Kali Linux:

Pon a prueba tus técnicas de hackeo en

retos CTF (Capture The Flag)
Instructor:
Ing. Ricardo Párraga Zaldívar
 Introducción y bienvenida al curso
▪ Instructor:
▪ Ing. Ricardo Párraga Zaldívar
▪ Ing. En Sistemas Informáticos
▪ Maestría en Seguridad y Gestión de Riesgos Informáticos

▪ Certificaciones:
▪ CompTIA Security+
▪ CISCO CCNA Cyber Ops
▪ EC-Council CEHv9
▪ Offensive Security Certified Professional – OSCP (próximamente)
 Que son los retos CFT?
▪ Los retos o competencias CTF - Capture The Flag (en español, Captura la
Bandera), son desafíos informáticos enfocados en la seguridad.

▪ El propósito es poner a prueba nuestros conocimientos de pentesting y

hacking e incluso aprender nuevas técnicas.

▪ El objetivo de cada CTF es resolver una serie de tareas que van

aumentado su grado de dificultad conforme se avanza en la vulneración
del sistema objetivo.

▪ El objetivo de participar en estos retos podría ser económico, por

reconocimiento, para prepararse para una certificación e incluso optar
por un mejor trabajo.
 Contenido del Curso
▪ Sección 1: Presentación

▪ Sección 2: [Básico] - Captura la Bandera con la máquina virtual "Basic

Pentesting: 1"

▪ Sección 3: [Básico/Medio] - Captura las Banderas con la máquina virtual

"RickdiculouslyEasy"

▪ Sección 4: [Medio] - Captura la Bandera con la máquina virtual "Basic

Pentesting: 2"

▪ Sección 5: Conclusión
Kali Linux:
Pon a prueba tus técnicas de hackeo en
retos CTF (Capture The Flag)
Instructor:
Ing. Ricardo Párraga Zaldívar
Sección 2:
Captura la Bandera con la máquina virtual
"Basic Pentesting: 1"
Instructor:
Ing. Ricardo Párraga Zaldívar
 Captura la Bandera con la máquina virtual
"Basic Pentesting: 1"
▪ Descripción:
▪ La máquina virtual "Basic Pentesting: 1" alojada en www.vulnhub.com fue
creada por Josiah Pierce para su grupo de ciberseguridad de la universidad y
contiene múltiples vulnerabilidades y vectores de ataque para elevar
privilegios a usuario "root". Está diseñada para los que comienzan en
"Pentesting". Veremos 3 diferentes maneras de obtener usuario "root" por
medio de los 3 servicios en ejecución. El objetivo de este reto CTF ("Capture
The Flag") es únicamente uno, obtener acceso al servidor como usuario
"root".

▪ Requisitos para el laboratorio:

▪ Kali Linux
▪ Basic Pentesting: 1 (2.6 GB)
▪ https://www.vulnhub.com/entry/basic-pentesting-1,216/
 Captura la Bandera con la máquina virtual
"Basic Pentesting: 1"
▪ Conclusiones:
▪ Hemos visto 3 diferentes maneras de capturar la bandera, en este caso
obteniendo acceso a la cuenta de super usuario “root”.

▪ Herramientas utilizadas:
wpscan
nmap
metasploit
hydra
dirb
Sección 2:
Captura la Bandera con la máquina virtual
"Basic Pentesting: 1"
Instructor:
Ing. Ricardo Párraga Zaldívar
Sección 3:
Captura la Bandera con la máquina virtual
"RickdiculouslyEasy"
Instructor:
Ing. Ricardo Párraga Zaldívar
 Captura la Bandera con la máquina virtual
"RickdiculouslyEasy"
▪ Descripción:
▪ La máquina virtual "RickdiculouslyEasy" alojada en www.vulnhub.com fue
creada por Luke y tiene como tema la serie de "Rick and Morty". Contiene
múltiples vulnerabilidades y malas configuraciones que nos permitirán
encontrar diferentes banderas (archivos de texto) con diferentes puntajes.
El objetivo de este reto CTF ("Capture The Flag") es encontrar todas las
banderas que suman un total de 130 puntos y obtener acceso al servidor
como usuario "root".

▪ Requisitos para el laboratorio:

▪ Kali Linux
▪ RickdiculouslyEasy: 1 (761 MB)
▪ https://www.vulnhub.com/entry/rickdiculouslyeasy-1,207/
 Captura la Bandera con la máquina virtual
"RickdiculouslyEasy"
▪ Conclusiones:
▪ Hemos capturado varias banderas sumando un total de 130 puntos y
accedimos a la cuenta del super usuario “root”.

▪ Herramientas utilizadas:
nmap
netcat
dirb
crunch
hydra
Sección 3:
Captura la Bandera con la máquina virtual
"RickdiculouslyEasy"
Instructor:
Ing. Ricardo Párraga Zaldívar
Sección 4:
Captura la Bandera con la máquina virtual
"Basic Pentesting: 2"
Instructor:
Ing. Ricardo Párraga Zaldívar
 Captura la Bandera con la máquina virtual
"Basic Pentesting: 2"
▪ Descripción:
▪ La máquina virtual "Basic Pentesting: 2" alojada en www.vulnhub.com fue
creada por Josiah Pierce y es la continuación del reto "Basic Pentesting: 1".
Contiene múltiples vulnerabilidades y vectores de ataque para elevar
privilegios a usuario "root". Una vez logrado acceso a la cuenta "root" habrá
que leer el archivo ubicado en "/root/Flag.txt". El objetivo de este reto CTF
("Capture The Flag") es únicamente uno, obtener acceso al servidor como
usuario "root".

▪ Requisitos para el laboratorio:

▪ Kali Linux
▪ Basic Pentesting: 2 (1.3 GB)
▪ https://www.vulnhub.com/entry/basic-pentesting-2,241/
 Captura la Bandera con la máquina virtual
"Basic Pentesting: 2"
▪ Conclusiones:
▪ Hemos logrado acceder a la cuenta de super usuario “root” y lograr así
capturar la bandera.

▪ Herramientas utilizadas:
nmap
dirb
smbmap
hydra
ssh2john
Sección 4:
Captura la Bandera con la máquina virtual
"Basic Pentesting: 2"
Instructor:
Ing. Ricardo Párraga Zaldívar
Sección 5:
Conclusión
Instructor:
Ing. Ricardo Párraga Zaldívar
 Que sigue después?
▪ Conclusiones:
▪ Hemos visto 3 diferentes retos de CTF de máquinas virtuales alojadas en
www.vulnhub.com pero hay más.
▪ Conocer muy bien las herramientas en Kali Linux.

▪ Podemos comenzar a explorar otras y poner en práctica nuestros conocimientos luego

de ver este curso.
▪ Podemos comenzar a explorar retos de webapps como en: pentesterlab.com.

▪ Un buen pentester necesita poder generar informes.

▪ Podemos aprender sobre diferentes lenguajes de programación y scripting.

▪ Practicar, practicar y seguir practicando.

Kali Linux:
Pon a prueba tus técnicas de hackeo en
retos CTF (Capture The Flag)
Instructor:
Ing. Ricardo Párraga Zaldívar