A · 7F

scenario 01 · web application compromise Operation Dark Harvest Compromiso de aplicación web

// briefing

Una tienda en línea aparentemente normal. Un parámetro mal saneado. Un atacante paciente que cosecha credenciales en silencio durante la noche. Para cuando abres la consola por la mañana, las cuentas premium ya circulan en un foro clandestino. Tu turno: rebobina el ataque desde el primer payload hasta la última fila exfiltrada.

SQL injection contra una aplicación web vulnerable, escalada a web shell, escalada de privilegios y exfiltración del dataset. Reconstruye el kill chain completo desde el primer payload hasta la salida de los datos.

victim → web-srv · Apache + DVWA
36 challenges 900 alerts Pup → Fenrir
SQLiweb-shellpriv-escdata-exfil
02 10P · 10H · 9A · 7F

scenario 02 · active directory attack chain Operation Iron Gate Cadena de ataque sobre Active Directory

// briefing

Empieza con un correo. Termina con ransomware corriendo en cada controlador de dominio. En medio: Mimikatz volcando hashes, un ticket Kerberos forjado y un actor moviéndose lateralmente como si tuviera llaves maestras del directorio. Reconstruye cada salto antes de que el cifrado termine y la nota de rescate aparezca en pantalla.

Phishing → Mimikatz → Kerberoasting → movimiento lateral → ransomware. La cadena clásica AD que todo SOC enterprise enfrenta. Mapea cada salto contra ATT&CK y reconstruye la línea de tiempo del compromiso.

victim → dc-srv · Active Directory simulation
36 challenges 1,200 alerts Pup → Fenrir
phishingmimikatzkerberoastinglateral-movementransomware
03 10P · 10H · 9A · 7F

scenario 03 · linux server compromise Ghost in the Shell Compromiso de servidor Linux

// briefing

El servidor lleva 847 días en línea. Nadie revisa su syslog desde hace meses. Un actor metódico prueba SSH durante semanas, encuentra una credencial débil, instala un rootkit que se camufla entre procesos legítimos y monta un cryptominer que paga sus próximas campañas. Nueve mil alertas guardan la verdad — solo hay que saber leer entre el ruido.

SSH brute force inicial, despliegue de rootkit, callback C2 persistente y cryptominer abusando recursos. El escenario más ruidoso del catálogo — 9.000 alertas para entrenar triage bajo volumen real de eventos auditd.

victim → lnx-srv · Ubuntu + SSH + auditd
36 challenges 9,000 alerts Pup → Fenrir
ssh-bruterootkitc2-callbackcryptominer
04 10P · 10H · 12A · 10F

scenario 04 · multi-vector supply chain attack Supply Chain Phantom Ataque multi-vector de cadena de suministro

// briefing

Un paquete pip con el nombre casi idéntico al interno de la empresa. Un desarrollador que ejecuta `pip install` sin pensarlo dos veces. Tres horas después, el atacante tiene foothold simultáneo en web-srv, dc-srv y lnx-srv, exfiltrando datos por DNS en fragmentos de 32 bytes. El reto insignia: solo la correlación cross-host te dejará ver la silueta completa del fantasma.

Dependency confusion vía paquete pip backdoor, DNS tunneling para C2 silencioso y exfiltración cross-host coordinada. Toca los tres hosts a la vez — el escenario insignia para correlación multi-fuente.

victim → all hosts · web-srv + dc-srv + lnx-srv
42 challenges 600 alerts Pup → Fenrir
dependency-confusionpip-backdoordns-tunnelingmulti-host-exfil
// difficulty

Cuatro tiers. Una manada.

Diseñados para acompañar al analista desde su primer día en el SOC hasta threat hunter senior. 39.200 puntos repartidos en 150 retos — progresión natural de Pup a Fenrir, sin saltos artificiales.

100 pts

Pup

SOC Analyst N1 / Estudiante

  • Dashboard navigation
  • Single filter queries
  • Lectura de campos básicos
// query 1 filter · 1 field
200 pts

Hunter

SOC Analyst N2

  • Correlación de eventos
  • Timeline reconstruction
  • Multi-filter queries
// query 2-3 filters · time ranges
300 pts

Alpha

Threat Hunter / IR

  • MITRE ATT&CK mapping
  • Detection engineering
  • Forensics workflow
// query complex aggregations
500 pts

Fenrir

Expert / Red Team

  • Reconstrucción completa
  • Evasión y anti-forensics
  • IOC chains multi-fuente
// query multi-source correlation
// stack

Construido sobre tu SIEM. No sobre uno propietario.

Toda la plataforma se levanta con docker-compose en una máquina decente. El SIEM real es Wazuh — el mismo que despliegas en producción. CTFd se encarga del scoreboard. El resto son scripts y datasets que generamos para que la experiencia sea reproducible.

// core siem

Wazuh 4.x stack

  • Wazuh Manager 4.x

    reglas, decoders, correlación

  • Wazuh Indexer OpenSearch

    storage de alertas y eventos

  • Wazuh Dashboard 4.x

    investigación visual

// ctf platform

Scoreboard + retos

  • CTFd

    scoreboard, flags, hints, teams

  • MariaDB

    CTFd database backend

  • Nginx

    reverse proxy + acceso unificado

// victim machines

Hosts comprometibles

  • web-srv

    Apache + DVWA + Wazuh Agent

  • dc-srv

    Active Directory simulation + Wazuh Agent

  • lnx-srv

    Ubuntu + SSH + auditd + Wazuh Agent

// orchestration

One-command deploy

  • Docker Compose

    one-command deploy del stack completo

Sin dependencias propietarias. Ni cloud, ni licencias, ni datos enviados a terceros. Todo corre en tu laboratorio.

// deploy

Cuatro comandos. Diez minutos. Stack completo.

Sin Helm, sin operadores de Kubernetes, sin scripts mágicos que escapan a tu control. El instalador es bash auditable — léelo antes de correrlo.

install
$ git clone https://github.com/TheSL18/wazuhbots.git
$ cd wazuhbots
$ chmod +x scripts/setup.sh
$ ./scripts/setup.sh
# dashboard:5601 · ctfd:8000 · api:55000
// 3-phase deploy
  1. phase 1/3

    Indexer warm-up

    Levanta wazuh-indexer en single-node, espera cluster verde y aplica el bootstrap de OpenSearch security.

  2. phase 2/3

    Securityadmin + roles

    Aplica internal_users, role_mappings y rota certificados con OpenSSL. Crea el API user del manager.

  3. phase 3/3

    Dashboard + CTFd + Manager

    Arranca el resto del stack, ingesta los 11.700 eventos del dataset y carga los 150 challenges en CTFd.

// prerequisitos
OS Linux moderno kernel 5.x+, systemd o equivalente
Runtime Docker Compose docker engine + compose v2.x
CPU 4+ cores mínimo dev/personal · 8+ recomendado
RAM 16 GB+ recomendado 24 GB para todo el stack
Disk 100 GB+ datasets + indexer storage
Network puertos 5601 / 8000 / 55000 expuestos sólo a tu LAN
// post-deploy access
  • Wazuh Dashboard https://localhost:5601
  • CTFd Platform http://localhost:8000
  • Wazuh API https://localhost:55000
// modos de operación
Training sin tiempo · hints gratis · onboarding
Competition 4h default · hints cuestan · live scoreboard
Self-Guided walkthroughs progresivos · sin scoreboard
Public CTF registro abierto · anti-cheating · multi-día
// numbers

Por qué WazuhBOTS existe.

Existe contenido formativo de blue team excelente — para Splunk. Para los equipos que operamos sobre Wazuh hay tutoriales sueltos pero ningún CTF integral. WazuhBOTS llena ese hueco con material auditable y libre.

150
challenges totales
36 / 36 / 36 / 42 por escenario
4
attack scenarios
web · ad · linux · supply-chain
11.7K
alertas ingestadas
dataset reproducible v1.0
39.2K
base points
4 tiers · Pup → Fenrir
// author

Creado por MrHacker
Wazuh Technology Ambassador Colombia.

Soy Kevin David Muñoz Moreno, Especialista Senior de Correlación · Wazuh Technology Ambassador Colombia · +5 años en SOC tier-1. Construí WazuhBOTS porque la comunidad de blue team LATAM merece su propio campo de entrenamiento, en su propio idioma, sobre el SIEM que ya usamos a diario.

Material formativo libre para la comunidad SOC LATAM. Ningún cliente, ningún SaaS, ningún gatekeeping. Si te sirve, úsalo, fórkalo y mejóralo.

"In the SOC, it is not the one with the most tools who prevails, but the one who investigates best."

— MrHacker
contribuir en GitHub mrhacker.com.co
Wazuh CTFd MITRE CALDERA Atomic Red Team MITRE ATT&CK Docker MIT © 2026