Herramientas para pentesters en Docker

En estos últimos años hemos asistido al surgimiento de nuevas tecnologías y servicios que nos han facilitado el trabajo a mucho de nosotros, una de ellas es Docker, un proyecto de código abierto que nos permite el despliegue de aplicaciones en contenedores sin la necesidad de tener que virtualizar todo un sistema para probarlas.

En el caso del mundo de la seguridad, Docker nos puede ayudar mucho en estas tareas sin tener que arrancar nuestra maquina virtual de turno o maquina física con Kali Linux o similar instalado, ya sea para lanzar un entorno como Metasploit o un laboratorio como OWASP Juice Shop Tool Project.

A continuación os dejo un pequeño listado de recursos y herramientas que podéis utilizar con Docker y probar vosotros mismos.

RaiNmap Container es una aplicación web para lanzar Nmap desde un navegador y poder realizar un escaneo.

OWASP Juice Shop Tool Project  es una aplicación web escrita en Javascrip que abarca todo el OWASP Top Ten y otros graves fallos de seguridad para que puedas practicar tus habilidades. (Demo)

Docker images for infosec tools es un recopilatorio de herramientas conocidas y muy útiles para todo pentester, puedes encontrar Metasploit, Nessus, WireShark, y WPsacan entre otras.

DVWA otra herramienta que no puede faltar para practicar la explotación de vulnerabilidades web.

Kali Linux para Docker no podía faltar en este listado, este contenedor instala una versión mínima por lo que después deberás instalar a tu elección algunos de los metapackages que ofrece Kali Linux.

Espero que os sean de utilidad, y si sabéis de algún contenedor más que sea interesante no dudéis en comentarlo.

Un saludo y hasta la próxima.

Como instalar DVWA (Damn Vulnerable Web App) en Kali linux

Hola a todos,

Hace unos días que unos amigos me preguntaban sobre como probar herramientas y determinados ataques en un laboratorio, así que tanto para ellos como  y para todo aquel que le gustaría hacer sus pruebas y labs en un entorno controlado y con ganas de aprender os traigo DVWA (Damn Vulnerable Web App) es una aplicación web basada en PHP y MySQL, y con la que podremos “jugar” todo lo que queramos, por temas de comodidad, en mi caso la he montado sobre una máquina de virtual box, con Kali 1.0.6.

El proceso no dista mucho de como montaríamos cualquier CMS, así que empecemos:

  • Descargaremos DVWA desde su página web, a elegir con wget o directamente desde la web, con wget simplemente escribimos lo siguiente:

wget

  • Desde su página web, simplemente vamos a “downloads” y nos descargamos el zip.
  •  Ahora descomprimimos el zip, con #unzip v1.0.8.zip

unzip

 Ahora que ya lo hemos descomprimido, moveremos el directorio nuevo DVWA-1.0.8 a /var/www/dvwa así que: #mv DVWA-1.0.8 /var/www/dvwa y a continuación le daremos permisos:    chmod -R 755 dvwa

chmod

Ya nos queda poco, vamos a crear la bases de datos en el mysql, así que arrancamos el mysqld con: service mysql start  y a continuación:

  • mysql -u root -p
    • Nos pide password, simplemente pulsar Intro.
  • create database dvwa;
  • show databases;
    • Comprobamos que la base de datos se ha creado.
  • exit

mysql

Iniciamos apache:  #service apache2 start y abrimos el navegador para acceder a nuestro dvwa http://localhost/dvwa

dvwa1

 

Pulsamos en here,

dvwa2

Como podemos observar, nos da un error de que no se puede conectar a la base de datos, tranquilidad, no pasa nada, simplemente me he saltado un paso para que veáis que ocurre si no se hace 🙂

Para que funcione tendremos que editar el config.inc.php que hay en /var/www/dvwa/config –> usad vuestro editor favorito,  yo he usado VIM hay que dejar la línea que pone ‘db_password’ ] = ” tal y como se ve en la siguiente imagen.
config1

Reiniciamos apache: #service apache2 restart y volvemos a acceder con el navegador

config2

Hacemos click en el botón Create/Reset Database con lo que ahora si acabará de crearse correctamente todas las tablas de la base de datos, y volvemos a acceder con el navegador a la web http://localhost/dvwa

Usuario: admin

Contraseña: password

dvwa3

Pulsamos sobre login y ya estamos dentro, ya podemos empezar a utilizar este software para nuestras pruebas.

Y eso es todo, espero que os haya sido de utilidad.