Last updated on octubre 16, 2020
Uno de los primeros posts de esta web fue una introducción a la plataforma que me ha acompañado desde el inicio de mi carrera en el hacking. Se trata de HackTheBox, una plataforma de pentesting en la que miles de intrépidos hackers compiten tratando de hacerse con el control del máximo número de máquinas posible.
Hace ya más de dos años de ese post, y la plataforma ha sufrido grandes cambios. No solo han aumentado exponencialmente el número de usuarios de esta plataforma, sino que últimamente han añadido distintas características muy novedosas. Vamos a repasarlas.
Interfaz Actualizada
Lo primero que vemos nada mas entrar es un panel con varios enlaces y estadísticas.
El primer botón es para descargarnos la VPN que nos permitirá conectarnos al laboratorio.
A continuación está el enlace para acceder a todas las máquinas disponibles.
Máquinas Disponibles
Hay 20 máquinas activas. Cada semana, los sábados, se retira una máquina de las activas, y se introduce otra nueva.
De izquierda a derecha, en esta interfaz podemos observar el nombre de la máquina, el nivel de dificultad que han otorgado los usuarios que han conseguido hackearla, la puntuación, el número de personas que han conseguido obtener la flag de usurio y la flag de root, el último reinicio y tres botones: añadir a la lista de máquinas por hacer, reiniciar la máquina y entregar un flag.
Para empezar a hackear, basta con iniciar la vpn que descargamos, y pulsar en el nombre de la máquina que queramos hacer.
Aquí accederemos a todos los datos de la máquina: un histograma del numero de personas que ha resuelto la máquina, y un gráfico que nos indica de qué tipo es la máquina: si para hackearla la clave es enumerar, si la máquina es parecida a una que pudieras encontrarte en la vida real, si la clave es explotar una vulnerabilidad con CVE, si por el contrario tienes que modificar un exploit o crearlo tú mismo, o si se trata de una máquina pensada para un CTF y para explotarla se requieren técnicas que no se utilizarían en la vida real.
Además, aqui podemos ver la dirección IP de la máquina. Es todo cuanto necesitamos para empezar a hackear. El fin es obtener acceso a la máquina a nivel de usuario (y conseguir el flag de user) para terminar escalando privilegios y obtener acceso como usuario administrador (obteniendo el flag de root).
Usuarios normales, VIP, y VIP+
Los usuarios normales pueden acceder a cualquiera de las máquinas activas, sin embargo tendrán que compartir las máquinas con muchos otros jugadores. Por el contrario, los usuarios VIP tienen disponibles tanto las máquinas activas como las retiradas, y comparten las máquinas con un número muy pequeño de personas. Por último, recientemente se ha añadido la categoría de usuarios VIP+. Estos usuarios disponen de todas las máquinas para ellos solos.
Todas las máquinas retiradas tienen un documento con la solución de la máquina, así como un video de IppSec resolviendo la máquina paso a paso. Las máquinas activas no tienen solución, y está prohibido publicar la solución en internet hasta que no se retire.
Además, los usuarios VIP cuentan con otra ventaja: pwnbox
Pwnbox
Pwnbox es una distribución online personalizada que puedes utilizar desde el propio ordenador
Un usuario normal solo tiene disponibles dos horas de uso para probar, un usuario VIP dispone de 24h al mes y un usuario VIP+ dispone de acceso permanente.
Personalmente no me ha gustado mucho la experiencia, no solo porque no me ha ido todo lo fluido que podría ir, sino porque no puedo todo lo que instales o guardes se borra al finalizar la máquina, por lo que no permite la personalización que a mi me gusta. Sin embargo reconozco que es muy buena idea y que puede ser muy útil como recurso en caso de no disponer de un ordenador que pueda correr una buena máquina virtual con Kali Linux o Parrot Security (¿conoces las diferencias?) o en situaciones en las que quieras acceder rápidamente para comprobar algo sin tener que iniciar la VPN.
Retos
Además de las máquinas, HackTheBox dispone de retos individuales que no requieren de VPN.
Existen distintas categorías de retos, que ponen a prueba conocimientos como la ingeniería inversa, la criptografía, la esteganografía, comprometer sistemas (pwn), retos web, miscelánea, informática forense, pentesting de dispositivos m´óviles, OSINT y hacking hardware.
Antiguamente los retos eran permanentes, pero desde hace un tiempo han implementado el mismo sistema que utilizan con las máquinas: hay un máximo de 10 retos activos por categoría, y si un nuevo reto se añade otro se retira. Solo usuarios VIP pueden hacer los retos retirados.
Pro Labs
Los Pro Labs son laboratorios avanzados que simulan entornos complejos como podría ser el esquema de ordenadores de una empresa. Están pensados para usuarios avanzados y para realizarlos es necesario pagar cierta cantidad además de las suscripciones.
Hay distintos tipos, por ejemplo el de RastaLabs es un entorno de simulación de red team en el que mejorar las habilidades y aprender mientras realizas los distintos ataques.
Tracks
Los tracks son un conjunto de máquinas y retos que han agrupado para ayudarte a tener un camino a seguir. Para poder realizar la mayoría de ellos, es necesario ser VIP, puesto que casi todos cuentan con cajas o retos que ya no están activos.
Nueva Interfaz en fase Beta
La nueva interfaz de usuario es completamente distinta a la actual, mucho más dinámica e intuitiva. Por ahora sigue en fase beta, pero cuando pase a ser la interfaz de usuario oficial realizaré otro post explicando todas las funcionalidades. De momento se puede probar clicando en la parte superior de la pantalla, en el boton “New UI (BETA)”
Lethani.
[…] ***EDIT: La interfaz de HackTheBox ha cambiado recientemente. Para ver la introducción actualizada y las últimas novedades de esta web, visita este post.*** […]