Pentesting & Hacking Ético mediante resolución de un Capture The Flag (CTF)

Abstract

La finalidad de este trabajo es conocer la metodología utilizada para realizar un pentesting o test de intrusión en un sistema informático. Una vez aplicada con éxito esta metodología sobre un sistema, se pueden conocer y resolver las configuraciones incorrectas que ponen en riesgo este activo para protegerlo ante los futuros ataques que pueda sufrir. Es una metodología relativamente nueva pero crítica para los activos expuestos a redes públicas como Internet, ya que permite a las corporaciones adelantarse a lo que un atacante realizaría sobre sus activos y equipar las medidas que evitarán que esto suceda. Este trabajo de fin de máster se inicia con un repaso al estado de arte que nos ha llevado al uso normalizado de retos CTF (Capture The Flag) como metodología de enseñanza para pentesting. Continúa con la exposición del entorno elegido para la realización de los tres escenarios planteados, tanto a nivel hardware como a nivel software. Posteriormente se realiza la resolución de los tres escenarios en cinco fases diferenciadas y con multitud de información adicional como descripción de comandos de consola shell o capturas de pantalla con los resultados obtenidos en cada paso realizado. Posteriormente se revisan las conclusiones motivadas por la realización de este trabajo de fin de máster.

The purpose of this paper is to learn about the methodology used to perform a pentesting or penetration test on a computer system. Once this methodology has been successfully applied to a system, we can identify and resolve the incorrect configurations that put this asset at risk in order to protect it against future attacks. This is a relatively new but critical methodology for assets exposed to public networks such as the Internet, as it allows companies to anticipate what an attacker could do to their assets and provide them with the measures to prevent it. This master's thesis begins with a review of the state of the art that has led to the standardised use of CTF (Capture The Flag) challenges as a didactic methodology for pentesting. It continues with a presentation of the environment chosen to perform the three proposed scenarios, both at hardware and software level. Subsequently, the resolution of the three scenarios is conducted in five different phases and with a multitude of additional information such as a description of shell console commands or screenshots with the results obtained in each step. Subsequently, the conclusions drawn from the completion of this master's thesis are reviewed.

La finalitat d'aquest treball és conèixer la metodologia utilitzada per a realitzar un pentesting o test d'intrusió en un sistema informàtic. Una vegada aplicada amb èxit aquesta metodologia sobre un sistema, es poden conèixer i resoldre les configuracions incorrectes que posen en risc aquest actiu per a protegir-lo davant els futurs atacs que pugui sofrir. És una metodologia relativament nova però crítica per als actius exposats a xarxes públiques com a Internet, ja que permet a les corporacions avançar-se al que un atacant realitzaria sobre els seus actius i equipar les mesures que evitaran que això succeeixi. Aquest treball de fi de màster s'inicia amb un repàs a l'estat d'art que ens ha portat a l'ús normalitzat de reptes CTF (Capturi The Flag) com a metodologia d'ensenyament per a pentesting. Continua amb l'exposició de l'entorn triat per a la realització dels tres escenaris plantejats, tant a nivell maquinari com a nivell programari. Posteriorment es realitza la resolució dels tres escenaris en cinc fases diferenciades i amb multitud d'informació addicional com a descripció de comandos de consola shell o captures de pantalla amb els resultats obtinguts en cada pas realitzat. Posteriorment es revisen les conclusions motivades per la realització d'aquest treball de fi de màster.