ArchiTecnologia

Aprendizaje abierto. Conocimiento libre.

ArchiTecnologia
AsesoramientoConsejosSeguridad

Sistemas vulnerables para practicar ataques

Con este nuevo artículo completo la trilogía de sistemas operativos para hacking. En el primero mostré los sistemas operativos seguros, el segundo para distros para pentesting o auditorías de seguridad, y en este otro algunas máquinas vulnerables con las que podrás practicar.

Así tendrás a mano un buen repertorio de sistemas que tienen diferentes vulnerabilidades adrede, o pruebas tipo CTF (Capture The Flag) para divertirte y aprender sobre seguridad, además de tener sistemas objetivo a los que atacar de forma totalmente legal…

¿Dónde localizar los recursos?

Hacer una lista estática no es una buena idea, ya que algunos proyectos se abandonan, otros se actualizan con nuevas versiones, e incluso llegan otros nuevos. Por eso, para poder localizar los recursos que necesitas primero deberías conocer fuentes como:

  • Vulnhub: es un sitio donde vas a encontrar un sin fin de máquinas virtuales vulnerables.
  • Crackmes: si te gusta el cracking, entonces puedes encontrar multitud de prácticas en este otro sitio.
  • Root-me: es otro sitio donde encontrarás una buena cantidad de retos de seguridad.
  • HackThisSite: un sitio con vulnerabilidades a tu alcance para investigar y practicar ataques.
  • Hack The Box: otro lugar donde encontrar labs, CTFs y otros recursos para hacking.
  • CTFlearn: otro sitio especialmente orientado a los principiantes y con multitud de retos.
  • OverTheWire y SmashTheStack: una comunidad que ofrece un buen repertorio de wargames para practicar conceptos de seguridad.
  • Hellbound Hackers: otro lugar donde encontrar más recursos para hacking.
  • Game of Hacks: una aventura para ponerte a prueba en cuanto a conocimientos de seguridad.
  • Try2Hack: des un sitio con varios retos orientados a comprobar tus habilidades sobre ciberseguridad.
  • SlaveHack: otro lugar donde explorar tus límites.
  • HackThis!: una plataforma interactiva más sobre ciberseguridad donde practicar.
  • CTF365: otra interesante plataforma para entrenamiento sobre seguridad informática.
  • NewBieContest: otra web más en la que encontrar recursos y retos sobre seguridad.
  • W3CHALLS: comunidad que provee de retos sobre seguridad tipo CTF.
  • Hack.me: más recursos y retos…
  • Otros: existen multitud de blogs especializados en seguridad como fwhibbit.es donde ver walkthrough o write-ups, sitios para aprender como Code Space Academy, CTFs particulares, bases de datos de vulnerabilidades (CVE) para estar al día, o PentesterLab como lab para explorar las últimas CVE, infinidad de herramientas y exploits gratis, así como algunos videojuegos y apps que simulan entornos vulnerables con los que practicar. Los recursos a tu alcance son casi infinitos…

Lista de sistemas vulnerables

En cuanto a las máquinas vulnerables, tienes un sin fin de ellas. Aquí te muestro algunas de las más interesantes:

Metasploitable

Metasploitable es una de las máquinas vulnerables por excelencia. Se basa en Ubuntu y cuenta con una serie de vulnerabilidades intencionadas y configuraciones por defecto poco seguras. Tienes varias versiones de esta máquina de Rapid7 a tu disposición, como Metasploitable 1, 2 y 3.

Descargar Metasploitable

Kioptrix

Kioptrix es un sistema vulnerable basado en Linux. Dentro tienes varios niveles y retos que te pondrán a prueba. También puedes encontrar diversas versiones para variar.

Descargar Kioptrix

NOWASP (OWASP Multillidae)

NOWASP o Mutillidae II es otro trabajo bajo el proyecto OWASP y orientado para aprender sobre malas prácticas de los desarrolladores webs que hacen que las páginas sean inseguras.

Descargar Mutillidae II

Security Sherpherd

Security Sherpherd es otra alternativa al anterior, también de OWASP y orientada a practicar ataques para comprobar la seguridad web.

Descargar Security Sherpherd

Bricks!

Bricks! es una web con una serie de vulnerabilidades centrada en la seguridad de PHP y bases de datos MySQL. También es de OWASP.

Descargar Briks!

WebGoat

WebGoat también pertenece al proyecto OWASP. En este caso se centra en la seguridad de apps Java.

Descargar WebGoat

iGoat

iGoat está inspirado en el anterior, solo que orientado a los desarrolladores o pentesters que desean aprender sobre las principales vulnerabilidades de iOS.

Descargar iGoat

Owaspbwa

Owaspbwa o OWASP Broken Web Application es una máquina virtual con varias web-apps vulnerables.

Descargar Owaspbwa

Vicnum Project

OWASP Vicnum Project también se centra en las web-apps escritas en PHP, para que puedas practicar técnicas de inyección SQL, XSS, etc.

Descargar Vicnum Project

Damn Vulnerable Linux (DVL)

Damn Vulnerable Linux es otra de las máquinas vulnerables más conocidas. También puedes encontrar varias versiones con retos diferentes.

Descargar DVL

Damn Vulnerable Web App (DVWA)

Damn Vulnerable Web App se centra en las apps web vulnerables, con un completo entorno PHP y bases de datos MySQL donde practicar.

Descargar DVWA

Damn Vulnerable iOS App (DVIA)

Damn Vulnerable iOS App te provee de una app iOS vulnerable para poder comprobar tus dotes sobre seguridad.

Descargar DVIA

Damn Insecure and Vulnerable App (DIVA)

Damn Insecure and Vulnerable App está diseñado de forma similar al anterior, para que dispongas de una app insegura, pero esta vez de Android.

Descargar DIVA

Holynix

Holynix es otra popular máquna Linux con agujeros de seguridad que puedes explotar. Además, cuenta con varias versiones.

Descargar Holynix v1 y v2

NETinVM

NETinVM es una máquina que implementa una completa red de sistemas de forma virtual para poder aprender sobre seguridad de redes y sistemas.

Descargar NETinVM

LAMPSecurity

LAMPSecurity es una máquina virtual vulnerable que tiene un sistema LAMP (Linux Aapche MySQL PHP). También podrás encontrar varias versiones.

Descargar LAMPSecurity

pWnOS

pWnOS es otra conocida máquina virtual vulnerable. Se basa en un sistema Linux y tienes varias versiones para probar.

Decargar pWnOS

bWAPP (bee-box)

bWAPP (buggy Web APPlication) es otro de los proyectos más conocidos. Provee una web insegura implementada en un servidor o en una MV, según prefieras.

Descargar bWAPP

VulnOS

VulnOS es otros istema operativo vulnerable en el que tratar de explotar distintas vulnerabilidades hasta conseguir privilegios.

Descargar VulnOS

The Frequency

The Frequency es una máquina vulnerable basada en OpenBSD. Deberás explotar distintas vulnerabilidades y valerte de ciertas artimañas hasta consguir acceso root.

Descargar The Frequency

Command Injection OS

Command Injection OS es una distribución basada en Ubuntu con 10 apps cotidianas que tienen vulnerabilidades para probar command injection.

Descargar CIOS

SmashTheTux

SmashTheTux es otra máquina vulnerable, pero con retos dirigidos a los que buscan mejorar en cuanto a explotación de binarios.

Descargar SmashTheTux

Exploit-Exercises

Exploit-Exercises provee de varias máquinas vulnerables completas donde practicar ingeniería inversa, análisis criptográfico, captura de paquetes, explotación de vulnerabilidades, escalada de privilegios, hacking web, auditorías de redes, password cracking, etc.

Descargar Exploit Exercises

Lab in A Box

Lab in A Box es un sistema con vulnerabilidades y herramientas de penetración preinstaladas para tener un todo en uno. También incluye una red DMZ, firewall preconfigurado, y red interna.

Descargar Lab in A Box

Pandora

Pandora es una máquina virtual para los apasionados de la ingeniería inversa y explotación de binarios.

Descargar Pandora

Rattus: Loophole

Rattus es un Live que te pondrá a prueba, pero que te sumerge en una historia interesante. Tendrás que ponerte en la piel de un investigador que trata de averiguar quién ha accedido a los laboratorios y está colaborando con un grupo terrorista.

Descargar Rattus

Morning Catch

Morning Catch es una máquina vulnerable que simula un sistema de una empresa de mariscos. También emplea WINE para correr algunas apps nativas de Windows vulnerables.

Descargar Morning Catch

De-ICE PenTest LiveCDs

De-ICE es una serie de imágenes Live de Linux que simulan el sistema de una pequeña empresa y con numerosos retos.

Descargar De-ICE

Hell

Hell es otra máquina virtual muy completa para poder practicar desde explotación web, hasta password cracking, pasando por explotación de vulnerabilidades, análisis de binarios, etc.

Descargar Hell

HackLAB

HackLAB es otra serie de máquinas virtuales para practicar todo tipo de ataques a servicios: VoIP, VPN, vulnerabilidades de Linux, etc.

Descargar HackLAB

ROP Primer

ROP Primer es otro proyecto para practicar explotación de binarios mediante técnicas ROP (Return Oriented Programming).

Descargar ROP Primer

BodgeIt Store

BodgeIt Store es una web app vulnerable que imita una tienda online. Está especialmente pensada para principiantes.

Descargar BodgeIt Store

Gruyere

Gruyere es un proyecto de Google. Consiste en una web vulnerable para probar técnicas DoS, ejecución de código remoto, XSS, etc.

Descargar Gruyere

Juice Shop

Juice Shop es otra alternativa para poder probar ataques contra una web-app vulnerable escrita en Javascript.

Descargar Juice Shop

ExploitMe Mobile Android Labs

ExploitMe Mobile Android Labs ofrece un completo entorno para probar la seguridad de apps para el sistema operativo para dispositivos móviles de Google.

Descargar EMAL

Isaac

Apasionado de la computación y la tecnología en general. Siempre intentando desaprender para apreHender.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Si continuas utilizando este sitio aceptas el uso de cookies. más información

Los ajustes de cookies de esta web están configurados para "permitir cookies" y así ofrecerte la mejor experiencia de navegación posible. Si sigues utilizando esta web sin cambiar tus ajustes de cookies o haces clic en "Aceptar" estarás dando tu consentimiento a esto.

Cerrar