MOOC UNIVERSIDAD MONDRAGÓN: 2ºEd. Hacking Ético.

SERVIDORES: ATAQUE Y DEFENSA

En esta ocasión describiré el reto final de la 2ºEd. del MOOC de Hacking Ético de la Universidad de Mondragón, pero antes dejo los enlaces a las fases de entrenamiento previas a este reto final:


¿En qué consistía el RETO FINAL?

Dejo texto del reto final:

El RETO de #moocHackingMU se desarrollará en dos fases:

1ª fase [del 27 de septiembre al 3 de octubre]: formaréis equipos de 8 personas.  Se proporcionará a cada equipo acceso a un VPS con un servidor web preinstalado y una página web simple (en cuanto a diseño y funcionalidad) pero completa en lo que a proporcionar mecanismos para que pueda ser atacada se refiere.

Tarea: Durante esta semana habréis de analizar vuestro servidor y realizar todas las configuraciones que sean necesarias para evitar ser vulnerables a ataques. 

2ª fase [del 4 al 11 de octubre]: pondremos a prueba vuestro potencial y descubriremos si todo el trabajo anterior os dirige al camino de “El Elegido”. Durante esta segunda fase se harán públicos los sitios web de cada equipo y se pasará a la fase de ‘ataque’. Los equipos, además de detectar vulnerabilidades de otros equipos y guardar evidencias de ello, tendréis que evitar ataques por parte de vuestros compañeros.


¿Qué sucedió?

Se formaron 18 equipos de 8 componentes cada uno, y se proporcionó a cada uno un VPS con su IP y password de acceso. Cada equipo tenía instalado dos aplicaciones llenas de vulnerabilidades; Cacti y GitList. El objetivo era conseguir el mayor número de archivos de los otros equipos. Cada uno disponía de un archivo de nivel 1, otro de nivel 2 y un tercero de nivel 3.

Nos otorgaron el equipo 0013, y ya sabéis el dicho…, “trece, mal número si no crece”…, pues eso fue lo que sucedió, de los 8 componentes, hicieron acto de presencia 5, de los cuales participamos activamente 3; J.J.D, R.S, y yo mismo. Nosotros tres fuimos los únicos que conseguimos mantener una comunicación mínimamente fluida mediante un grupo creado en Facebook: Código Fuente MOOC MONDRAGON.

Al ser tan pocos nos tuvimos que dedicar desde el principio, todos a todo. R.S. perfiló la web y se ocupó de modificar permisos de los usuarios. J.J.D. realizó un análisis de vulnerabilidades con Nessus (luego hice lo mismo al comprobar que permitía emplear un código de activación FREE), tras el análisis detectó la vulnerabilidad de GitList, explicó el procedimiento para explotarla y se puso a intentar sacar algún archivo del nivel 3 (realmente fue un pilar decisivo para nuestro equipo)

Por mi parte estas fueron las medidas adoptadas: informe

Y estos fueron los scripts empleados: mooc_script

Resultado: 6 del nivel 01, y 3 del nivel 02 (lo sé…, se puede mejorar…)

Y encima deshabilité el servicio mysql al intentar resetear la contraseña root…, pronto nos acusaron de pasarnos al “lado oscuro de la fuerza”, pero nada más lejos de la realidad, la incidencia fue comunicada, y nuestros “midiclorianos” se mantuvieron por todo lo alto 😉

♣Reflexión:

  • Si no lo rompes no aprendes…
  • Si no lo arreglas no aprendes…
  • Si no lo transmites no aprendes…
  • A hackear se aprende hackeando…, empezando por uno mismo.

¿Qué aprendí?

Me faltó tiempo para la fase de obtención de los archivos del nivel 3, las herramientas vistas hasta el momento ya las utilizaba, salvo Nessus, que fue un gran descubrimiento.

Gracias a la .ova aportada al grupo podré seguir probando cosas.


Valoración personal:

A FAVOR:

  • Juan José y Remigio

  • La forma de explotar vulnerabilidades (el conocimiento por delante de la herramienta)

  • Disponer de servidores y equipos para interactuar.

EN CONTRA:

  • Frustración momentánea al resetear la contraseña mysql.

  • 5 compañeros caídos antes de empezar el combate.

  • La falta general de comunicación.

  • Demasiado tiempo y dedicación, pero pocos resultados.


♣ Reflexión: estuvo divertido

“The real learning begins when you start creating. The beauty is the challenge. The growth is in the struggle.”

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s