VulnLab con Vmware paso a paso.

Buenas, en esta ocasión vamos a instalar paso a paso un VulnLab propio, la herramienta que utilizaremos será Vmware

https://my.vmware.com/web/vmware/downloads

Luego de descargar, instalar vamos a configurar paso a paso para que las máquinas virtuales sean visibles entre sí y no tengan acceso a internet.

Recomiendo que pasen por el siguiente post para ampliar conocimientos:

https://underc0de.org/foro/seguridad-en-servidores/crea-tu-laborario-de-pentesting-encuentra-tu-propio-0-days/

Una vez ejecutada la aplicación tendremos la siguiente imagen:


Donde lo primero que realizaremos será crear dos nuevas máquinas virtuales para instalar:

https://pentesterlab.com/exercises/web_for_pentester_II

y

http://www.dvwa.co.uk/

Vamos a File -> New virtual machine o Ctrl+N
Donde el paso a paso serán las imagenes con algunas aclaraciones.



Dejamos las configuraciones como se muestra en la siguiente imagen, luego las modificaremos.


Seleccionamos el tipo de sistema operativo host y versión.


La siguiente configuración permite identificar la maquina virtual (colocar un nombre) y la ruta donde se almacenarán los archivos.


Como son imagenes pequeñas, con los 8Gb que indica para establecer, es suficiente, las opciones debajo permiten guardar todo en un solo archivo y segmentarlos.



Ya casi finalizando, tenemos que customizar un poco más. Al llegar al siguiente paso, debemos hacer clic en "customize hardware"



Y tendremos lo siguiente:


Donde lo que debemos modificar será:


- Network Adapter (NAT): Establecer en modo HOST-ONLY
Esto permite que solo haya conectividad local (las máquinas virtuales no tendrán acceso a internet).

Luego, debemos ir a:
- New Cd/Dvd y elegir la iso de Web For Pentesters II.
- New Cd/dvd -> Use Iso Image File -> browse (y seleccionar la .iso)


Una vez concluido lo anterior, hacemos clic en "close" luego en "finish" y debe quedar de la siguiente manera o similar.



Para configurar DVWA lo que debemos hacer será, luego de bajar la imagen

http://www.dvwa.co.uk/DVWA-1.0.7.iso

Es exactamente los mismos pasos que con Web For Pentesters o tan solo con cambiar la ISO es suficiente.


Luego de bajar cualquiera de los archivos de imagenes en formato vmware, los pasos son:

File -> Open o Ctrl+O
Esto permite buscar el archivo de configuración que contiene la maquina virtual.


Quedará de la siguiente forma luego de abrir el archivo.


Donde tambien hay que configurar el segmento de red:
- Network Adapter (NAT): Establecer en modo HOST-ONLY


Bien, luego de los pasos anteriores, procedemos a lanzar las maquinas virtuales, "Power on this virtual machine"

Luego de lanzar DVWA quedará en modo consola, debemos conocer que IP tiene asignada.


Lo mismo hacemos con Kali / Parrot o la distro o sistema customizado que vayan a utilizar.


Entonces tenemos:
Ip DVWA: 192.168.23.128
Ip Kali: 192.168.23.129

Ahora probamos conectividad en capa 3 (hacemos ping)



Como es sabido, uno de los primeros pasos es identificar toda la información del host / objetivo antes de proceder.
Lanzamos un nmap en crudo.


Vemos que tenemos http, y vamos con el navegador a ver que información obtenemos.


Y bueno compañeros, ya tienen listo para empezar a practicar.

Un saludo !

Excelente recomendación para los que empiezan en este mundo y para los que tengan cierta experiencia también. Esta es una de las WEBs que no me pueden faltar en mi Laboratorio Virtual. Actualmente tengo

https://www.vulnhub.com/entry/lab26-1,190/

la cual contiene varias aplicaciones vulnerables, entre ellas:

- bWAPP
- Mutillidae (nowasp)
- DVWA
- Django.nV
- Google Gruyere
- Web for Pentester I

También quiero recomendarles las VMs de

https://www.vulnhub.com/

, hay muy buenos CTFs para probar sus habilidades.


Gracias a @xyz por iniciar este tema. Saludos!