Sharing is caring!

Há uns meses atrás, conversando com alguns pessoas pelo Twitter sobre o exame de Offensive Security, uma pessoa me indicou o site “https://www.hackthebox.eu”, esse site é uma plataforma gratuita (também tem a versão paga) para testar as habilidades em segurança ofensiva, ou seja, testes de invasão. Existem dezenas de máquinas com vulnerabilidades nesse ambiente, tanto Windows como Linux, todo o acesso é feito via VPN que é disponibilizada pelo site após um cadastro.

O primeiro desafio do Hack The Box é conseguir o invite para se cadastrar, o próprio site avisa que se você não conseguir fazer isso, nem adianta entrar no site pois não vai conseguir comprometer os servidores disponíveis no ambiente.

No Painel principal do site vemos um panorama dos usuários que estão online e o ranking dos melhores colocados em pontuação.

Na parte superior é onde ficam as instruções de como você deve se conectar usando o arquivo de VPN que o site disponibiliza e depois as máquinas vulneraveis que estão ativas no momento no laboratório deles, esse site é ótimo para quem quer testar suas habilidades de invasão e também para aqueles que querem estudar vários ambientes diferentes antes de tentar o exame da Offensive Security, embora a empresa do Kali Linux também tenha seu laboratório particular para treinamento antes da prova.

Na imagem acima, vemos algumas das máquinas que são disponibilizadas pelo Hack The Box, com seu IP (Range 10.10.10.0/24) e seu nível de dificuldade para comprometer o sistema, a invasão deve ser feita em dois passos, primeiro acessar o sistema como usuário comum, achar e ler o conteúdo do arquivo user.txt e depois escalar privilégios de administrador e ler o conteúdo do arquivo root.txt, tanto para ambiente Windows como para ambiente Linux.

Na imagem acima estão alguns estudos que fiz quando estava com mais tempo para poder treinar no ambiente Hack The Box e abaixo estão os arquivos que havia falado anteriormente que é preciso capturar para validar que a invasão do servidor teve sucesso.

É sempre bom ir documentando tudo, principalmente o que foi feito para invadir o sistema, como são muitos servidores, com o tempo você nem vai lembrar mais como invadiu tal servidor.

Abaixo está como a conexão ao ambiente é feita, após o download do arquivo da VPN, basta chamar o mesmo com o comando openvpn.

Interface “tun0” ativada, agora já é possível pingar e acessar todos os servidores da rede do Hack The Box.

Recomendo fortemente o uso desse ambiente para treinamento, principalmente pela presença de servidores Windows, muitos estudantes de segurança e hacking gostam de fazer invasões em ambiente Linux mas esquecem que boa parte do mundo corporativo usa massivamente Windows, para Active Directory, WSUS, Radius e tantos outros serviços e executar uma invasão em um servidor Windows muitas vezes é bem mais complicado que um servidor Linux.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2 thoughts on “Hack The Box

  1. Muito obrigado pelo post, muito bem explicado e uma ótima dica para estudos de PenTest, seu blog é muito top! Espero poder aprender mais contigo, forte abraço!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *