Los sitios para CTF son muchos y variados, revisaremos 5 que son de los más completos que he encontrado.
Empezaremos diciendo que es un sitio de CTF (Capture The Flag), estas paginas están basadas en 2 tipos de juego, uno es en el que dos equipos tienen una bandera y mientras cuidan que el otro equipo no se la robe, atacan para obtener la bandera del otro equipo
El otro es un juego llamado Jeopardy, en el que muy resumidamente los concursantes van respondiendo preguntas sobre un tema y esto va desbloqueando nuevas preguntas con mayor puntaje.
Los eventos de CTF son más en su gran mayoría de la tipo Jeopardy (algunos literalmente lo aclaran), porque generalmente son retos específicos, que vas resolviendo y vamos siguiendo con otros de mayor nivel y así.
Los eventos realmente CTF son aquellos en los que debes defender y atacar, en estos te dan un recurso como un servidor que debes defender y tambien te dan un objetivo, esto está mucho más cercano a la dinámica del juego CTF.
En todo caso pues el término CTF se ha popularizado y así es como es más fácil encontrarlos en Internet y en varias de estas páginas las dos opciones coexisten de alguna manera.
Algunos sitios puede que no sean tan apropiados para principiantes o al menos no todos, esto es importante porque los sitios más para principiantes tendrán retos para que entiendas un concepto y en general podrían tener documentación sobre el tema específico, mientras que los más avanzados no te darán mucha más pista que la clasificación en la que esté el reto.
Entonces este listado es una mezcla así que pondré en cada uno las ayudas que puedan existir para los más principiantes.
Hack The Box
Podemos decir que por lejos uno de los más completos,en HTB (HackTheBox ) tienes muchas opciones, creo que explicar a profundidad cada uno por que la entrada sería muy larga pero intentare pasar por las a más llamativas.
Importante recordar que esta pagina esta en ingles pero nada que temer, su navegación es sencilla e intuitiva, aunque algún conocimiento en el idioma sí que es necesario.
Lo primero que debemos decir es que para poder registrarte es que debes “Hackear” tu entrada, la página pide un código de invitación, que debes encontrar, cambia cada cierto tiempo, no es complicado pero si se debe tener cierto conocimiento del funcionamiento de paginas web y algunos conceptos de hacking web.
Una vez logras ingresar tenemos la siguiente vista general
Vamos a tratar algunas secciones brevemente:
- Dashboard: Esta sección es la que te da la visión de lo que está pasando, desde que países con las estadísticas de los equipos y como va la cosa.
- Labs: De esta sección solo vamos a tratar más temas por que son bastante extensos y suficientes para que después explores las otras opciones.
- access: Aqui esta toda la información de cómo conectarse a la red para el ataque a las máquinas que tiene el sitio.
- machines: como su nombre indica es donde se encuentra la información de los equipos que están disponibles para ser atacados, en estos la finalidad para obtener puntaje es obtener acceso como usuario y root.
- challenges:aquí están los retos sueltos, clasificado por temas como Criptografía y Esteganografía; Exploiting, Forense, Análisis de tráfico, Reversing, etc, con sus datos de dificultad determinado por los usuarios que logran resolverlos.
- Carrers: Esta parte me parece excelente, ya que permite postularse a trabajo de hacking, es una sección buenisima, por lógicas razones se necesitan buenas habilidades para clasificar en esos trabajos pero pues tampoco que sea imposible y es un sistema que no he visto en ninguna otra página.
Ahora es momento de decir que puedes acceder en general a las máquinas activas y a los challenges de manera gratuita, pero esta pagina tiene una opción de pago, que te da acceso a las máquinas y su puntaje aun después de ser desactivadas (completar)
Hay una sección donde puedes acceder a los writes de las máquinas que ya no están disponibles, donde explican paso a paso al menos una de las maneras de obtener el usuario y el root… son muy buenos.
Lo importante es que primero logres entrar… esto si que ojala lo hagas sin buscar que te digan cómo, busca que te den pistas, lee, entiéndelo y descifrarlo, al final si no logras entender lo suficiente como para entrar por ti mismo posiblemente te estrelles con los retos y las máquinas sin saber que hacer y te frustres y la dejes y si hay pagina que no tiene un solo reto o máquina en desperdicio es esta.
Atenea
Root-Me
Lo primero que no puedo evitar contarte de esta web es que es francesa, tiene en su gran mayoría la traducción a Ingles, español y alemán, pero no esperes que sea completa la traducción y aunque muchos de los restos tienen documentación para que sepas por dónde tomarlo que es un detalle genial, pero esta documentación si que está en francés en su mayoría.
Esta página tiene una sección que es tipo campo de batalla, como las máquinas de HTB que están en una misma red, se necesita un poco más de destreza para hacer este tipo de retos pero te enferenta más a la realidad de ejercicios de Hacking
ae27ff
Esta página si es algo especial, aquí al resolver el reto, este te da la palabra o número que debes colocar en la url para el siguiente reto, es bueno en el sentido en el que da apenas las pistas suficientes para que le pongas lógica e investigues un poco el tema y lo logres, es bastante entretenido, toca muchos temas y todo dentro del marco de la página en sí misma, es como si toda la plataforma fuera un reto y no solo contuviera a los mismos.
Es divertida y aprendes bastante, además tiene una sección de tips que contiene desde consejos y pistas hasta enlaces a software de utilidad, mucha utilidad.
Vulnhub
Esta no es una página del tipo CTF en sí misma, es decir no es la página en la que te registras y resuelves y te dan puntaje, pero lo que sí es, también llenara tus expectativas, en ella se encuentra una cantidad increíble de laboratorios, en su gran mayoría te permite descargar máquinas virtuales configuradas para atacar, algo así como Metasploitable (que de hecho tambien esta) , así de esta manera descargas el lab y lo montas en tu red de máquinas virtuales y empiezas la diversión, algunas son muy estructuradas con todas las cosas que puedes hacer y con descripciones muy específicas, otras simplemente te dicen como descargar y obtener usuario y root.
Algo que se debe tener en cuenta con estas máquinas es que no siempre se sabe que pueden contener, así que mantenlas en máquinas virtuales y lo suficientemente lejos de tu red, no sabes cual puede tener un malware que pueda infectar la red y lo que menos quieres es que eso pase.
Es una página que está muy bien y todo el tiempo hay nuevos recursos, si hay que tener cuidado con lo que te descargas pero creo que es una muy buena opción, sobretodo por que son maquinas que como solo estas atacando tu no tienes riesgos de que un laboratorio o prueba no funciona porque otro usuario hizo algo a la máquina o que si estás haciendo alguna configuración nadie te va a resetear la máquina como en HTB.
Extra: We chall
Esta página no es de CTF pero si tiene una base de datos de páginas de ese estilo, porque aquí solo vimos 5 pero lo que hay son paginas locas para tratar estos temas, We chall te permite enlazar en su cuenta todos los usuarios y cuentas que tienes en otras páginas y va actualizando tu progreso, lo que le permite generar rankings pero no solo de una página sino de todas y eso esta genial, ademas tiene todos los enlaces a las páginas, aunque no guarda sus contraseñas, cada tanto van actualizando y poniendo nuevos recursos. Vale la pena que te registres y lo utilices.
Pingback: Hacking Challenges - Reto 1 - Hacking Ético Blog