Solución y seguimiento del HackTaller 01 DragonJAR (I de VIII)

Gracias a todas las personas que asistieron a este primer HackTaller de la Comunidad DragonJAR.

Ya muchos de los participantes están dejando sus comentarios y anécdotas del encuentro en el foro de la Comunidad (Foro HackTaller)

Aquí tenemos la primera galería de imágenes del HackTaller (ver galería)

Desde hoy empezaré a publicar los recursos utilizados para llevar a cabo este primer HackTaller de la Comunidad DragonJAR.

El ambiente virtualizado de intrusión utilizado para este HackTaller es el recurso que había publicado en la Web principal de la Comunidad (SecGame: Sauron)

Desde hoy publicaré cada nivel de solución en formato de video (sin sonido).
Para quienes quieran ir a un ritmo más rápido pueden hacer uso del documento en pdf del solucionario publicado por la gente de SG6 Labs.
A SG6 Labs muchas gracias por la publicación de este magnífico recurso.

SecGame es un proyecto diseñado por SG6 Labs para el desarrollo de entornos que permitan la simulación de test de intrusión adaptados a escenarios reales.
Estos entornos permiten no sólo la adquisición de habilidades, sino también la evaluación de las mismas, tanto dentro de los estrictamente conocimientos prácticos, como de las metodologías aplicadas al escenario.
Dentro de los entornos a desarrollar se recogerán las principales necesidades del campo de la auditoría técnica de seguridad informática: revisión de aplicativo web, revisión de servicios, revisión de código, revisión de sistemas de gestión de bases de datos, revisión de configuraciones y políticas de seguridad, entre otras, intentando en cada entorno que dentro de su completitud, focalice las problemáticas más típicas de cada uno de los escenarios.

Objetivos

• Proporcionar un entorno de simulación para la auditoria técnica de sistemas de información que permita el aprendizaje y la mejora de habilidades.
• Desarrollar un entorno de simulación basado en casos y escenarios reales de sistemas, sin que exista separación física de niveles, permitiendo un mayor realismo en la explotación de los entornos.
• Dotar de una relación extensa de escenarios bajo unos sistemas heterogéneos que permitan la revisión de un conjunto amplio de casos interrelacionados entre sí.
• Permitir la revisión de aplicativo web desarrollado en múltiples lenguajes, mostrando diversos errores en la codificación del mismo.
• Permitir la revisión de configuraciones de servicios, mostrando diferentes niveles de securizacion, y su impacto sobre los sistemas.
• Permitir la revisión de servicios inseguros, mostrando errores comunes y fallos de seguridad en los mismos.
• Permitir la revisión de código fuente inseguro, mostrando errores comunes y fallos de seguridad en el mismo.
• Permitir la revisión de sistemas de gestión de bases de datos, mostrando errores típicos en el acceso a los mismos, y errores de gestión y configuración.
• Innovar en el área de los aplicativos destinados a la preparación de test de intrusión haciendo uso de la vitalización y las posibilidades de red que ofrecen estos entornos.

Video tutorial de instalación del ambiente virtualizado de intrusión en Windows (Password: www.dragonjar.org).
Recursos necesarios:

• SecGame #1 Sauron: Máquinas virtuales (cualquiera de las dos versiones)
  • Descargar máquina virtual Sauron (530MB. Dificultad Normal)
  • Descargar máquina virtual Sauron (519MB. Dificultad Alta)
• Binarios para Windows
  • Qemu Manager 4.0
  • OpenVPN 2.0.9

Solucionario en formato pdf (password: www.dragonjar.org)
Documentación de interés - Guía de pruebas OWASP (password: www.dragonjar.org)
Virtualización
Qemu
VPN