Conoce Metasploitable, los entornos de prueba para mejorar tus habilidades de hacking

Escrito por Rubén Velasco

Aunque hoy en día podemos encontrar una gran cantidad de recursos gratuitas sobre hacking y seguridad informática en la red, así como distribuciones, como Kali Linux, diseñadas para llevar a cabo prácticas de hacking ético, encontrar un sistema para probar y depurar nuestras técnicas no es algo precisamente sencillo, o no al menos sin correr el riesgo de que nos acusen de piratería al intentar encontrar fallos, si permiso, en sistemas ajenos. Aquí es donde entra en juego Metasploitable.

Metasploitable es una máquina virtual preconfigurada que cuenta con una serie de configuraciones y vulnerabilidades pensadas para permitirnos depurar nuestras técnicas de hacking utilizando exploits como, por ejemplo, metasploit.

Existen 3 versiones de Metasploitable. La primera de ellas data de hace 7 años, la segunda de hace 6 años y Metasploitable3, la versión más reciente de esta máquina virtual vulnerable, de hace un par de años, siendo la opción recomendable al ser la más actualizada y útil para probar nuestras habilidades hoy en día. A diferencia de las versiones anteriores (que eran snapshots de las máquinas virtuales), esta nueva máquina depende de Vagrant y Packer para poder compilar fácilmente la imagen en el sistema, ser mucho más dinámica y permitir a la comunidad participar fácilmente.

En el siguiente enlace podemos ver todas las vulnerabilidades que encontraremos en Metasploitable3, pudiendo encontrar desde puertos abiertos y contraseñas inseguras hasta las aplicaciones más comunes que podemos encontrar por la red, listas para ser atacadas.

Cómo descargar y poner en marcha nuestra máquina Metasploitable

Para poder utilizar estas máquinas virtuales necesitamos un sistema operativo compatible con las dependencias, que vamos a ver a continuación, además de tener un procesador compatible con las funciones de virtualización (VT-x o AMD-V), 4.5 GB de memoria RAM y 65 GB de espacio en el disco duro.

Además, vamos a necesitar instalar en nuestro ordenador las herramientas PackerVagrant, Vagrant Reload Plugin y un sistema de virtualización, ya sea VMWare o VirtualBox. Podemos compilar nosotros mismos la imagen cuando vayamos a utilizarla, o podemos descargar las dos versiones ya compiladas de Metasploitable siguiendo las instrucciones que nos aparecen en los siguientes repositorios:

Por ejemplo, para montar nuestro Metasploitable3 basado en Ubuntu 14.04 simplemente tendremos que ejecutar el siguiente box en Vagrant:

Vagrant.configure("2") do |config|
config.vm.box = "rapid7/metasploitable3-ub1404"
config.vm.box_version = "0.1.12-weekly"
end

Un excelente entorno para poner a prueba nuestras habilidades de hacking ético, aunque con necesidad de mejorar

Sin duda, Metasploitable es uno de los entornos más completos para llevar a cabo estas prácticas de hacking ético, sin embargo, tiene muchas cosas que mejorar. La primera de ellas, y desde nuestro punto de vista la más importante, es ofrecer actualizaciones mucho más frecuentes que incluyan las últimas versiones de los programas y vulnerabilidades nuevas que poder explotar, no fallos de seguridad de hace varios años que seguramente no encontremos abiertos en ninguna otra máquina.

Los sistemas operativos también deberían mantenerse actualizados. Actualmente podemos encontrar Metasploitable para Windows 2008 y Ubuntu 14.04, dos sistemas operativos bastante antiguos hoy en día. Estaría bien poder encontrar máquinas para explotar con Ubuntu 18.04, o con Windows 10, para poder practicar con sistemas modernos.

Gracias al diseño del proyecto, ahora basado en Vagrant, debería ser posible incluir diferentes niveles de dificultad, pudiendo crear las instancias virtuales con distintas características en función de si queremos algo más básico o complejo.

Por último, sería de agradecer, y ahorraría tiempo, poder encontrar máquinas virtuales compiladas que fuera descargar, montar en VMware o VirtualBox y a usarlas. Con Vagrant, si no tienes práctica con esta herramienta, perderás bastante tiempo en prepararlo todo a tu gusto.

¿Qué te parecen los entornos de Metasploitable para depurar las técnicas de hacking?