Instalación y configuración de máquinas virtuales vulnerables en Linux

Resumen

En el mundo de la ciberseguridad, contar con entornos seguros para la práctica y análisis de vulnerabilidades es indispensable. "Muti" y "The HP" ofrecen plataformas que permiten poner a prueba las habilidades de cualquier aspirante a experto en seguridad informática. En esta guía, te orientaremos sobre cómo configurar un ambiente controlado con estas herramientas sobre una instalación de Linux, haciendo uso de una máquina virtual. Te mostraré paso a paso cómo crear este entorno donde podrás aprender y mejorar tus técnicas de pentesting de manera segura y efectiva.

¿Cómo empezar con la instalación de la máquina virtual?

Antes de adentrarte en el manejo de vulnerabilidades, es fundamental instalar un sistema operativo que servirá como base para todas tus prácticas. Esto lo logras creando una máquina virtual usando programas como VirtualBox. A continuación, te explicamos cómo preparar esta plataforma:

Descarga e instala VirtualBox, una herramienta que te permitirá crear y administrar máquinas virtuales.
Genera una nueva máquina virtual. Este espacio virtualizado será el laboratorio de pruebas con el que trabajaremos.
Selecciona la opción de instalación de tipo Linux y asigna la cantidad adecuada de memoria RAM; esto dependerá de los recursos de tu equipo.

¿Cómo proceder con la configuración del servidor?

Para llevar a cabo una configuración eficiente que no consuma recursos innecesarios, optamos por la versión server de Ubuntu, es decir, una sin entorno gráfico. Los pasos son:

Descarga la imagen de disco del servidor Ubuntu en su versión más reciente y limpia.
Desde las opciones de VirtualBox, configura el almacenamiento para utilizar la imagen ISO que acabas de descargar.
Establece la configuración de red necesaria para que las máquinas virtuales puedan comunicarse entre sí.

¿Cómo instalar y configurar el servicio web Apache?

Apache es un servidor web esencial en el entorno de pruebas, y su instalación es un proceso sencillo:

Utiliza el comando sudo apt-get install apache2 para instalar Apache. Si ya lo tienes instalado, verificarás que el sistema te dirá que está listo para reconfigurar si es necesario.
Una vez que tengas Apache funcionando, estarás en posición de alojar las herramientas vulnerables que explorarás más tarde.

¿Y qué hay acerca de PHP y MySQL?

PHP y MySQL son componentes clave para la interacción con las bases de datos y el procesamiento de vulnerabilidades. Aquí's cómo los instalas:

Instala PHP junto con las extensiones necesarias para que funcione eficientemente con la base de datos MySQL y con el servidor web Apache.
Instala MySQL Server que será el gestor de bases de datos para el catálogo de vulnerabilidades.

¿Cómo instalar y configurar Mutillidae?

Una vez que tengas el servidor web, PHP y MySQL instalados, es hora de instalar Mutillidae, un sito web vulnerable:

Clona el repositorio de Mutillidae en el directorio correspondiente de Apache utilizando Git.
Confirma que la clonación sea exitosa y verifica la dirección IP del servidor para acceder al sitio desde un navegador.

¿Cómo realizar la conexión y manejo de la base de datos?

Para integrar MySQL con Mutillidae, deberás realizar los siguientes pasos:

Crea y configura un usuario en MySQL con los privilegios necesarios para que Mutillidae pueda acceder y modificar la base de datos.
Reinicia el servicio web Apache para aplicar los cambios.
En el caso de Mutillidae, puedes necesitar ejecutar un script para inicializar o resetear la base de datos.

¿Qué sigue después de instalar Mutillidae?

Una vez que Mutillidae esté funcional, podrás acceder al catálogo de vulnerabilidades desde tu navegador preferido, en este caso, utilizando una máquina virtual Kali Linux. Así, tendrás un ambiente controlado y seguro para practicar tus habilidades de pentesting.

Recuerda que este proceso es el punto de partida para experimentar con las vulnerabilidades y reforzar tus conocimientos en ciberseguridad. Te esperamos en la próxima clase para seguir aprendiendo y expandiendo tu dominio en el área. ¡Mantén la motivación alta y nunca te detengas en tu camino hacia el aprendizaje!

Luis Enrique Gonzales Baldeon

student•

Deberiais actualizar las clases ahora esta una nueva version de ubuntu y el video da muchos fallos

Maximiliano Mussio

student•

Tengo el mismo problema, cómo procediste?

Alan Joaquín Baeza Meza

teacher•

Buenas Luis, les envío un documento de instalación para la versión de Ubuntu server 20.04. Cualquier duda estamos a la orden.

https://drive.google.com/file/d/1-hbs4oOz_bp4-yJ5Jwr5O8JRux7H-Td0/view?usp=sharing

Julián Matías Fuoco

student•

La verdad que super desactualizado el curso hay muchas cosas que no coinciden y se te hace un verdadero problema.

Vielin García Suárez

student•

Estoy pensando abandonar el curso asta que loa actualicen ningún link es igual

Francisco Pin

student•

debería grabarse de otro modo, ya que hay que estar pausando, la barra de multimedia cubre las lineas de código

Lian Enrique Tudela Valderrama

student•

El curso esta demasiado desactualizado y es vergonzoso que después de 3 años no lo actualicen, actualmente es como si el curso no existiese, no hay forma de avanzar.

Franco Vera.P

student•

Si es cierto colega pero esto es solo un recurso mas de tanta información que esta a la mano, con o sin tenemos que buscar alguna solución.

Pero si olvidaron de este curso los de Platzi y eso que vi a Freddy diciendo en una entrevista que ahora estaba mas al pendiente con respecto a lo Seguridad informática.

Platzi Team

student•

Hola, saludos desde el 2024, con el mismo curso del 2019

julio hashimoto

student•

instalacion de mutillidae marzo 2022

despues de instalar ubuntu server :

sudo apt-get install apache2
sudo apt-get install libapache2-mod-php php-mysql
sudo apt-get install php7.4-curl php7.4-mbstring php7.4-xml
php --version
sudo apt-get install mysql-server
sudo mysql -u root
use mysql;
ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'contraseña';
FLUSH PRIVILEGES;
select user,authentication_string,plugin,host from mysql.user;
exit
sudo systemctl restart apache2
cd /var/www/html/
sudo git clone https://github.com/webpwnized/mutillidae.git

*sudo apt update

*sudo apt upgrade

Sebastian Stiven Ramirez David

student•

Gracias compa!

Brandon Alejandro Orejuela Gaitán

student•

¿Julio, como estas?

Me gustaría saber cómo resolviste el problema cuando después de tratar de clonar multillidae te pide usuario y contraseña.

Angie liliana Ocampo Sánchez

student•

La clase más frustrante, más allá de esperar un tutor a que te de un drive con las nuevas actualizaciones después de solicitar por cantidades ayuda en todos los chats o foros, sería conveniente agregarle números a la clases o links donde por adelantado den el aviso de que los programas se han actualizado y usan otras sintaxis de instalación y configuración.

Kevin Piedrahita Villegas

student•

Estoy deacuerdo contigo

DANIELA PARDIÑAZ

student•

ACTUALIZACIÓN 2025:

para instalar PHP: sudo apt install php-curl php-mbstring php-xml

para el libapache2: sudo apt install libapache2-mod-php php-mysql

para el mysql: sudo apt-get install mysql-server

clonar mutillidae: sudo git clone /var/www/html/mutillidae

la parte de update user authentication_string=PASWORD('mutillidae') where user:'root'; NO te va a funcionar en 2025, seria: sudo mysql -u root -p LUEGO ALTER USER 'root'@'localhost' IDENTIFIED BY 'mutillidae';

para el update user sett plugin='mysql_native_password' where user 'root'; seria asi: ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'mutillidae';

Daniel Alexander Rentería Pino

student•

Thanks A lot , Your the Rockstar!

Eduardo Guevara

student•

tremendo

Ivan Darío Betancur

student•

Es mejor seguir los pasos que hay en los comentarios ya que se encuentra desactualizado el vídeo.

Mi Chu

student•

:,(

Alejandro Reyes

student•

hola me ayudan con esto me aparece fuera de linea

Alan Joaquín Baeza Meza

teacher•

Saludos, seleccionar la opción setup/reset the DB

Alejandro Reyes

student•

Gracias ya funciono (no se reseteaba)

Pablo Santillana

student•

No se si este curso esta muy desactualizado, esta pesimamente explicado, desordenado o vaya uno a asaber que. La verdad es imposible seguirlo. Lo unico que se puede hacer es por conocimientos previos propios. Una gran desepcion. Intentare adivinar que quisieron decir y levantar los entornos. Para dar un curso de estas caracteristicas sin contemplar todos los pormenores que pueden surgir deberian disponer de equipos virtuales con el funcionamiento correcto adaptado para el curso.

Juan David Patiño Aragon

student•

Deben actualizar el contenido de este curso.

Gorka Gallardo Castany

student•

Honestamente, creo que es necesario actualizar completamente este curso, está completamente desactualizado.

Amgonzalez@altec.com.ar

student•

Descargar UBUNTU SERVER

Descargar OWASP Mutillidae II

Juan Manuel Silva

student•

Habría que actualizar este contenido, 6 años de antigüedad es muchísimo tiempo para ciberseguridad.

Carlos Gomez

student•

Año 2023: Antes de instalar todo, se recomienda primero los siguiente codigos:

sudo add-apt-repository ppa:ondrej/php sudo apt-get update sudo add-apt-repository ppa:ondrej/apache2 sudo apt install php8.0-dom

ahora si pueden seguir los pasos del tutorial

Jefferson Merchan

student•

Gracias Carlos Gomez, funciono los comandos para retomar el curso.

SERGIO ANDRES VARGAS AMAYA

student•

Carlos como estas, despues del segundo comando es como no se puediera conectar con el archive.ubuntu... sabes como resolverlo?

Julian Castillo

student•

Hola companeros , el dia de hoy 20 de noviembre 2022 la version de PHP es 8,1 , yo intente tal cual como el profesor escrio pero no me descargo nada . entonces fue a googlear para encontrar la ultima versio, solo la escribi en vez "7,2" y funciono sin problemas . todo el resto de el comando es el mismo . solo cambiar version.

Diego Enrique Villegas Ricardez

student•

amigo como resolviste el echo que al clonar te pide usuario y contraseña ?

Anderson Jhohan Romero Pineda

student•

Buenas tardes hago un aporte hoy día (28/11/2023) Al intentar ejecutar el comando

sudo apt-get install php7.2-curl php7.2-mbstring php7.2-xml

Se generaba el error "Couldn't find any package", lo solucioné de la siguiente manera:

Actualizar los paquetes del sistema con el comando: "sudo apt-get update"

(cabe recalcar que antes de ejecutar el comando del error se debe instalar apache2)

Revisar la versión instalada de php con le comando : "php --version"
Si la versión instalada es diferente se usa el siguiente comando: "sudo apt-get install php-curl php-mbstring php-xml" De manera que no se especifica la versión y se actualiza a la que ya tenemos instalada

Wilson Bienvenido Otaño Mateo

student•

muchisimas gracias hermano, esto me funciono

Alan Eugenio Iberra

student•

Diciembre 2023: Si no te deja instalar PHP porque no encuentra las librerias, corre los soguientes comandos para agregar a tu Ubuntu el repositorio de donde extraer el PHP7.2

sudo apt update sudo apt upgrade sudo apt install software-properties-common sudo add-apt-repository ppa:ondrej/php sudo apt update

Y ahora podras instalar los paquetes PHP

Wilson Bienvenido Otaño Mateo

student•

gracias, lo intente pero aun asi no me dejo

Jose Luis Rodriguez Hernandez

student•

Hola! me aparece un error cuando quiero inatalar los comandos para PHP especificamente me dice

E: unable to locate package PHP7.2-mbstring E: couldn't find any package by glob 'PHP7.2-mbstring' E: couldn't find any package by regex 'PHP7.2-mbstring'

a alguien mas le ha pasado?

Samuel Paredes

student•

Mira tu sintax, tiene que encajar con la del profesor si no en tal caso mira esto, esta en ingles pero la respuesta tiene upvotes!

Alan Joaquín Baeza Meza

teacher•

Que tal, es importante que revises la sintaxis la cual debe quedar de la siguiente manera: sudo apt-get install php7.2-curl php7.2-mbstring php7.2-xml

Pd: Puedes escribir el comando completo que estas utilizando para revisar.

Raul Costa

student•

Hola a todos! He seguido los pasos del vídeo, pero cuando en Kali abro el navegador i pongo la IP de ubuntu server/mutillidae me aparece una página llena de código:

A alguien más le ha ocurrido ésto?

Raul Costa

student•

Solucionado! Me faltaban las librerias libapache2-mod-php y php-sql

Valentin Ravotti

student•

Gracias por la info... pero te corrigo es php-mysql

Instalación y configuración de máquinas virtuales vulnerables en Linux

Bienvenida y panorama general

Seguridad Informática y Ética en el Hacking

Panorama General de la Seguridad Informática y sus Principales Amenazas

Gestión y Clasificación de Vulnerabilidades en Sistemas Informáticos

Amenazas y Ataques Cibernéticos: Conceptos y Tipos Comunes

Instalación de Kali Linux y configuración de entorno de pruebas

Instalación y configuración de máquinas virtuales vulnerables en Linux

Instalación y Configuración de Packer, Vagrant y Git en Windows

Explotación de Vulnerabilidades en Aplicaciones Web

Introducción al Hacking Ético

Diseño de Experiencias de Usuario en Aplicaciones Móviles

Ética y Hacking Ético: Fundamentos y Aplicaciones

Búsqueda Avanzada de Información en Fuentes Abiertas

Uso de Herramientas de Hacking para Resolución de Retos Cibernéticos

Fundamentos del Ethical Hacking y Certificaciones Internacionales

Pentesting

Prueba de seguridad: conceptos, importancia y recomendaciones

Pruebas de Seguridad: Tipos y Fases Esenciales

Búsqueda de Claves Secretas en Repositorios Git con Kali Linux

Escaneo de Redes y Puertos con Nmap en Kali Linux

Escaneo de Redes con Nmap en Kali Linux

Resolución de retos con herramientas de seguridad web

Explotación de Vulnerabilidades en Sistemas con Nexus y Metasploit

Explotación de Vulnerabilidades con Elasticsearch y Ibombshell

Estándares y aspectos legales

Estándares y Legislación en Seguridad de la Información

Contratos Informáticos: Tipos y Elementos Esenciales

Ciberdelitos y Convenio de Budapest: Estrategias de Persecución

Casos típicos de ataques

Análisis Estático de Malware: Herramientas y Técnicas Básicas

Análisis Dinámico de Malware: Uso de Herramientas y Técnicas Básicas

ARP Spoofing: Ataques y Protección en Redes TCP/IP

Ataques de Hombre en el Medio: Conceptos y Ejecución Práctica

Ataques de Denegación de Servicio: Uso de LOIC y HOIC

Ingeniería Social: Técnicas y Uso de Social Finish

Controles y mecanismos de seguridad

Políticas de Seguridad y Controles de Acceso en Empresas

Resolución de Retos de Seguridad en San Holidays Challenge

Copias de Seguridad: Tipos, Estrategias y Protección de Datos

Instalación y configuración de IDS con Snort en Linux

Gestión de Riesgos y Modelado de Amenazas en Seguridad Informática