Muy buenas a todos!
En esta nueva entrada os traemos un pequeño TOP con lo que considero los 7 mejores recursos para iniciarse en el mundo de los CTF.
Pero antes, para aquellos despistados que aún no lo sepan, expliquemos qué es un CTF.
¿Qué es un CTF?
Un CTF (del inglés Capture The Flag) es un conjunto de retos relacionados con la ciberseguridad planteados a modo de competición; en la que el ganador será aquel jugador (o equipo) que consiga resolver la mayor cantidad de apartados en el tiempo establecido. La temática de estos ejercicios suele ser bastante amplia, abarcando temas como:
- Criptografía
- Esteganografía
- Hacking Web
- Análisis Forense
- OSINT
- Pwning/Exploiting
- Reversing
- Pentesting
Aunque el principal objetivo de los CTF suele ser la competición, es un gran recurso para los profesionales de la ciberseguridad que les permite seguir adquiriendo nuevos conocimientos e, incluso, introducirse en nuevas ramas de la ciberseguridad.
De hecho, aunque parezca algo muy novedoso, en España, alrededor del 2003, ya se realizaban este tipo de
desafíos con la publicación de sus respectivas soluciones (
I y
II) por parte de los participantes.
Muy bien, ahora que ya hemos explicado qué es un CTF, hemos dado un dato de histórico y hemos explicado cómo funciona... ¿por dónde empezamos a practicar?
1 - OverTheWire --> Natas
Si lo que estás buscando es aprender los básicos del hacking web,
Natas es tu página. En ella, podemos encontrar 34 niveles diferentes de dificultad que irá aumentando a medida que vayamos resolviéndolos. Además de Natas, OverTheWire presenta muchos otros retos realmente interesantes, tanto para principiantes como para perfiles más expertos. !Canela en rama!
2 - XSS Games
Aunque los XSS (Cross Site Scripting) no formen parte de manera oficial de los CTFs, si que me gustaría destacar este pequeño reto de Google donde nos presentan 6 niveles diferentes para practicarlos. Es una manera sencilla y rápida de conocer patrones sensibles de explotar en un servidor web que, tal vez, nos valgan en otros retos de Pentesting Web.
3 - Puzzles!
Aunque el apartado de análisis de tráfico no suele estar siempre presente de manera independiente en los CTFs, siempre es recomendable tener un buen manejo de nuestro querido amigo Wireshark. Es por ello, que los retos que nos presentan en
Puzzles! (ficheros en formato PCAP para analizar en local) son realmente útiles y divertidos. De hecho... ¿quién no conoce al misterioso
Mr. X?
4 - Crackmes
El reversing (la némesis de muchos participantes) es, desde mi punto de vista, la temática más complicada que te puedes encontrar en un CTF, ya no solo por complejidad del propio reto si no por la carencia de conocimiento de muchos jugadores en este ámbito.
Crackmes.one es vuestra solución. Con un simple registro, tendréis acceso a gran cantidad de binarios para analizar y practicar. Con un estilo parecido a Hack The Box (que comentaremos más adelante), tenemos a nuestra disposición un panel de comentarios y de soluciones donde echar un ojo antes de tirar la toalla definitivamente.
5 - Exploit Exercises
Si lo que necesitas es mejorar tu conocimiento de exploiting,
Exploit Exercises es tu página. Podemos encontrar desde plataformas orientadas al escalado de privilegios en Linux como Nebula hasta plataformas orientadas al exploiting puro y duro de Buffer Overflows como Phoenix. Muy recomendable.
6 - Hack The Box
La
plataforma de CTFs por antonomasia. Aunque está orientada casi en su totalidad a pentesting, también presenta un apartado de retos donde podremos encontrar cualquier tipología como OSINT, Forense, Reversing, Hacking Web, Cripto... Para acceder, es necesario resolver un pequeño desafío previo que te permita registrarte en la página; un buen baremo para demostrarte si tienes curiosidad y paciencia suficiente para lo que encontrarás dentro.
7 - ATENEA
Por último, pero no menos importante, me gustaría hacer mención especial a
Atenea, la plataforma de desafíos de ciberseguridad desarrollada por el Centro Criptológico Nacional. En ella, podemos encontrar retos de todas las ramas comentadas anteriormente (excepto exploiting -.-) tanto para principiantes como para usuarios con conocimientos más avanzados. Además de la plataforma principal, existe también la plataforma
Atenea Escuela, donde se pueden encontrar retos mucho más genéricos y sencillos orientados hacia colectivos no pertenecientes al mundo de la ciberseguridad. Ideal para empezar desde cero.
Conclusiones
Como podéis ver, existen innumerables páginas con recursos casi que infinitos para introducirse en este mundillo. De hecho, he dejado un par fuera de este listado como son
VulnHub y
PentesterLab. Si conocéis alguna más que no haya incluído y que consideréis interesante, !no dudéis en comentarlo!
Happy Juancking!