Press "Enter" to skip to content

Introducción a Hack the Box

Last updated on noviembre 9, 2020

Los eventos CTF (Capture The Flag) son cada vez más famosos en el mundo de la informática. Cada semana se realizan encuentros en los que amantes de la seguridad informática se reunen para demostrar sus habilidades en el hacking. 

Y la forma en la que los hackers se entrenan para estos eventos son los laboratorios CTF, sitios web donde puedes encontrar cientos de retos de distintas categorías: web, pwn, esteganografía, criptografía…

Hack The Box  es uno de estos laboratorios. No solo ofrece retos, sino que entrar en él es por sí mismo un reto: tienes que hackear la web para obtener una invitación.

Para hackear la invitación, primero dirígete a… ¡Alto! No habrá spoilers en este post. Si bien es cierto que al principio puede costar un poco, los ctfs son una cuestión de honor. Antes de pedir una pista o buscar en internet, trata de esforzarte al máximo. Si no consigues pasar por ti mismo este reto, dificilmente podrás enfrentarte a los CTF’s de Hack the Box.

Una vez que consigas la invitación, te encontrarás algo como esto:

***EDIT: La interfaz de HackTheBox ha cambiado recientemente. Para ver la introducción actualizada y las últimas novedades de esta web, visita este post.***

 

Por último, tenemos los Pro Labs

 

Por último, tenemos los Pro Labs

 

Recuerdo que cuando conseguí entrar, había tanta información que no tenía ni idea de qué hacer. Poco a poco irás descubriendo qué es cada cosa, pero de momento solo debes preocuparte por el panel lateral de la izquierda. En concreto, en la parte de Labs.

Hack The Box se divide esencialmente en dos partes: Máquinas y Challenges

Máquinas

Las máquinas son la esencia de la página: son maquinas virtualizadas reales que debes explotar para conseguir  el flag de usuario y el flag de root. Cada flag está en la carpeta home respectiva. Así de simple.

La conexión a las máquinas se realiza mediante una vpn. Para crearla, debes dirigirte a Access y descargarte el archivo usuario.ovpn, abre una terminal en linux y escribe donde lo hayas descargado:

openvpn usuario.ovpn 

Una vez establecida la conexión, tan solo debes dirigirte a Machines -> Active y escoger la IP de la máquina que quieres intentar explotar. El resto es cosa tuya. 

Te recomiendo empezar por los que tienen el gráfico de “Difficulty” muy verde. Una vez que consigas la flag de user y la de root (son siempre un hash), debes introducirlas en el apartado “Operations” y te sumarán los puntos. Si consigues muchos puntos, podrás entrar en el Hall de la Fama, ¡y ser tan famoso como el mismísimo OscarAkaElvis!

En caso de que toques lo que no debas y quieras reestablecer la máquina, puedes hacerlo en el apartado “Operations” también. Pero cuidado, las máquinas se comparten entre los usuarios de Hack The Box, por lo que si estás a punto de conseguir el flag de root y otro usuario te reinicia la máquina, tendrás que empezar de nuevo.

Para evitarlo, debes dirigirte a Social -> Shoutbox. Allí te aparecerá un mensaje cuando alguien pida un reinicio de máquina, y dispondrás de dos minutos para cancelar ese reinicio escribiendo /cancel. Actíva las notificaciones del navegador para no tener que estar mirándolo constantemente:

Challenges

Los challenges suelen ser más sencillos y rápidos de hacer que las máquinas. No necesitas conectarte a una vpn para afrontarlos. Por ello, creo que es una buena opción empezar por aquí. Actualmente hay 8 tipos de retos distintos:

– Reversing: ingeniería inversa. Consiste en desensamblar un ejecutable para obtener el código fuente de la aplicación.

– Crypto: criptografía. Los retos se basan en poner en tela de juicio tu capacidad para romper cifrados.

– Stego: esteganografía. Consiste en ocultar mensajes dentro de textos, imagenes, audios… de forma que pasen inadvertidos. Si te interesa conocer más sobre las distintas herramientas de esteganografía, te recomiendo que leas este post.

– Pwn: para obtener la flag, deberás comprometer la seguridad de aquello que te den y hacerte su dueño y señor.

– Web: retos de hacking web. SQL injection, XSS, y mucho más.

– Misc: de todo un poco. No sabes qué te puedes encontrar.

– Forensics: deberás usar técnicas de la informática forense para descubrir el flag de los archivos.

– Mobile: hackeo de aplicaciones móviles.

Todos los retos consisten en averiguar el flag, que siempre tiene el formato HTB:{4lgun_t3xt0}.

Con este post ya tienes lo necesario para iniciarte en el mundo de los CTF’s. En posteriores blogs, explicaré distintas técnicas que pueden ser utilizadas para resolver challenges y máquinas.

 

Lethani.

5 Comments

  1. […] Con esto doy fin a esta breve explicación de las distintas herramientas de esteganografía que se pueden encontrar hoy en día. Ahora que ya sabes todo esto, puedes probar tú mismo estas herramientas intentando resolver los retos de esteganografía que hay en Hack The Box. Con esta información podrás resolver entorno al 90% de los mismos. Si aun no conoces Hack The Box, te recomiendo que visites mi post “Introducción a Hack The Box”. […]

  2. […] – Stego: steganography. It consists of hiding messages inside texts, images, audios… so that they go unnoticed. If you want to know more about steganography, you can read my post “Steganography: the art of hiding”. […]

  3. […] hablado muy bien de ella, y porque es una máquina publicada en vulnhub, una plataforma parecida a Hack The Box. Esta máquina tiene un writteup (una solución) público, por lo que mostrar paso a paso cómo […]

  4. […] heard a lot about it, and because it’s a machine published on vulnhub, a platform similar to Hack The Box. This machine has a public writteup (a solution), so showing step by step how to make it is not a […]

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *