Esta web es un sitio online para practicar retos de hacking
https://www.hackthebox.eu
El propio registro a la web es un reto
me podeis encontrar con el mismo nick que aquí
Hack The Box se divide esencialmente en dos partes: Máquinas y Challenges.
Las máquinas son la esencia de la página: son maquinas virtualizadas reales que debes explotar para conseguir el flag de usuario y el flag de root. Cada flag está en la carpeta home respectiva. Así de simple.
La conexión a las máquinas se realiza mediante una vpn. Para crearla, debes dirigirte a Access y descargarte el archivo usuario.ovpn, abre una terminal en linux y escribe donde lo hayas descargado:
openvpn usuario.ovpn
Una vez establecida la conexión, tan solo debes dirigirte a Machines -> Active y escoger la IP de la máquina que quieres intentar explotar. El resto es cosa tuya.
Te recomiendo empezar por los que tienen el gráfico de “Difficulty” muy verde. Una vez que consigas la flag de user y la de root (son siempre un hash), debes introducirlas en el apartado “Operations” y te sumarán los puntos. Si consigues muchos puntos, podrás entrar en el Hall de la Fama, ¡y ser tan famoso como el mismísimo OscarAkaElvis!
En caso de que toques lo que no debas y quieras reestablecer la máquina, puedes hacerlo en el apartado “Operations” también. Pero cuidado, las máquinas se comparten entre los usuarios de Hack The Box, por lo que si estás a punto de conseguir el flag de root y otro usuario te reinicia la máquina, tendrás que empezar de nuevo.
Para evitarlo, debes dirigirte a Social -> Shoutbox. Allí te aparecerá un mensaje cuando alguien pida un reinicio de máquina, y dispondrás de dos minutos para cancelar ese reinicio escribiendo /cancel. Actíva las notificaciones del navegador para no tener que estar mirándolo constantemente:
Challenges
Los challenges suelen ser más sencillos y rápidos de hacer que las máquinas. No necesitas conectarte a una vpn para afrontarlos. Por ello, creo que es una buena opción empezar por aquí. Actualmente hay 8 tipos de retos distintos:
– Reversing: ingeniería inversa. Consiste en desensamblar un ejecutable para obtener el código fuente de la aplicación.
– Crypto: criptografía. Los retos se basan en poner en tela de juicio tu capacidad para romper cifrados.
– Stego: esteganografía. Consiste en ocultar mensajes dentro de textos, imagenes, audios… de forma que pasen inadvertidos. Si te interesa conocer más sobre las distintas herramientas de esteganografía, te recomiendo que leas este post.
– Pwn: para obtener la flag, deberás comprometer la seguridad de aquello que te den y hacerte su dueño y señor.
– Web: retos de hacking web. SQL injection, XSS, y mucho más.
– Misc: de todo un poco. No sabes qué te puedes encontrar.
– Forensics: deberás usar técnicas de la informática forense para descubrir el flag de los archivos.
– Mobile: hackeo de aplicaciones móviles.
Todos los retos consisten en averiguar el flag, que siempre tiene el formato HTB:{4lgun_t3xt0}.
Con este post ya tienes lo necesario para iniciarte en el mundo de los CTF’s. En posteriores blogs, explicaré distintas técnicas que pueden ser utilizadas para resolver challenges y máquinas.
http://hackinglethani.com/es/introduccion-hack-the-box/