montando web for pentester en virtualbox -...

Sebastian Cornejo HighSec.es

I

Montando Web for Pentester en VirtualBox

HighSec


II

Contenidos VirtualBox ...................................................................................................................................... 2

Instalación de VirtualBox .......................................................................................................... 2

Web for Pentester ......................................................................................................................... 8

Instalación de Web for Pentester ............................................................................................. 8

HighSec


2

VirtualBox

Descripción

Oracle VM VirtualBox es un software de virtualización para arquitecturas x86/amd64, creado

originalmente por la empresa alemana innotek GmbH. Actualmente es desarrollado por Oracle

Corporation como parte de su familia de productos de virtualización. Por medio de esta

aplicación es posible instalar sistemas operativos adicionales, conocidos como «sistemas

invitados», dentro de otro sistema operativo «anfitrión», cada uno con su propio ambiente

virtual.

Entre los sistemas operativos soportados (en modo anfitrión) se encuentran GNU/Linux, Mac

OS X, OS/2 Warp , Microsoft Windows, y Solaris/OpenSolaris, y dentro de ellos es posible

virtualizar los sistemas operativos FreeBSD, GNU/Linux, OpenBSD, OS/2 Warp, Windows,

Solaris, MS-DOS y muchos otros.

VirtualBox ofrece algunas funcionalidades interesantes, como la ejecución de máquinas

virtuales de forma remota, por medio del Remote Desktop Protocol (RDP), soporte iSCSI,

aunque estas opciones no están disponibles en la versión OSE.

En cuanto a la emulación de hardware, los discos duros de los sistemas invitados son

almacenados en los sistemas anfitriones como archivos individuales en un contenedor llamado

Virtual Disk Image, incompatible con los demás softwares de virtualización.

Otra de las funciones que presenta es la de montar imágenes ISO como unidades virtuales

ópticas de CD o DVD, o como un disquete.

Instalación de VirtualBox

Ingresamos a la siguiente URL https://www.virtualbox.org/wiki/Downloads y seleccionamos la

versión que se acomode a nuestras necesidades

HighSec

https://www.virtualbox.org/wiki/Downloads


3

Después de descargarlo lo abrimos y damos next e instalar a todo.

HighSec


4

HighSec


5

HighSec


6

HighSec


7

Listo ya tenemos VirtualBox funcionando.

HighSec


8

Web for Pentester

Es un entorno para pruebas de hacking Web. Estos ejercicios repasan las vulnerabilidades más

comunes que nos podremos encontrar a la hora de analizar y realizar pruebas sobre

aplicaciones web. El enfoque de estas prácticas no es sólo el de realizar las pruebas web como

tal, si no todo lo relacionado a procesos de test de intrusión, como el reconocimiento de la

arquitectura, sistema, servicios, etc.

Pruebas básicas de reconocimiento (fingerprinting)

Cross-Site Scripting

Inclusión de ficheros

Ataques LDAP

Inyecciones SQL

Inyección de código

Subida de ficheros

Pruebas de ruta transversal

Inyección de comandos

Ataques XML

Instalación de Web for Pentester

Descargamos Web for Pentester de la siguiente página web

https://pentesterlab.com/web_for_pentester.html seleccionamos la versión que cada uno

necesite y luego de descargarlo procedemos a su implementación en VirtualBox como se

describe en las siguientes imágenes

HighSec

https://pentesterlab.com/web_for_pentester.html


9

HighSec


10

HighSec


11

HighSec


12

HighSec


13

HighSec


14

En la siguiente imagen configuramos la máquina virtual en sistema puente lo que quiere decir

que replica una interfaz de red y le asigna una IP como si fuera otro ordenador de la LAN.

HighSec


15

Ahora desde nuestro sistema podemos ingresar al servidor para realizar las pruebas.

HighSec


16

Con esto ya tenemos Web for Pentester listo para su uso.

HighSec

montando web for pentester en virtualbox -...

Documents