Los eventos CTF (Capture The Flag) son cada vez más famosos en el mundo de la informática. Cada semana se realizan encuentros en los que amantes de la seguridad informática se reunen para demostrar sus habilidades en el hacking.
Y la forma en la que los hackers se entrenan para estos eventos son los laboratorios CTF, sitios web donde puedes encontrar cientos de retos de distintas categorías: web, pwn, esteganografía, criptografía…
Hack The Box es uno de estos laboratorios. No solo ofrece retos, sino que entrar en él es por sí mismo un reto: tienes que hackear la web para obtener una invitación.
Para hackear la invitación, primero dirígete a… ¡Alto! No habrá spoilers en este post. Si bien es cierto que al principio puede costar un poco, los ctfs son una cuestión de honor. Antes de pedir una pista o buscar en internet, trata de esforzarte al máximo. Si no consigues pasar por ti mismo este reto, dificilmente podrás enfrentarte a los CTF’s de Hack the Box.
Una vez que consigas la invitación, te encontrarás algo como esto:
***EDIT: La interfaz de HackTheBox ha cambiado recientemente. Para ver la introducción actualizada y las últimas novedades de esta web, visita este post.***
Por último, tenemos los Pro Labs
Por último, tenemos los Pro Labs
Recuerdo que cuando conseguí entrar, había tanta información que no tenía ni idea de qué hacer. Poco a poco irás descubriendo qué es cada cosa, pero de momento solo debes preocuparte por el panel lateral de la izquierda. En concreto, en la parte de Labs.
Hack The Box se divide esencialmente en dos partes: Máquinas y Challenges.
Máquinas
Las máquinas son la esencia de la página: son maquinas virtualizadas reales que debes explotar para conseguir el flag de usuario y el flag de root. Cada flag está en la carpeta home respectiva. Así de simple.
La conexión a las máquinas se realiza mediante una vpn. Para crearla, debes dirigirte a Access y descargarte el archivo usuario.ovpn, abre una terminal en linux y escribe donde lo hayas descargado:
openvpn usuario.ovpn
Una vez establecida la conexión, tan solo debes dirigirte a Machines -> Active y escoger la IP de la máquina que quieres intentar explotar. El resto es cosa tuya.
Te recomiendo empezar por los que tienen el gráfico de «Difficulty» muy verde. Una vez que consigas la flag de user y la de root (son siempre un hash), debes introducirlas en el apartado «Operations» y te sumarán los puntos. Si consigues muchos puntos, podrás entrar en el Hall de la Fama, ¡y ser tan famoso como el mismísimo OscarAkaElvis!
En caso de que toques lo que no debas y quieras reestablecer la máquina, puedes hacerlo en el apartado «Operations» también. Pero cuidado, las máquinas se comparten entre los usuarios de Hack The Box, por lo que si estás a punto de conseguir el flag de root y otro usuario te reinicia la máquina, tendrás que empezar de nuevo.
Para evitarlo, debes dirigirte a Social -> Shoutbox. Allí te aparecerá un mensaje cuando alguien pida un reinicio de máquina, y dispondrás de dos minutos para cancelar ese reinicio escribiendo /cancel. Actíva las notificaciones del navegador para no tener que estar mirándolo constantemente:
Challenges
Los challenges suelen ser más sencillos y rápidos de hacer que las máquinas. No necesitas conectarte a una vpn para afrontarlos. Por ello, creo que es una buena opción empezar por aquí. Actualmente hay 8 tipos de retos distintos:
– Reversing: ingeniería inversa. Consiste en desensamblar un ejecutable para obtener el código fuente de la aplicación.
– Crypto: criptografía. Los retos se basan en poner en tela de juicio tu capacidad para romper cifrados.
– Stego: esteganografía. Consiste en ocultar mensajes dentro de textos, imagenes, audios… de forma que pasen inadvertidos. Si te interesa conocer más sobre las distintas herramientas de esteganografía, te recomiendo que leas este post.
– Pwn: para obtener la flag, deberás comprometer la seguridad de aquello que te den y hacerte su dueño y señor.
– Web: retos de hacking web. SQL injection, XSS, y mucho más.
– Misc: de todo un poco. No sabes qué te puedes encontrar.
– Forensics: deberás usar técnicas de la informática forense para descubrir el flag de los archivos.
– Mobile: hackeo de aplicaciones móviles.
Todos los retos consisten en averiguar el flag, que siempre tiene el formato HTB:{4lgun_t3xt0}.
Con este post ya tienes lo necesario para iniciarte en el mundo de los CTF’s. En posteriores blogs, explicaré distintas técnicas que pueden ser utilizadas para resolver challenges y máquinas.
Lethani.
5 comentarios en «Introducción a Hack the Box»