Laboratorios de Practica: Aplicaciones y Sistemas Operativos Vulnerables

Todas las prácticas de seguridad informática son recomendables realizarlas en un entorno seguro, en un laboratorio de pruebas, en donde las pruebas no afecten nada productivo ni rompa nuestras computadoras. En este POST vamos a ver cómo crear un laboratorio de Test.

Antes que nada…

Recibí varios mensajes diciendo que tenían problemas con el uso de KALI y la creación de un LAB para realizar test y no afectar el funcionamiento de sus equipos, acá les voy a explicar cómo pueden hacer uno para que no tengan más problemas y puedan seguir probando los ataques que en este INCREIBLE BLOG muestra su humilde servidor KALQ.

Comencemos, antes que nada necesitamos una aplicación para la virtualización de las maquinas, existen 2 que son las más populares:

  • VMware Workstation Prohttps://my.vmware.com/web/vmware/downloads
    (esta versión es paga pero existe una que es TRIAL, lo que significa que te funciona por un determinado tiempo y luego tienes que pagarla!!!) Además de la versión VMWARE Workstation PRO existe una versión que entiendo que es gratis, se llama:
    VMware Workstation Player. (Ambas funcionan muy bien!!)
  • VIRTUALBOXhttps://www.virtualbox.org/wiki/Downloads (esta herramienta es GRATUITA) Funciona de mil maravillas y se puede instalar en cualquier sistema operativo (Windows 10 – OSX – Linux – Solaris)

Nota de Autor: Si tienen dudas cual bajar, les recomiendo que descarguen VIRTUALBOX ya que es GRATIS!!! Y no van a tener problemas nunca.

Tutorial de Descarga e Instalación de Virtualbox y VmWare Player (Nueva Sección VIDEOS)

Descarga e Instalación de Virtual Box:

Descarga e Instalación de VMWare Player:

Una vez que ya tenemos instalados, VMWARE o VIRTUALBOX procederemos a la instalación de KALI (Linux) en una nueva maquina virtual.

Para eso necesitamos descargar desde la página de KALI los archivos necesarios, la misma página ya tiene todo listo para ejecutarla sin esfuerzo de instalación (esto no sucede siempre)

https://www.offensive-security.com/kali-linux-vmware-arm-image-download/

Dependiendo la versión que ustedes tengan instalado es lo que van a tener que descargar, existen las maquinas lista para usar, tanto en VMWare como en Virtual Box:

1 – Eligen VMware o VirtualBox


2- Luego la versión de su máquina, 32 o 64bit, si no sabes cuál tienes que elegir, tienes que ir a PANEL DE CONTROL > SISTEMA Y SEGURIDAD > SISTEMA de esa manera obtendrás la siguiente información, en donde te dice si tienes 64bits o 32bits J (en mi caso tengo 64bits, ver imagen)


3- Luego de tener descargado KALI nos dirigimos a VMWARE o Virtual BOX (dependiendo cual descargaste) y le hacemos click en OPEN


4- Buscamos donde tenemos el KALI descargado:


5- Abrimos la carpeta y buscamos el archivo que termina en .VMX y luego hacemos click en ABRIR y listo.


6- Luego de hacer click en abrir, tenemos listo nuestro KALI 2.0 para usarlo, solo falta colocar Usuario y Contraseña

Usuario: ROOT

Contraseña: TOOR


Con eso finalizamos la creación de la máquina virtual y ya estaría lista para ser usada!


Revisando internet encontré que un loco (Aman Hardikar) se encargó de recolectar los links de varias máquinas virtuales Vulnerables creadas para practicar todo tipo de ataque en un entorno controlado 😉

APLICACIONES WEB VULNERABLES
OWASP BWA

http://code.google.com/p/owaspbwa/ 

OWASP Hackademic

http://hackademic1.teilar.gr/ 

OWASP SiteGenerator

https://www.owasp.org/index.php/Owasp_SiteGenerator

OWASP Bricks

http://sourceforge.net/projects/owaspbricks/ 

OWASP Security Shepherd

https://www.owasp.org/index.php/OWASP_Security_Shepherd 

Damn Vulnerable Web App (DVWA)

http://www.dvwa.co.uk/ 

Damn Vulnerable Web Services (DVWS)

http://dvws.professionallyevil.com/ 

WebGoat.NET

https://github.com/jerryhoff/WebGoat.NET/ 

PentesterLab

https://pentesterlab.com/ 

Butterfly Security Project

http://thebutterflytmp.sourceforge.net/ 

Foundstone Hackme Bank

http://www.mcafee.com/us/downloads/free-tools/hacme-bank.aspx 

Foundstone Hackme Books

http://www.mcafee.com/us/downloads/free-tools/hacmebooks.aspx 

Foundstone Hackme Casino

http://www.mcafee.com/us/downloads/free-tools/hacme-casino.aspx 

Foundstone Hackme Shipping

http://www.mcafee.com/us/downloads/free-tools/hacmeshipping.aspx 

Foundstone Hackme Travel

http://www.mcafee.com/us/downloads/free-tools/hacmetravel.aspx 

LAMPSecurity

http://sourceforge.net/projects/lampsecurity/ 

Moth

http://www.bonsai-sec.com/en/research/moth.php 

WackoPicko

https://github.com/adamdoupe/WackoPicko 

BadStore

http://www.badstore.net/ 

WebSecurity Dojo

http://www.mavensecurity.com/web_security_dojo/ 

BodgeIt Store

http://code.google.com/p/bodgeit/ 

hackxor

http://hackxor.sourceforge.net/cgi-bin/index.pl 

SecuriBench

http://suif.stanford.edu/~livshits/securibench/ 

SQLol

https://github.com/SpiderLabs/SQLol 

CryptOMG

https://github.com/SpiderLabs/CryptOMG 

XMLmao

https://github.com/SpiderLabs/XMLmao 

Exploit KB Vulnerable Web App

http://exploit.co.il/projects/vuln-web-app/ 

PHDays iBank CTF

http://blog.phdays.com/2012/05/once-again-about-remote-banking.html 

GameOver

http://sourceforge.net/projects/null-gameover/ 

Zap WAVE

http://code.google.com/p/zaproxy/downloads/detail?name=zap-wave-0.1.zip 

PuzzleMall

http://code.google.com/p/puzzlemall/ 

VulnApp

http://www.nth-dimension.org.uk/blog.php?id=88 

sqli-labs

https://github.com/Audi-1/sqli-labs 

Drunk Admin Web Hacking Challenge

https://bechtsoudis.com/work-stuff/challenges/drunk-admin-web-hacking-challenge/ 

bWAPP

http://www.mmeit.be/bwapp/ 
http://sourceforge.net/projects/bwapp/files/bee-box/

NOWASP / Mutillidae 2

http://sourceforge.net/projects/mutillidae/ 

SocketToMe

http://digi.ninja/projects/sockettome.php 

SISTEMAS OPERATIVOS VULNERABLES
Damn Vulnerable Linux

http://sourceforge.net/projects/virtualhacking/files/os/dvl/ 

Metasploitable

http://sourceforge.net/projects/virtualhacking/files/os/metasploitable/ 

LAMPSecurity

http://sourceforge.net/projects/lampsecurity/ 

UltimateLAMP

http://www.amanhardikar.com/mindmaps/practice-links.html 

heorot: DE-ICE, hackerdemia

http://hackingdojo.com/downloads/iso/De-ICE_S1.100.iso 
http://hackingdojo.com/downloads/iso/De-ICE_S1.110.iso
http://hackingdojo.com/downloads/iso/De-ICE_S1.120.iso
http://hackingdojo.com/downloads/iso/De-ICE_S2.100.iso
hackerdemia – http://hackingdojo.com/downloads/iso/De-ICE_S1.123.iso 

pWnOS

http://www.pwnos.com/ 

Holynix

http://sourceforge.net/projects/holynix/files/ 

Kioptrix

http://www.kioptrix.com/blog/ 

exploit-exercises – nebula, protostar, fusion

http://exploit-exercises.com/download 

PenTest Laboratory

http://pentestlab.org/lab-in-a-box/ 

RebootUser Vulnix

http://www.rebootuser.com/?page_id=1041 

neutronstar

http://neutronstar.org/goatselinux.html 

scriptjunkie.us

http://www.scriptjunkie.us/2012/04/the-hacker-games/ 

21LTR

http://21ltr.com/scenes/ 

SecGame # 1: Sauron

http://sg6-labs.blogspot.co.uk/2007/12/secgame-1-sauron.html 

Pentester Lab

https://www.pentesterlab.com/exercises 

Vulnserver

http://www.thegreycorner.com/2010/12/introducing-vulnserver.html 

TurnKey Linux

http://www.turnkeylinux.org/ 

Bitnami

https://bitnami.com/stacks 

Elastic Server

http://elasticserver.com 

CentOS

http://www.centos.org/ 

SITIOS PARA DESCARGAR APLICACIONES VIEJAS
Exploit-DB

http://www.exploit-db.com/ 

Old Version

http://www.oldversion.com/ 

Old Apps

http://www.oldapps.com/ 

VirtualHacking Repo

sourceforge.net/projects/virtualhacking/files/apps%40realworld/ 

SITIOS DE VENDEDORES DE SOFTWARE DE SEGURIDAD
Acunetix acuforum

http://testasp.vulnweb.com/ 

Acunetix acublog

http://testaspnet.vulnweb.com/ 

Acunetix acuart

http://testphp.vulnweb.com/ 

Cenzic crackmebank

http://crackme.cenzic.com 

HP freebank

http://zero.webappsecurity.com 

IBM altoromutual

http://demo.testfire.net/ 

Mavituna testsparker

http://aspnet.testsparker.com 

Mavituna testsparker

http://php.testsparker.com 

NTOSpider Test Site

http://www.webscantest.com/ 

SITIOS PARA MEJORAR TUS HABILIDADES DE HACKER
EnigmaGroup

http://www.enigmagroup.org/ 

Exploit Exercises

http://exploit-exercises.com/ 

Google Gruyere

http://google-gruyere.appspot.com/ 

Gh0st Lab

http://www.gh0st.net/ 

Hack This Site

http://www.hackthissite.org/ 

HackThis

http://www.hackthis.co.uk/ 

HackQuest

http://www.hackquest.com/ 

Hack.me

https://hack.me 

Hacking-Lab

https://www.hacking-lab.com 

Hacker Challenge

http://www.dareyourmind.net/ 

Hacker Test

http://www.hackertest.net/ 

hACME Game

http://www.hacmegame.org/ 

Hax.Tor

http://hax.tor.hu/ 

OverTheWire

http://www.overthewire.org/wargames/ 

PentestIT

http://www.pentestit.ru/en/ 

pwn0

https://pwn0.com/home.php 

RootContest

http://rootcontest.com/ 

Root Me

http://www.root-me.org/?lang=en 

Security Treasure Hunt

http://www.securitytreasurehunt.com/ 

Smash The Stack

http://www.smashthestack.org/ 

TheBlackSheep and Erik

http://www.bright-shadows.net/ 

ThisIsLegal

http://thisislegal.com/ 

Try2Hack

http://www.try2hack.nl/ 

WabLab

http://www.wablab.com/hackme 

XSS: Can You XSS This?

http://canyouxssthis.com/HTMLSanitizer/ 

XSS: ProgPHP

http://xss.progphp.com/ 

SITIOS DE “CAPTURA DE BANDERA” (CTF)
CTFtime (Details of CTF Challenges)

http://ctftime.org/ctfs/ 

shell-storm Repo

http://shell-storm.org/repo/CTF/ 

CAPTF Repo

http://captf.com/ 

VulnHub

https://www.vulnhub.com 

APLICACIONES MOBILES
ExploitMe Mobile Android Labs

http://securitycompass.github.io/AndroidLabs/ 

ExploitMe Mobile iPhone Labs

http://securitycompass.github.io/iPhoneLabs/ 

OWASP iGoat

http://code.google.com/p/owasp-igoat/ 

OWASP Goatdroid

https://github.com/jackMannino/OWASP-GoatDroid-Project 

Damn Vulnerable iOS App (DVIA)

http://damnvulnerableiosapp.com/ 

Damn Vulnerable Android App (DVAA)

https://code.google.com/p/dvaa/ 

Damn Vulnerable FirefoxOS Application (DVFA)

https://github.com/pwnetrationguru/dvfa/ 

NcN Wargame

http://noconname.org/evento/wargame/ 

Hacme Bank Android

http://www.mcafee.com/us/downloads/free-tools/hacme-bank-android.aspx 

InsecureBank

http://www.paladion.net/downloadapp.html 

OTRAS
VulnVPN

http://www.rebootuser.com/?page_id=1041 

VulnVoIP

http://www.rebootuser.com/?page_id=1041 

NETinVM

http://informatica.uv.es/~carlos/docencia/netinvm/ 

GNS3

http://sourceforge.net/projects/gns-3/ 

XAMPP

https://www.apachefriends.org/index.html 

Ya no tienen excusas! Ahora a practicar!! Y recuerden el estudio de K. Anders Ericsson
el cual explico que para ser un experto en algo se requieren 10.000 horas de entrenamiento (LINK A LA INVESTIGACION – INGLES), ya lo sé el camino es largo 10.000 horas es mucho, pero recuerda que “hasta la caminata más larga comienza con el primer paso” — Proverbio Hindú.

Matias, Vice Presidente Junior at BlueScreenSEC


Anuncios

Acerca de Matias

Soy un apasionado de la tecnología y la seguridad informática, me siento sugestionado principalmente por la cultura de Microsoft y los fundamentos del Gray Hat Hacking. Soy una persona que me apasiona lo que hago, aprendiendo y compartiendo lo aprendido. En mis tiempos libres iré publicando entradas relacionadas con estudios y técnicas que he ido asimilando a lo largo de investigaciones, todas enfocadas a las diferentes facetas de la informática con un énfasis especial en Windows y en seguridad. Saludos Cordiales.-
Esta entrada fue publicada en Cursos, Seguridad y etiquetada . Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s