← Volver al listado de tecnologías

OverTheWire Natas - Seguridad Web

Por: SiempreListo
overthewirenatasctfwebseguridadsql-injection

OverTheWire Natas - Seguridad Web

Natas te enseña los fundamentos de la seguridad web del lado del servidor. Cada nivel presenta una vulnerabilidad diferente que debes explotar.

¿Cómo Funciona?

A diferencia de Bandit (SSH), Natas se juega en el navegador. Cada nivel tiene una URL:

http://natasX.natas.labs.overthewire.org

Donde X es el número del nivel.

Credenciales Iniciales

CampoValor
URLhttp://natas0.natas.labs.overthewire.org
Usuarionatas0
Contraseñanatas0

Niveles del Tutorial

Fundamentos (0-5)

NivelVulnerabilidad
Nivel 0Inspección de código fuente
Nivel 1Click derecho deshabilitado
Nivel 2Archivos expuestos
Nivel 3robots.txt
Nivel 4Referer header
Nivel 5Cookies

Inyección y Bypass (6-10)

NivelVulnerabilidad
Nivel 6Inclusión de archivos (source code)
Nivel 7Local File Inclusion (LFI)
Nivel 8Encoding reversible
Nivel 9Command Injection
Nivel 10Command Injection filtrado

Herramientas Recomendadas

Línea de Comandos

# Peticiones HTTP
curl -u natas0:password http://...

# Con headers
curl -H "Referer: http://..." http://...

# Ver solo headers
curl -I http://...

Herramientas Especializadas

Conceptos que Aprenderás

ConceptoDescripción
Inspección de códigoVer HTML/JS del cliente
HTTP HeadersReferer, Cookie, User-Agent
LFILocal File Inclusion
RFIRemote File Inclusion
Command InjectionEjecutar comandos del sistema
SQL InjectionManipular consultas SQL
XSSCross-Site Scripting
Path TraversalAcceder a archivos fuera del directorio

Reglas Importantes

  1. Cada nivel tiene su propia contraseña para el siguiente
  2. Guarda las contraseñas que encuentres
  3. Lee el código fuente - casi siempre hay pistas
  4. Experimenta - no hay penalización por intentos fallidos

Recursos

← Volver al listado de tecnologías