Otra semana que paso, parece ayer cuando se posteo la entrada de Hacking Lab Project - Basic Lab Setup I donde veíamos los primeros puntos necesarios para montar nuestro entorno de prueba, en el cual ya se tomo la decisión de trabajar con Kali Linux como nuestro entorno de ataque.
Ahora toca dar una pasada por los entornos de prueba (controlables que son vulnerables) que pase lo que pase, no sucederá nada malo, ni nos meteremos en problemas. Se tienen los siguientes entornos, los cuales vienen dentro de ellos con mas aplicaciones vulnerables, atentos que podemos bajar solo una de ellas y jugar pero nos sirve un entorno ya seteado.
OWASP Broken Web Applications Project
Owasp Broken Web Applications Project es una máquina virtual (VM), que se encuentra preparada con varios entornos vulnerables dentro un TEU del cual tenemos una guia de uso Open Web Application Security Project (OWASP) GUIDE
Aplicaciones usar o no usar.
Las aplicaciones que se encuentran en el paquete, las cuales podemos descargar fueron diseñadas especificamente para practicar y no se recomienda la instalacion de estas ¬_¬° en entornos reales.
Las aplicaciones que vienen incluidas son las siguientes:
- OWASP WebGoat version 5.4+SVN (Java)
- OWASP WebGoat.NET version 2012-07-05+GIT (ASP.NET)
- OWASP ESAPI Java SwingSet Interactive version 1.0.1+SVN (Java)
- OWASP Mutillidae II version 2.6.3.1+SVN (PHP)
- OWASP RailsGoat (Ruby on Rails)
- OWASP Bricks version 1.4+SVN (PHP)
- Damn Vulnerable Web Application version 1.8+GIT (PHP)
- Ghost (PHP)
- Magical Code Injection Rainbow version 2013-01-27+GIT (PHP)
PHP, PERL, Java y más…
Applications that have a wide variety of intentional security vulnerabilities, but are designed to look and work like a real application.
- OWASP Vicnum version 1.5 (PHP/Perl)
- OWASP 1-Liner (Java/JavaScript)
- Google Gruyere version 2010-07-15 (Python)
- Hackxor version 2011-04-06 (Java JSP)
- WackoPicko version 2011-07-12+GIT (PHP)
- BodgeIt version 1.3+SVN (Java JSP)
- Cyclone Transfers (Ruby on Rails)
- Peruggia version 1.2 (PHP)
Antiguedad el resultado es vulnerabilidad.
Si un CMS que se usa en un entorno real, da como resultado mucha vulnerabilidad, asi lo diria el maestro YodaOpen source applications with one or more known security issues.
WordPress 2.0.0 (PHP, released December 31, 2005) with plugins:
myGallery version 1.2
Spreadsheet for WordPress version 0.6
OrangeHRM version 2.4.2 (PHP, released May 7, 2009)
GetBoo version 1.04 (PHP, released April 7, 2008)
gtd-php version 0.7 (PHP, released September 30, 2006)
Yazd version 1.0 (Java, released February 20, 2002)
WebCalendar version 1.03 (PHP, released April 11, 2006)
Gallery2 version 2.1 (PHP, released March 23, 2006)
TikiWiki version 1.9.5 (PHP, released September 5, 2006)
Joomla version 1.5.15 (PHP, released November 4, 2009)
AWStats version 6.4 (build 1.814, Perl, released February 25,2005)
Y algunas aplicaciones mas metidas en el, para ello tienen y pueden acceder, a su repositorio Code Google - Owaspbwa.
Ahora veremos otro TEU por decirlo asi y les hablo de PentesterLab el cual nos brinda entornos para descubrir vulnerabilidade, y además de contar con guias que nos explican paso a paso como resolver los mismos.
Entornos Vulnerables que nos brinda Mcafee
Foundstone Hackme Bank
Foundstone Hackme Books
Foundstone Hackme Casino
**Foundstone Hackme Shipping **
Foundstone Hackme Travel
De-ICE, Hackerdemia
De ICE S1.100
De ICE S1.110
De ICE S1.120
De ICE S2.100
De ICE S1.123
No debemos de olvidar lo que nos brinda, VulnHub los cuales son entornos vulnerables realizados con el fin de ser vulnerables en el blog fuimos resolviendo algunos de ellos.
Entrada actualizada 23/01/2017
Regards,
Snifer