/ vuln

Máquinas virtuales y Apps para Pentesting

Buscar un lugar donde podemos hacer nuestras pruebas sin dificultades se nos dificulta un poco, por eso aquí les dejo varios recursos con los cuales pueden configurar entornos virtuales:

Nota: No vinculare los links directos ya que pueden ser dinámicos y expirar al corto tiempo.

Windows 7 - 8.1 (x86 y x64)

Estas máquinas son ofrecidas desde el sitio de Microsoft. Conste que tienen un tiempo de caducidad de 90 días, así que lo recomendable es hacer un Snapshot de la imagen luego de correrlas.

  • IE8 on Win7 (x86)
  • IE9 on Win7 (x86)
  • IE10 on Win7 (x86)
  • IE11 on Win7 (x86)
  • IE11 on Win81 (x86)
  • Microsoft Edge on Win10 (x64) Stable (15.15063)
  • Microsoft Edge on Win10 (x64) Preview (16.16215)

Contraseña: Passw0rd!

Las máquinas pueden ser servidas en Vagrant, HyperV, VirtualBox y VMware.

Metasploitable

Es una máquina virtual creada intencionalmente para ser vulnerable. Tiene varios bugs, backdoors, software viejo y webapps que podemos probar y hackear a nuestro gusto.

Recuerda no dejar esta máquina expuestsa en NINGÚN lugar donde tengas información sensible.

Puede ser servida con VMware, aunque puedes convertirlas a VirtualBox si prefieres.

UltimateLamp

Es otra VM similar a Metasploit pero se concentra en vulnerabilidades LAMP Stack y ofrece vulnerabilidades en:

  • Bugzilla
  • Drupal
  • Joomla
  • Wordpress
  • PhpMyAdmin
  • Moodle

Entre otras.

WebGoat

WebGoat es una aplicación la cual asiste al Pentester probar vulnerabilidades encontradas familiarmente en Java.

Podemos iniciarlo en Docker lo cual facilita mucho el trabajo:

docker pull webgoat/webgoat-7.1
docker run -p 8080:8080 -t webgoat/webgoat-7.1

DVWA

Damn Vulnerable Web App (DVWA) es una aplicación web la cual es vulnerable a XSS, SQLi, Brute Force, RFI, entre otras.

Mutillidae

Similar a DVWA en propósito, pero tiene muchas mas vulnerabilidades webapps las cuales podemos probar.

Puede ser servida en LAMP, WAMP o XAMPP, para probarlo fácilmente. Es excelente para el aprendizaje.

Eso sería todo, si tenés alguna otra herramienta o VM para nuestro laboratorio virtual podés comentarlo con toda libertad.

Happy Hacking.

Franccesco Orozco

Amo la seguridad informatica, probar nuevas metodos, nuevas tecnicas, aprender y enseñar. Por eso tengo este blog, para presentar proyectos, apuntes, ideas y alguna que otra cosa que venga a mi mente.

Read More