Hack The Box: teste suas habilidades em segurança ofensiva (testes de invasão)

AGRADEÇA AO AUTOR COMPARTILHE!

Você conhece o ambiente de treinamento para pentesters chamado Hack The Box

Esse site é uma plataforma gratuita (também tem a versão paga) para testar suas habilidades em segurança ofensiva, ou seja, testes de invasão. Existem dezenas de máquinas com vulnerabilidades nesse ambiente, tanto Windows como Linux, todo o acesso é feito via VPN que é disponibilizada pelo site após um cadastro.

hack-the-box_001

O primeiro desafio do Hack The Box é conseguir o invite para se cadastrar. O próprio site avisa que se você não conseguir fazer isso, nem adianta entrar no site pois não vai conseguir comprometer os servidores disponíveis no ambiente.

hack-the-box_002

No Painel principal do site vemos um panorama dos usuários que estão online e o ranking dos melhores colocados em pontuação.

hack-the-box_003

Na parte superior é onde ficam as instruções de como você deve se conectar usando o arquivo de VPN que o site disponibiliza e depois as máquinas vulneráveis que estão ativas no momento no laboratório deles. Esse site é ótimo para quem quer testar suas habilidades de invasão e também para aqueles que querem estudar vários ambientes diferentes antes de tentar o exame da Offensive Security, embora a empresa do Kali Linux também tenha seu laboratório particular para treinamento antes da prova.

hack-the-box_005

Na imagem acima, vemos algumas das máquinas que são disponibilizadas pelo Hack The Box, com seu IP (Range 10.10.10.0/24) e seu nível de dificuldade para comprometer o sistema. A invasão deve ser feita em dois passos: primeiro acessar o sistema como usuário comum, achar e ler o conteúdo do arquivo user.txt e depois escalar privilégios de administrador e ler o conteúdo do arquivo root.txt, tanto para ambiente Windows como para ambiente Linux.

hack-the-box_006

Na imagem acima estão alguns estudos que fiz quando estava com mais tempo para poder treinar no ambiente Hack The Box e abaixo estão os arquivos que havia falado anteriormente que é preciso capturar para validar que a invasão do servidor teve sucesso.

hack-the-box_009

É sempre bom ir documentando tudo, principalmente o que foi feito para invadir o sistema. Como são muitos servidores, com o tempo você nem vai lembrar mais como invadiu tal servidor.

Abaixo está como a conexão ao ambiente é feita. Após o download do arquivo da VPN, basta chamar o mesmo com o comando “openvpn”.

hack-the-box_007

hack-the-box_008

hack-the-box_010

Interface “tun0″ ativada, agora já é possível pingar e acessar todos os servidores da rede do Hack The Box.

Recomendo fortemente o uso desse ambiente para treinamento, principalmente pela presença de servidores Windows. Muitos estudantes de segurança e hacking gostam de fazer invasões em ambiente Linux mas esquecem que boa parte do mundo corporativo usa massivamente Windows para Active Directory, WSUS, Radius e tantos outros serviços e executar uma invasão em um servidor Windows muitas vezes é bem mais complicado que um servidor Linux.

AGRADEÇA AO AUTOR COMPARTILHE!

André Luna

Mais artigos deste autor »

Criador do site shellzen.net, pesquisador de temas relacionados com segurança da informação, como ethical hacking, ethical carding, crimes virtuais e rede Onion.


Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">