Wargames de OverTheWire
(overthewire.org)- Los Wargames de OverTheWire son un espacio de aprendizaje para practicar Unix/Linux, seguridad web, criptografía e ingeniería inversa abordando conceptos de seguridad como si fueran un juego
- Al principio puedes aprender las bases con Bandit y luego continuar con Natas, Krypton o Leviathan según el área que más te interese
- Después se avanza a Narnia, Behemoth, Utumno y Maze, donde aumenta la dificultad en explotación binaria e ingeniería inversa
- La descripción detallada y la información de acceso de cada wargame deben consultarse en la página individual de cada juego en el menú de la izquierda
- Los juegos basados en shell usan distintos puertos SSH, así que es importante revisar las indicaciones de la página de cada juego antes de conectarte
Aprender seguridad jugando
- La comunidad de OverTheWire opera wargames para practicar conceptos de seguridad de forma directa
- Las reglas detalladas y la información de cada wargame pueden consultarse en la página correspondiente enlazada en el menú de la izquierda
- Si tienes problemas, preguntas o sugerencias, puedes participar en el chat
Orden recomendado y forma de acceso
- El punto de inicio es Bandit, un juego de introducción que cubre fundamentos de Unix/Linux
- Después de aprender las bases, puedes continuar con uno de los siguientes juegos según tu interés
- Natas: seguridad web
- Krypton: criptografía
- Leviathan: ingeniería inversa
- En la siguiente etapa sube la dificultad con juegos centrados en explotación binaria e ingeniería inversa
- Narnia: introducción a la explotación binaria e ingeniería inversa
- Behemoth, Utumno, Maze: explotación binaria e ingeniería inversa
- Los juegos basados en shell usan diferentes puertos SSH
- La forma de conectarte por SSH se indica en la parte superior izquierda de la página de cada juego
1 comentarios
Opiniones en Hacker News
Materiales que vale la pena ver en conjunto:
https://linuxsurvival.com/
https://old.reddit.com/r/linuxupskillchallenge/
https://github.com/learnbyexample/TUI-apps — material que hice yo, con prácticas interactivas de grep, sed, awk y otros
No se puede hablar de OTW sin mencionar smash the stack
Lo mejor de estas comunidades eran los canales de IRC que las acompañaban, pero hoy la mayoría están muertos
Había gente conocida como Jduck y spender, y si podías aguantar el ambiente rudo, podías aprender de los mejores
Ahora esa escena está casi en estado zombi; los juegos en general están actualizados, pero ya no tienen la misma energía de antes
Supongo que habría el típico tono áspero o elitismo, pero no lo sé bien
Incluso hoy sigo evitando la esteganografía en los CTF
Artículos relacionados:
Wargames can help you to learn and practice security concepts through games - https://news.ycombinator.com/item?id=29724594 - diciembre de 2021, 26 comentarios
The Bandit Wargame - https://news.ycombinator.com/item?id=29708304 - diciembre de 2021, 1 comentario
OverTheWire: Wargames to learn and practice security concepts - https://news.ycombinator.com/item?id=16252873 - enero de 2018, 23 comentarios
Wargames - https://news.ycombinator.com/item?id=9878302 - julio de 2015, 17 comentarios
Hace poco terminé un programa de certificado de posgrado en ciberseguridad, y buena parte del inicio de la práctica era simplemente seguir OTW y completar algunas lecciones
Es un material excelente y, si lo hubiera conocido antes, quizá no habría pagado tanto por el programa y solo habría hecho las prácticas de OTW
También me interesa saber cuánto sentiste que te ayudó en el programa
Ya estoy aprendiendo mucho solo con los ejercicios de Bandit, y tengo entendido que eso es para principiantes, así que terminarlo todo debe ser bastante interesante
OTW y sus materiales son excelentes, pero siguen estando bastante cerca del nivel introductorio
Materiales educativos relativamente nuevos con una buena curva de aprendizaje:
https://pwn.college/
https://dreamhack.io
https://guyinatuxedo.github.io
https://www.picoctf.org/
Estuve más o menos cerca cuando estos grupos estaban en sus inicios, y es genial ver que la mayoría de los chicos que manejaban sitios como hackr.org, darkdevelopments.com y ssgroup.org en los 2000 ahora están activos intentando crear buenos entornos para que otras personas aprendan
Hackthissite y websec.fr también son excelentes recursos creados por gente de esa misma línea
Agrego también un clásico absoluto, al menos para mí:
https://www.hackthissite.org/
HTS fue lo que me metió en la informática
Algo parecido para PowerShell:
https://underthewire.tech/wargames
Recuerdo que, después de completar cada nivel, podías dejar tu nombre y una frase en un archivo
.txtdentro del sistema de archivosNormalmente era algo del estilo “Kilroy was here”, pero para un adolescente, solo agregarse ahí ya te hacía sentir como un hacker 1337, y motivaba bastante
https://microcorruption.com también vale la pena
No requiere conocimientos específicos de Linux y te mete directamente en ensamblador MSP430; es una introducción pequeña y buena a la explotación de binarios y sistemas embebidos
Por casualidad, acabo de encontrar el código fuente perdido de un desafío de ingeniería inversa de binarios que escribí en 2010
Recomiendo compilarlo sin mirarlo antes
Usa la rama “modern” y sigue las instrucciones del README para el parche de
bomb.chttps://github.com/RPISEC/csci-4971-bomb
Gracias por diseñarlo