Post on 29-Sep-2018
Sebastian Cornejo HighSec.es
I
Montando Web for Pentester en VirtualBox
HighSec
Sebastian Cornejo HighSec.es
II
Contenidos VirtualBox ...................................................................................................................................... 2
Instalación de VirtualBox .......................................................................................................... 2
Web for Pentester ......................................................................................................................... 8
Instalación de Web for Pentester ............................................................................................. 8
HighSec
Sebastian Cornejo HighSec.es
2
VirtualBox
Descripción
Oracle VM VirtualBox es un software de virtualización para arquitecturas x86/amd64, creado
originalmente por la empresa alemana innotek GmbH. Actualmente es desarrollado por Oracle
Corporation como parte de su familia de productos de virtualización. Por medio de esta
aplicación es posible instalar sistemas operativos adicionales, conocidos como «sistemas
invitados», dentro de otro sistema operativo «anfitrión», cada uno con su propio ambiente
virtual.
Entre los sistemas operativos soportados (en modo anfitrión) se encuentran GNU/Linux, Mac
OS X, OS/2 Warp , Microsoft Windows, y Solaris/OpenSolaris, y dentro de ellos es posible
virtualizar los sistemas operativos FreeBSD, GNU/Linux, OpenBSD, OS/2 Warp, Windows,
Solaris, MS-DOS y muchos otros.
VirtualBox ofrece algunas funcionalidades interesantes, como la ejecución de máquinas
virtuales de forma remota, por medio del Remote Desktop Protocol (RDP), soporte iSCSI,
aunque estas opciones no están disponibles en la versión OSE.
En cuanto a la emulación de hardware, los discos duros de los sistemas invitados son
almacenados en los sistemas anfitriones como archivos individuales en un contenedor llamado
Virtual Disk Image, incompatible con los demás softwares de virtualización.
Otra de las funciones que presenta es la de montar imágenes ISO como unidades virtuales
ópticas de CD o DVD, o como un disquete.
Instalación de VirtualBox
Ingresamos a la siguiente URL https://www.virtualbox.org/wiki/Downloads y seleccionamos la
versión que se acomode a nuestras necesidades
HighSec
Sebastian Cornejo HighSec.es
3
Después de descargarlo lo abrimos y damos next e instalar a todo.
HighSec
Sebastian Cornejo HighSec.es
4
HighSec
Sebastian Cornejo HighSec.es
5
HighSec
Sebastian Cornejo HighSec.es
6
HighSec
Sebastian Cornejo HighSec.es
7
Listo ya tenemos VirtualBox funcionando.
HighSec
Sebastian Cornejo HighSec.es
8
Web for Pentester
Es un entorno para pruebas de hacking Web. Estos ejercicios repasan las vulnerabilidades más
comunes que nos podremos encontrar a la hora de analizar y realizar pruebas sobre
aplicaciones web. El enfoque de estas prácticas no es sólo el de realizar las pruebas web como
tal, si no todo lo relacionado a procesos de test de intrusión, como el reconocimiento de la
arquitectura, sistema, servicios, etc.
Pruebas básicas de reconocimiento (fingerprinting)
Cross-Site Scripting
Inclusión de ficheros
Ataques LDAP
Inyecciones SQL
Inyección de código
Subida de ficheros
Pruebas de ruta transversal
Inyección de comandos
Ataques XML
Instalación de Web for Pentester
Descargamos Web for Pentester de la siguiente página web
https://pentesterlab.com/web_for_pentester.html seleccionamos la versión que cada uno
necesite y luego de descargarlo procedemos a su implementación en VirtualBox como se
describe en las siguientes imágenes
HighSec
Sebastian Cornejo HighSec.es
9
HighSec
Sebastian Cornejo HighSec.es
10
HighSec
Sebastian Cornejo HighSec.es
11
HighSec
Sebastian Cornejo HighSec.es
12
HighSec
Sebastian Cornejo HighSec.es
13
HighSec
Sebastian Cornejo HighSec.es
14
En la siguiente imagen configuramos la máquina virtual en sistema puente lo que quiere decir
que replica una interfaz de red y le asigna una IP como si fuera otro ordenador de la LAN.
HighSec
Sebastian Cornejo HighSec.es
15
Ahora desde nuestro sistema podemos ingresar al servidor para realizar las pruebas.
HighSec
Sebastian Cornejo HighSec.es
16
Con esto ya tenemos Web for Pentester listo para su uso.
HighSec